dokumentasi<Sebelum | Contents [show] | Seterusnya>
1.4. Mengamankan FTP
Terdapat pilihan dalam /etc/vsftpd.conf untuk membantu menjadikan vsftpd lebih selamat. Sebagai contoh, pengguna boleh dihadkan kepada direktori rumah mereka dengan menyahkomen:
chroot_local_user=YA
Anda juga boleh mengehadkan senarai pengguna tertentu kepada hanya direktori rumah mereka:
chroot_list_enable=YA chroot_list_file=/etc/vsftpd.chroot_list
Selepas menyahkomen pilihan di atas, buat a /etc/vsftpd.chroot_list mengandungi senarai pengguna satu setiap baris. Kemudian mulakan semula vsftpd:
sudo systemctl mulakan semula vsftpd.service
Selain itu, /etc/ftpusers fail ialah senarai pengguna yang tidak dibenarkan Akses FTP. Senarai lalai termasuk root, daemon, nobody, dsb. Untuk melumpuhkan akses FTP bagi pengguna tambahan cuma tambahkan mereka ke senarai.
FTP juga boleh disulitkan menggunakan FTPS. Berlainan daripada SFTP, FTPS ialah FTP atas Lapisan Soket Selamat (SSL). SFTP ialah sesi seperti FTP melalui yang disulitkan SSH sambungan. Perbezaan utama ialah pengguna SFTP perlu mempunyai a shell akaun pada sistem, bukannya a log masuk cangkerang. Menyediakan semua pengguna dengan cangkerang mungkin tidak sesuai untuk sesetengah persekitaran, seperti hos web kongsi. Walau bagaimanapun, adalah mungkin untuk mengehadkan akaun sedemikian kepada SFTP sahaja dan melumpuhkan interaksi shell. Lihat bahagian pada OpenSSH-Server untuk maklumat lanjut.
Untuk mengkonfigurasi FTPS, edit /etc/vsftpd.conf dan di bahagian bawah tambahkan:
ssl_enable=Ya
Juga, perhatikan sijil dan pilihan berkaitan utama:
rsa_cert_file=/etc/ssl/certs/ssl-cert-snakeoil.pem rsa_private_key_file=/etc/ssl/private/ssl-cert-snakeoil.key
Secara lalai pilihan ini ditetapkan kepada sijil dan kunci yang disediakan oleh pakej ssl-cert. Dalam persekitaran pengeluaran ini harus digantikan dengan sijil dan kunci yang dijana untuk hos tertentu. Untuk maklumat lanjut tentang sijil lihat Bahagian 5, “Sijil” [hlm. 198].
Sekarang mulakan semula vsftpd, dan pengguna bukan tanpa nama akan dipaksa untuk menggunakan FTPS:
sudo systemctl mulakan semula vsftpd.service
Untuk membenarkan pengguna dengan shell of /usr/sbin/nologin akses kepada FTP, tetapi tidak mempunyai akses shell, edit / dll / tempurung
menambah log masuk cangkang:
# /etc/shells: shell log masuk yang sah
/bin/csh
/ Bin / sh
/usr/bin/es
/usr/bin/ksh
/bin/ksh
/usr/bin/rc
/usr/bin/tcsh
/ bin / tcsh
/usr/bin/esh
/bin/dash
/ bin / bash
/bin/rbash
/usr/bin/screen
/usr/sbin/nologin
Ini perlu kerana, secara lalai vsftpd menggunakan PAM untuk pengesahan, dan /etc/pam.d/vsftpd
fail konfigurasi mengandungi:
pengesahan diperlukan pam_shells.so
. cengkerang Modul PAM mengehadkan akses kepada cangkerang yang disenaraikan dalam / dll / tempurung fail.
Kebanyakan klien FTP yang popular boleh dikonfigurasikan untuk menyambung menggunakan FTPS. Pelanggan FTP baris arahan lftp mempunyai keupayaan untuk menggunakan FTPS juga.