15.2.3. Разграничение доступа к серверу ProFTP
15.2.3. Разграничение доступа к серверу ProFTP
Я считаю необходимым подробно рассмотреть блочную директиву Limit. Эта директива определяет вид и параметры доступа к тому или иному каталогу. Рассмотрим листинг 15.8.
Листинг 15.8. Пример использования директивы Limit
<Directory incoming>
<Limit WRITE>
AllowAll
</Limit>
<Limit READ>
DenyAll
</Limit>
</Directory>
Директива Directory определяет свойства каталога incoming, а директива Limit задает вид доступа к этому каталогу. Команда WRITE директивы Limit вместе с директивой AllowAll разрешает всем пользователям записывать информацию в этот каталог. Команда READ директивы Limit задает ограничение на чтение этого каталога. В рассматриваемом случае чтение запрещено для всех пользователей.
Кроме команд WRITE и READ, в директиве Limit можно задавать команды STOR и LOGIN (таблица 15.6).
Команды директивы Limit, ограничивающие права доступа Таблица 15.6
Команда Назначение LOGIN Ограничивает регистрацию WRITE Ограничивает запись HEAD Ограничивает чтение STOR Ограничивает прием файловВ блоке Limit можно задавать директивы Allow, AllowAll, AllowGroup, AllowUser, Deny, DenyAll, DenyUser. Например, в листинге 15.9 запрещается доступ всем пользователям, кроме den. Пользователь den может регистрироваться со всех компьютеров, кроме компьютера с IP-адресом 111.111.111.111. Также запрещена регистрация из сети 192.168.2.0
Листинг 15.9. Пример блока Limit
<Limit LOGIN>
DenyAll
AllowUser den
Deny from 111.111.111.111
Deny from 192.168.2.
</Limit>
Для конфигурирования отдельного каталога может также использоваться файл .ftpaccess, который расположен в этом каталоге. В нем содержатся такие же директивы, что и в файле proftpd.conf, но файл .ftpaccess имеет приоритет перед файлом proftpd.conf.
Организация анонимного FTP-сервера
Анонимный FTP-сервер можно построить с помощью wu-ftpd, установив пакет anonftp. Этот пакет нельзя использовать вместе с сервером ProFTPD. Пакет anonftp поставляется в составе большинства дистрибутивов.
Сейчас рассмотрим, как организовать анонимный FTP-сервер с помощью сервера ProFTPD. Для организации анонимного доступа сервер ProFTPD имеет директиву Anonymous. При этом в блок Anonymous нужно поместить директивы, конфигурирующие анонимную службу. В самой же директиве Anonymous необходимо указать каталог, который будет использоваться в качестве корневого для анонимной службы. Сервер ProFTPD выполнит для этого каталога команду chroot, превращая этот каталог в корневой для удаленного пользователя. Перед тем, как сделать это, сервер ProFTPD прочитает все необходимые ему файлы конфигурации из реального каталога /etc.
При анонимной регистрации по умолчанию в качестве имени пользователя указывается anonymous, а вместо пароля — адрес электронной почты пользователя. Вы же можете изменить параметры анонимного доступа, добавив проверку пароля для анонимного пользователя с помощью директивы AnonRequirePassword. В следующем примере представлен типичный блок Anonymous, подходящий для большинства анонимных серверов (см. листинг 15.10).
Листинг 15.10. Типичный блок Anonymous
<Anonymous /var/ftp>
User ftp
Group ftp
UserAlias anonymous ftp
RequireValidShell off
<Directory *>
<Limit WRITE>
DenyAll
</Limit>
<Limit STOR>
AllowAll
</Limit>
</Directory>
</Anonymous>
Директивы User и Group задают имя пользователя для анонимного доступа. В обоих случаях применяется имя ftp. Для имени ftp определяется псевдоним anonymous. Вместо пароля нужно указать адрес электронной почты.
Директива RequireValidShell отключает проверку командного интерпретатора пользователя. По умолчанию сервер ProFTPD ищет список допустимых интерпретаторов в файле /etc/shells. Если используемый пользователем интерпретатор не указан в файле /etc/shells, то соединение будет разорвано. Директива RequireValidShell off отключает такую проверку.
Директива <Directory *> определяет свойства для всех каталогов. При этом всем пользователям запрещено записывать файлы на сервер, но разрешено скачивать файлы сервера на свой локальный компьютер.
Желательно также добавить в блок Anonymous директиву MaxClients, которая указывает максимальное число клиентов. Нужно учитывать нагрузку на сервер и пропускной канал для определения максимального числа анонимных клиентов. Настоящих пользователей сервера FTP по возможности не следует ограничивать, в отличие от анонимных. При медленном канале связи, например, 33 Кбит/сек, установите максимальное количество анонимных клиентов небольшим, например, 5 или даже 3. Конечно, число клиентов также зависит от объема информации, расположенной на сервере. Если размеры файлов невелики (например, это текстовые файлы), то число клиентов можно установить несколько большим (10–15).
Более 800 000 книг и аудиокниг! 📚
Получи 2 месяца Литрес Подписки в подарок и наслаждайся неограниченным чтением
ПОЛУЧИТЬ ПОДАРОКДанный текст является ознакомительным фрагментом.
Читайте также
Меньше запросов — легче серверу
Меньше запросов — легче серверу Используя объединение файлов, мы не заставляем сервер обмениваться с браузером заголовками для передачи, например, нескольких таблиц стилей — гораздо экономичнее будет их объединить в одну. При этом браузер быстрее получит всю
17.3.5. Подключение к серверу
17.3.5. Подключение к серверу Как и серверы, клиенты могут сразу после создания сокета связывать с ним локальный адрес. Обычно клиент пропускает этот шаг, предоставляя ядру присвоить сокету любой подходящий локальный адрес.После этапа связывания (который, впрочем, может
(6.19) Можно ли подключиться к серверу удаленного доступа на Win9x?
(6.19) Можно ли подключиться к серверу удаленного доступа на Win9x? Да, можно. Зайдите в Свойства соединения, закладка "Безопасность"?"Дополнительные (особые параметры)"?"Hастройка"?"Разрешить следующие протоколы"?опция "Разрешить старый протокол MS-CHAP для Windows
5.3.3. Параметры доступа к серверу sshd
5.3.3. Параметры доступа к серверу sshd Кроме приведенных в листинге 5.1 можно использовать следующие директивы:? AllowGroups — позволить вход в систему только пользователям указанных групп (перечисляются через пробел в одной строке);? AllowUsers — разрешить вход в систему
Требования к серверу Kerberos
Требования к серверу Kerberos Зная принципы работы системы Kerberos, можно сформулировать требования к ее компонентам. Очевидно, что с точки зрения безопасности сети KDC является чрезвычайно важным компонентом системы. Доступ к серверу (равно как и физический доступ к компьютеру,
13.6. Подключение к серверу Novell Netware
13.6. Подключение к серверу Novell Netware Для того чтобы подключаться к серверу Novell, необходимо установить пакет ncpfs. NCPFS - это файловая система, которая понимает протокол NCP (NetWare Core Protocol) фирмы Novell. Другими словами, пакет ncpfs - это клиент сети Netware для Linux. Протокол NCP играет в мире Novell
15.2. Сервер ProFTP
15.2. Сервер ProFTP 15.2.1. Установка и запуск ProFTPD Альтернативой, и, на мой взгляд, достаточно хорошей, серверу wu-ftpd является сервер ProFTPD. Он намного проще в конфигурировании, чем сервер wu-ftpd, и обладает достаточно гибкими возможностями. Для его установки достаточно установить
Подключаемся к серверу
Подключаемся к серверу Для того чтобы подключиться к одному из серверов TeamTalk, который работает в Интернете или локальной сети, нужно воспользоваться меню Файл | Присоединиться или нажать горячую клавишу <F2>. Также вы можете нажать кнопку на панели инструментов, на
Подключаемся к серверу
Подключаемся к серверу При первом запуске программы открывается диалоговое окно (рис. 9.17), в которое нужно ввести IP-адрес удаленного сервера и его порт. Необходимость указывать порт появляется только в том случае, если сервер прослушивает запросы на нестандартном порту,
Подключаемся к серверу
Подключаемся к серверу Итак, давайте попробуем подключиться к серверу VNC с помощью браузера. Для этого сначала запустим Internet Explorer, потом в адресной строке пропишем путь: http:/ /172.16.35.124:5800, где http — тип протокола (его нужно обязательно указать), 172.16.35.124 — адрес удаленного
Подключаемся к серверу
Подключаемся к серверу Итак, мы сделали все приготовления на стороне сервера, и теперь он дожидается, когда мы к нему подключимся. Мы же сидим за компьютером-клиентом и чешем ладошки, ожидая, когда он загрузится, — кстати говоря, к этому компьютеру тоже подключен модем,
Разграничение доступа к элементам класса
Разграничение доступа к элементам класса Определив класс, вы можете создавать объекты этого класса и манипулировать ими, используя методы. Некоторые данные и методы, объединенные одним классом, можно сделать недоступными вне реализации класса, к другим можно будет
Разграничение доступа к элементам базового класса
Разграничение доступа к элементам базового класса Мы уже рассказывали, что можно управлять доступом к элементам класса, указывая спецификаторы доступа для элементов класса. Элементы класса, объявленные с спецификаторами protected и private доступны только из методов самого
29.3. Подключение к Web–серверу
29.3. Подключение к Web–серверу Для подключения к Web–серверу используется URL (Uniform Resource Locator — унифицированный указатель ресурсов). Указатель URL содержит два типа информации:протокол адрес и данныеПротоколом может быть протокол http, ftp, mailto, file, telnet и news. В этой главе будет
Разграничение доступа к файлам
Разграничение доступа к файлам В Windows Vista можно управлять правами доступа к файлам и папкам для различных пользователей. Эта возможность реализована в файловой системе NTFS в виде разрешений, которые хранятся для каждого файла или папки вместе с именем, размером, датой и