Po skonfigurowaniu SELinux powinno się również ustawić podstawowy poziom bezpieczeństwa dla usługi vsftpd. FTP obsługuję dwa rodzaje transferów plików. Pierwszy rodzaj zwany aktywnym w jakim użytkownicy łączą się po porcie 20. Drugi rodzaj zwany pasywnym gdzie możliwe jest zdefiniowanie portu powyżej 1024. Ponieważ administrator decyduje jakiego rodzaju połączenie wybierze należy zgodnie z wyborem ustawić odpowiednie porty oraz otworzyć ruch w firewall. Wracając do poprzedniego rozdziału mieliśmy tam ustawienie parametru connect_from_port_20 jako "YES" co oznacza że domyślnie usługa FTP wykorzystuję aktywny typ połączenia.
Zobaczmy pozostałe opcje umożliwiające polepszenie bezpieczeństwa usługi FTP. Parametr user_list_enable domyślnie ustawiony na "YES" co umożliwia usłudze vsftpd sprawdzać plik /etc/vsftpd/user_list. Jeżeli użyjemy tej opcji wraz z parametrem userlist_deny wszyscy użytkownicy zawarci w tym pliku nie dostaną się do systemu przy użyciu FTP. Jeżeli nie ma potrzeby używać tej funkcjonalności proponuję ustawić parametr userlist_deny = NO . Teraz wszyscy użytkownicy jacy mają mieć możliwość korzystania z usługi FTP muszą znaleźć się na listach /etc/vsftpd/user_list pozostali nie uzyskają dostępu.
Zawartość pliku /etc/vsftpd/user_list
# vsftpd userlist
# If userlist_deny=NO, only allow users in this file
# If userlist_deny=YES (default), never allow users in this file, and
# do not even prompt for a password.
# Note that the default vsftpd pam config also checks /etc/vsftpd/ftpusers
# for users that are denied.
root
bin
daemon
adm
lp
sync
shutdown
halt
news
uucp
operator
games
nobody
Ustawienia w pliku można zrealizować bardzo szybko dodając lub usuwając danego użytkownika z listy
Komentarze
Prześlij komentarz