[linux] Obmedzenia uzivatelov (telnet,ftp,pop3)

psi na dvalin.bicba.sk psi na dvalin.bicba.sk
Sobota Srpen 19 17:18:48 CEST 2000


On Fri, 18 Aug 2000, Tibor Pittich wrote:

> Dňa 18. Aug 2000 o 16:42, psi na dvalin.bicba.sk napísal(a):
> 
> > systemove riesenie je:
> > 1. nahodit proftpd
> 
> systemove riesenie je nutit niekoho pouzivat isty druh software??? hmm..
> samozrejme proftp je ok, tiez ho pouzivam, ale nie je to jediny ftp server,
> ktory ma pozadovane vlastnosti...

hmm, velmi by ma zaujimalo, ktory dalsi ftp server, ma pozadovane
vlastnosti: je bezpecny, siroko konfigurovatelny, zvlada velku zataz,
modularita ...
A hlavne ma oddelenu databazu uzivatelov od /etc/passwd.
Tym systemovo som myslel, ze proftpd fakt riesi otazku bezpecnosti na
urovni a rovnaku uroven s inymi prostredkami by sa dosahovalo horsie.

> > 3. v configu proftpd dat tym ludom co nemaju mat ani ftp pristup namiesto
> > hesla xx
> 
> ??

proftpd ma 3 moznosti prace s uzivatelmi:
1. user je v /etc/passwd a nieje v configu proftpd - ok, zoberie heslo z
passwd
2. user je v /etc/passwd a je aj v configu proftpd - zoberie sa to heslo,
ktore je udane v configu proftpd (je to kryptovane heslo des-om)
3. user je len v configu proftpd - berie sa user name a passwd z configu

Ak userovy v konfigu proftpd das namiesto zakryptovaneho hesla, len xx,
tak to znaci, ze ma zakazany pristup na ftp. Takto mozes spravit, ze user
sa moze nalogovat do systemu, ale nemoze sa prihlasit cez ftp, cize to
iste ako mozes urobit cez /etc/ftpusers.

> > 4. v configu proftpd povolit prihlasenie sa ludom s neplatnym shelom,
> > rozumej shell, ktory nieje v /etc/shells
> 
> hmmm, podla mna je sikovnejsie ponechat /bin/false mimo /etc/shells, a na
> zaklade toho, ze user nema platny shell mu neumozni pristup ftp server, a
> nemusi sa volat iba proftpd... kto ma mat pristup na ftp bude mat /bin/true
> a tento bude v /etc/shells...

Samozrejme aj toto je riesenie, ale nezda sa mi prilis vhodne davat do
/etc/shells ine polozky ako skutocne shelly, podla mna, pokial to nieje
nutne, tak by v /etc/shells nemalo by nic take, ako /bin/false, /bin/true,
/dev/null ...
 
> > 5. v configu proftpd nastavit aby sa dalo prihlasit len do homediru
> 
> v konfigu lubovolneho ftp servera sa to da nastavit tiez...

_lubovolneho_ ? nechcem ist do flamewar, ale poznam aj zle, horsie a
nepouzitelne a nebezpecne ftp servery.
Zobral som to ako riesenie postavene na proftpd a jeho moznostiach.
Proftpd ma GPL licenciu, keby to bol komercny soft, tak ma mozes obvinit z
reklamy.
Autor prispevku nespecifikoval ftp server, takze asi az tak velmi nezalezi
na pouzitom ftpd.

PSIkappa
psi na bicba.sk

> -- 
> Tibor "FuturE" Pittich | Email       : Tibor.Pittich na phuture.sk




Další informace o konferenci linux