VSFTPD

Anonymní FTP server, podpora zápisu pro anonymní uživatele

Tato varianta nastavení se dnes již tolik nepoužívá, protože může snadno dojít ke zneužití FTP serveru, kdy se stane díky povolenému zápisu i pro anonymní uživatele skladištěm různého nelegálního materiálu jako je software, filmy nebo hudba ve formátu mp3.

V hlavním konfiguračním souboru /etc/vsftpd/vsftpd.conf je zapotřebí povolit tyto direktivy:

anonymous_enable=YES
write_enable=YES
anon_upload_enable=YES

a případně nastavit direktivu local_enable=NO, pokud chceme zamezit přihlášení lokálním uživatelům.

Dále musíme vytvořit adresář pro upload a nastavit mu příslušná práva například tak, aby anonymní uživatelé neměli možnost číst soubory v tomto adresáři.

mkdir /var/ftp/pub/upload
chown ftp:ftp /var/ftp/pub/upload
chmod 722 /var/ftp/pub/upload

Pokud chceme mít adresář s daty pro anonymní uživatele jinde než v defaultně nastaveném adresáři /var/ftp/pub/, tak použijeme direktivu anon_root. Tento adresář je zároveň výchozí, tzn. anonymní uživatelé jsou defaultně chrootováni v tomto adresáři a nemají tak možnost se dostat jinam do systémových adresářů.

anon_root=/home/ftp/

Chceme-li povolit anonymním uživatelům vytvářet adresáře, tak použijeme volbu anon_mkdir_write_enable=YES a aby měli případně právo zápisu do nově vytvářených adresářů, tak změníme i masku (defaultně je 077) direktivou anon_umask. Anonymní uživatelé nemají standardně právo přejmenovávat nebo mazat soubory či adresáře - toto právo jim můžeme přidělit direktivou anon_other_write_enable=YES.

Je také dobré vědět, že pro anonymní uživatele je defaultně nastavena direktiva anon_world_readable_only, která povoluje anonymním uživatelům stahovat z FTP serveru pouze soubory, které mají nastavené právo čtení pro všechny.

Pro limitování rychlosti přenosu dat (upload i download) pro anonymní uživatele se může hodit direktiva anon_max_rate, kterou lze nastavit rychlost přenosu dat v Bytech/s.

Direktiva chown_uploads a případně direktiva chown_username (je defaultně nastavena na uživatele root) slouží ke změně vlastníka anonymně uploadovaného souboru.

Občas se hodí anonymní FTP server trochu více zabezpečit proti zneužití jako již bylo zmiňováno v úvodu a toho můžeme dosáhnout tím, že nastavíme pro anonymního uživatele heslo (nebo více hesel) pomocí direktivy secure_email_list_enable. Hesla nebo lépe řečeno e-mailové adresy, které budou opravňovat ke vstupu na anonymní FTP server umístíme do souboru daného direktivou email_password_file, jejíž defaultní hodnota je /etc/vsftpd.email_passwords. Ještě bych měl dodat, že toto zabezpečení je poměrně slabé, takže pokud máte v adresářích FTP serveru důvěrné věci, tak doporučuji použít jiný typ nastavení serveru než je využití anonymních uživatelů. Soubor s hesly, které naopak zakazují přihlášení anonymního uživatele je dán volbou banned_email_file a defaultně leží v souboru /etc/vsftpd.banned_emails. Tuto vlasnost povolíme direktivou deny_email_enable.

Naposledy změněno: 11.2.2007 10:40