保护和优化 Linux:RedHat 版 - 实战指南
上一页第 32 章. LinuxFTP服务器下一页

32.9. 保护FTP

ftpusers 文件。 务必确保您已设置文件/etc/ftpusers该文件指定了哪些用户不允许连接到您的FTP服务器。至少应包括以下条目root、bin、daemon、adm、lp、sync、shutdown、halt、mail、news、uucp、operator、games、nobody 以及您的/etc/passwd文件中可用的所有其他默认供应商提供的帐户。

匿名 FTP 程序。要禁用匿名FTP,请从您的密码文件中删除匿名用户ftp并验证您的系统上是否未安装 anonftp-version.i386.rpm 软件包。

要从您的密码文件中删除该用户ftp,请使用以下命令
        [root@deep ] /# userdel ftp
要验证您的 Linux 系统上是否未安装匿名程序的 RPM 软件包,请使用以下命令FTP
        [root@deep ] /# rpm -q anonftp
      

        package anonftp is not installed

上传命令。 默认情况下,Wu-ftpd 服务器将授予所有用户上传权限。 上传参数允许远程客户端加载文件并将其放置在FTP服务器上。 为了获得最佳安全性,我们不希望用户能够上传到bin, etc, devlib目录中的/home/ftp目录。 在我们的/etc/ftpaccess文件中,我们已经将用户 chroot'd 到/home/ftp并且他们无法访问该目录结构之外的文件系统的任何区域,但是以防万一这些权限发生任何变化,您应该拒绝在您的/etc/ftpaccess文件中上传到这些区域的权限;/home/ftp/, /home/ftp/bin, /home/ftp/etc, /home/ftp/dev/home/ftp/lib.

编辑ftpaccess文件, vi/etc/ftpaccess并添加以下行以拒绝上传到这些区域的权限。
        # We don't want users being able to upload into these areas.
        upload /home/ftp/* /    no
        upload /home/ftp/* /etc no
        upload /home/ftp/* /dev no
        upload /home/ftp/* /bin no   (1)
        upload /home/ftp/* /lib no   (2)

(1)
仅当您未使用--enable-ls选项时才需要。
(2)
仅当您未使用--enable-ls选项时才需要。
以上各行指定拒绝上传到 chroot'd/, /etc, /dev, /bin/lib目录结构的目录。/home/ftp

上一页主页下一页
FTP 管理工具向上特殊文件.notar