Linux глазами хакера

Флёнов Михаил Евгеньевич

Чтобы решить проблему работы через сетевой экран, был разработан пассивный режим. В большинстве серверов и клиентских программ именно его теперь начинают устанавливать по умолчанию, потому что сетевые экраны в наше время уже встроены почти во все ОС.

В пассивном режиме соединение происходит иначе:

□ клиент запрашивает скачивание или просит принять файл;

□ сервер осуществляет привязку к порту и сообщает клиенту номер канала, куда необходимо подключиться для получения или отправки данных;

□ клиент устанавливает соединение с указанным портом, по которому происходит передача данных.

Таким образом, сервер только открывает

порт и подготавливается к обмену файлами, а все соединения происходят только со стороны клиента. Это уже не противоречит правилам сетевого экрана.

10.2. Конфигурирование wu-ftp-сервера

По моим наблюдениям самым распространенным FTP-сервером является wu-ftp (Washington University FTP Server), потому что он поставляется вместе с основными дистрибутивами Linux, в том числе Red Hat и его клонами. Если у вас именно такой дистрибутив, то с установкой проблем не будет. Остается только правильно сконфигурировать сервис. Но даже если сейчас в системе нет FTP-сервера, его легко установить из RPM-пакета (для Redhat-систем) или другого архива.

Для конфигурирования FTP в современных дистрибутивах есть графическая утилита kwuftpd. Для ее запуска выберите основное меню KDE, а затем нажмите System/kwuftpd. Главное окно программы вы можете увидеть на рис. 10.4. Но, как всегда, мы будем рассматривать более тонкую настройку через конфигурационные файлы. Разобравшись с этим, вы без проблем сможете настроить свой FTP-сервер и с помощью графической утилиты kwuftpd.

Рис. 10.4. Главное окно программы kwuftpd

Итак, конфигурация FTP-сервера содержится в шести файлах:

□ ftpaccess — определяются права доступа к серверу, круг пользователей FTP и основные настройки безопасности;

□ ftpservers — описываются виртуальные FTP-серверы;

□ ftpusers — указываются пользователи, которым явно запрещен доступ к FTP-серверу;

□ ftphosts — определяются права доступа к серверу с определенных хостов. Можно как запрещать, так и разрешать доступ;

□ ftpgroups — описываются группы FTP;

□ ftpconversion — дает нам возможность настройки преобразования файлов на лету.

10.3. Основные настройки wu-ftp-сервера

Основным конфигурационным файлом wu-ftp-сервера является ftpaccess. Его содержимое можно увидеть в листинге 10.2.

Листинг 10.2. Пример конфигурационного файла ftpaccess

# This file was generated by the KDE wu-ftpd configurator.

# (c) 2000 by Bernhard Rosenkränzer (bero@redhat.com)

class all anonymous, guest, real *

noretrieve

loginfails 5

private no

banner /welcome.msg

email root@localhost

message/welcome.msg LOGIN

message.message CWD=*

readme README* LOGIN

readme README* CWD=*

chmod no anonymous, guest

delete no anonymous

overwrite no anonymous

rename no anonymous

passwd-check rfc822 warn

log transfers anonymous,guest,real inbound

log transfers anonymous,guest,real outbound

anonymous-root /home/flenov

При

настройке FTP-сервера существует множество директив, для которых администраторы сохраняют исходные значения, потому что их работа не влияет на производительность или безопасность. Хотя некоторые из них помогают предотвратить неправильное или неэффективное использование сервера (например, время ожидания

timeout XXXX

способствует освобождению ресурсов), но значений по умолчанию достаточно, кроме того, изменение некоторых из них может, наоборот, сделать работу менее комфортной.

Давайте рассмотрим основные директивы этого файла. Чтобы впоследствии с ними легче было работать, я разбил все команды по категориям.

О дополнительных возможностях, которые мы не рассмотрим, вы можете получить подробную информацию из страниц руководства, выполнив команду

man ftpaccess

.

10.3.1. Доступ

Такие директивы определяют основные права доступа к FTP-серверу. Давайте рассмотрим основные из них:

□ 

class имя type адреса

— позволяет организовать классы пользователей по их типу и адресу. В нашем конфигурационном файле указана следующая строка:

class all anonymous,guest,real *

В качестве имени класса здесь указано

all

. После этого идет перечисление через запятую типов пользователей, которые будут отнесены к этому классу. В данном случае присутствуют все категории:

anonymous

,

guest

и

real

(анонимные, гости и авторизованные пользователи). Последний параметр — это шаблон адреса, на месте которого стоит звездочка, т.е. любой адрес. Получается, что к классу

all

относятся любые пользователи с произвольными адресами.

Классы — очень удобная вещь. Это как группы. Вы объединяете определенных пользователей и можете назначать им права. Например, можно создать класс пользователей, у которых IP-адрес относится к зоне вашей компании, офиса или страны. Затем только этому классу открываете полноценный доступ к FTP, а всем остальным — запрещаете или ограничиваете использование. Назначить права сразу целому классу намного удобнее, чем расписывать разрешение каждому пользователю в отдельности;

□ 

noretrieve тип класс файл

— запрещает чтение указанного файла. Параметр тип указывает на абсолютную (absolute) или относительную (relative) адресацию (путь) к файлу. Далее идет определение класса в формате

class=имя класса

, к которому относится данный запрет. Можно явно указать описанный выше класс

all

или вообще его опустить, тогда запрет будет относиться ко всем пользователям. Если в качестве файла указан конкретный путь, то доступа не будет только к этому файлу. Если в параметре указано лишь его имя (например, passwd), то будет закрыт доступ ко всем файлам с таким названием в любой директории.