אבטחת FTP ממדריך השרת של אובונטו מאת OnWorks

עבור לתוכן

1.4. אבטחת FTP

יש אפשרויות ב /etc/vsftpd.conf כדי לעזור להפוך את vsftpd לאבטח יותר. לדוגמה, משתמשים יכולים להיות מוגבלים לספריות הביתיות שלהם על ידי ביטול הערות:

chroot_local_user=כן

אתה יכול גם להגביל רשימה ספציפית של משתמשים רק לספריות הביתיות שלהם:

chroot_list_enable=כן chroot_list_file=/etc/vsftpd.chroot_list

לאחר ביטול ההערות לאפשרויות לעיל, צור א /etc/vsftpd.chroot_list מכיל רשימה של משתמשים אחד בכל שורה. ואז הפעל מחדש את vsftpd:

sudo systemctl הפעל מחדש את vsftpd.service

כמו כן, /etc/ftpusers הקובץ הוא רשימה של משתמשים שכן אסור גישת FTP. רשימת ברירת המחדל כוללת root, daemon, אף אחד וכו'. כדי להשבית גישת FTP עבור משתמשים נוספים פשוט הוסף אותם לרשימה.

ניתן להצפין FTP גם באמצעות FTPS. שונה מ SFTP, FTPS הוא FTP over Secure Socket Layer (SSL). SFTP הוא הפעלה כמו FTP על גבי מוצפן SSH חיבור. ההבדל העיקרי הוא שמשתמשי SFTP צריכים להיות בעלי א פָּגָז חשבון במערכת, במקום א נולוגין צדף. מתן מעטפת לכל המשתמשים עשוי שלא להיות אידיאלי עבור סביבות מסוימות, כגון מארח אינטרנט משותף. עם זאת, ניתן להגביל חשבונות כאלה ל-SFTP בלבד ולהשבית אינטראקציה של מעטפת. עיין בסעיף על OpenSSH-Server למידע נוסף.

להגדרת תצורה FTPS, ערוך /etc/vsftpd.conf ולמטה להוסיף:

ssl_enable=כן

כמו כן, שימו לב לאפשרויות הקשורות לאישור ולמפתח:

rsa_cert_file=/etc/ssl/certs/ssl-cert-snakeoil.pem rsa_private_key_file=/etc/ssl/private/ssl-cert-snakeoil.key

כברירת מחדל, אפשרויות אלו מוגדרות לאישור ולמפתח שסופקו על ידי חבילת ssl-cert. בסביבת ייצור יש להחליף את אלה באישור ובמפתח שנוצר עבור המארח הספציפי. למידע נוסף על תעודות ראה סעיף 5, "תעודות" [עמ'. 198].

כעת הפעל מחדש את vsftpd, ומשתמשים לא אנונימיים ייאלצו להשתמש FTPS:

sudo systemctl הפעל מחדש את vsftpd.service

כדי לאפשר למשתמשים עם מעטפת של /usr/sbin/nologin גישה ל-FTP, אך אין לי גישה למעטפת, ערוך / וכו '/ קליפות

הוספת ה- נולוגין קליפה:

# /etc/shells: קונכיות כניסה חוקיות

/ bin / csh

/ Bin / sh

/usr/bin/es

/usr/bin/ksh

/ bin / ksh

/usr/bin/rc

/usr/bin/tcsh