VSFTPD
Anonymní FTP server, podpora zápisu pro anonymní uživatele
Tato varianta nastavení se dnes již tolik nepoužívá, protože může snadno dojít ke zneužití FTP serveru, kdy se stane díky povolenému zápisu i pro anonymní uživatele skladištěm různého nelegálního materiálu jako je software, filmy nebo hudba ve formátu mp3.
V hlavním konfiguračním souboru /etc/vsftpd/vsftpd.conf
je
zapotřebí povolit tyto direktivy:
anonymous_enable=YES write_enable=YES anon_upload_enable=YES
a případně nastavit direktivu local_enable=NO
, pokud chceme
zamezit přihlášení lokálním uživatelům.
Dále musíme vytvořit adresář pro upload a nastavit mu příslušná práva například tak, aby anonymní uživatelé neměli možnost číst soubory v tomto adresáři.
mkdir /var/ftp/pub/upload chown ftp:ftp /var/ftp/pub/upload chmod 722 /var/ftp/pub/upload
Pokud chceme mít adresář s daty pro anonymní uživatele jinde než v defaultně
nastaveném adresáři /var/ftp/pub/
, tak použijeme direktivu
anon_root
. Tento adresář je zároveň výchozí, tzn. anonymní
uživatelé jsou defaultně chrootováni v tomto adresáři a nemají tak možnost
se dostat jinam do systémových adresářů.
anon_root=/home/ftp/
Chceme-li povolit anonymním uživatelům vytvářet adresáře, tak použijeme volbu
anon_mkdir_write_enable=YES
a aby měli případně právo zápisu do
nově vytvářených adresářů, tak změníme i masku (defaultně je 077) direktivou
anon_umask
. Anonymní uživatelé nemají standardně právo
přejmenovávat nebo mazat soubory či adresáře - toto právo jim můžeme přidělit
direktivou anon_other_write_enable=YES
.
Je také dobré vědět, že pro anonymní uživatele je defaultně nastavena
direktiva anon_world_readable_only
, která povoluje anonymním
uživatelům stahovat z FTP serveru pouze soubory, které mají nastavené právo
čtení pro všechny.
Pro limitování rychlosti přenosu dat (upload i download) pro anonymní
uživatele se může hodit direktiva anon_max_rate
, kterou
lze nastavit rychlost přenosu dat v Bytech/s.
Direktiva chown_uploads
a případně direktiva
chown_username
(je defaultně nastavena na uživatele root) slouží
ke změně vlastníka anonymně uploadovaného souboru.
Občas se hodí anonymní FTP server trochu více zabezpečit proti zneužití jako
již bylo zmiňováno v úvodu a toho můžeme dosáhnout tím, že nastavíme
pro anonymního uživatele heslo (nebo více hesel) pomocí direktivy
secure_email_list_enable
. Hesla nebo lépe řečeno e-mailové
adresy, které budou opravňovat ke vstupu na anonymní FTP server umístíme
do souboru daného direktivou email_password_file
, jejíž
defaultní hodnota je /etc/vsftpd.email_passwords
. Ještě bych měl
dodat, že toto zabezpečení je poměrně slabé, takže pokud máte v adresářích
FTP serveru důvěrné věci, tak doporučuji použít jiný typ nastavení serveru
než je využití anonymních uživatelů.
Soubor s hesly, které naopak zakazují přihlášení anonymního uživatele je dán
volbou banned_email_file
a defaultně leží v souboru
/etc/vsftpd.banned_emails
. Tuto vlasnost povolíme direktivou
deny_email_enable
.