OpenBSD的ftpd程序沒有配置文件�����,就靠設(shè)置運行參數(shù)進行配置�����。所有參數(shù)的含義都可以在ftpd
的man文檔中獲得詳細信息:
$ man ftpd
ftpd程序的啟動有三種方法(inetd/"rc file"/"command line" ):
1: inetd方式:
在"/etc/inetd.conf"文件中有這么一行:
ftp stream tcp nowait root /usr/libexec/ftpd ftpd -US
這里為"ftpd"傳遞了兩個參數(shù)"-US"����。當然你還可以組合自己想要的參數(shù)���。(一些常用參數(shù)的含義已在下文給出)����。
inetd方式還需要同時啟動inetd服務(wù)��,OpenBSD默認啟動了inetd(可以看看 /etc/rc.conf 中的"inetd_flags"變量的值)�����。
2: "rc"方式���;
所謂"rc"方式����,指的就是通過配置"/etc/rc.conf"或者"/etc/rc.conf.local"來啟動系統(tǒng)服務(wù)。
為"/etc/rc.conf"中的"ftpd_flags"變量設(shè)置參數(shù)�,并確保該行沒有被注釋掉。
這種方法需要在重新啟動系統(tǒng)后才會生效���;
3: 直接在命令行下執(zhí)行ftpd命令����,這樣就不需要重啟系統(tǒng)了:
# /usr/libexec/ftpd -4DllUS
ftpd 程序的終止:
1: 如果不需要提供ftp服務(wù)��,則在 /etc/rc.conf 中將 ftpd_flags 變量注釋掉(在該行最開頭加一個"#"符號)�;
2: 使用ps查看ftpd的PID,或者查看"var/run/ftpd.pid"文件���,然后"kill PID"。
以下是 ftpd 常用的一些參數(shù)(這里列出的只是常用的�����,并不是全部��。更多的參數(shù)請查看 ftpd 的man文檔):
-4 如果指定了"-D"參數(shù),則強制 ftpd 只使用IPv4地址�。
-6 和"-4"的解釋類似;如果指定了"-D"參數(shù)��,則強制ftpd只使用IPv6地址���。
-A 只允許匿名登錄(除非指定了"-n"選項)�����。
-D 如果指定了該參數(shù)��, ftpd 將做為daemon運行���,**** ftpd 端口并且fork子進程對連接進行
處理。在繁忙的服務(wù)器上�,這樣可以減少系統(tǒng)負載,與使用 inetd 方式啟動ftpd比起來����,
這種方式使用更少的系統(tǒng)資源。
-d 使用LOG_FTP將Debug信息寫入 syslog���。
-l 每個成功和失敗的 ftp session 都將由 LOG_FTP 工具通過syslog記錄下日志���。如果這個選
項被指定兩次�,所有get/put/append/delete/make directory/remove directory/rename
操作以及所操作的文件都將被記錄進日志�。
-U 每個并發(fā)的ftp session都被記錄到日志文件 /var/run/utmp,記錄的格式就象who(1)命令
的輸出一樣�����。
-n 禁止匿名登錄��。通常是允許的����。
-S 如果設(shè)置了這個參數(shù), ftpd 將會把所有匿名用戶的下載情況記錄在文件 /var/log/ftpd 中
(如果該文件存在的話)�。
-T maxtimeout
連接超時的時間限制。默認是2小時���。
-u mask
強制設(shè)置umask為指定的mask�。而不是使用 /etc/login.conf 中的設(shè)置(/etc/login.conf 中通常
設(shè)置為022)���,并且不允許chmod。
看了這幾個選項����,你應該可以組合出合適的選項來滿足自己的功能需求了����。
1:只允許使用系統(tǒng)帳號登錄FTP����;
因為匿名用戶登錄需要使用到系統(tǒng)中的一個名為"ftp"的帳戶(更多關(guān)于該帳戶的討論,請看本文下
半部分)���,而OpenBSD系統(tǒng)中沒有該帳戶�����,需要手動建立并且設(shè)置正確的權(quán)限����,所以如果只允許用戶
通過系統(tǒng)帳號登錄FTP服務(wù)器�����,則只需要在 /etc/rc.conf 中將 ftpd_flags 的值簡單地設(shè)置為"-D"即可
(雖然這時候的設(shè)置仍然允許匿名用戶登錄�����,但是因為系統(tǒng)中沒有"ftp"用戶,所以無法登錄)�。當
然你也可以多設(shè)置一些參數(shù)。比如:
ftpd_flags="-4DllUSn"
參考上面幾個常用選項的說明����,你就會明白這是什么意思了。
2:允許匿名用戶登錄訪問FTP資源�;
因為匿名用戶登錄到FTP服務(wù)器后,實際上是一個"ftp"用戶的身份進行所有操作����,所以出于安全考慮,
這個用戶的權(quán)限通常被設(shè)置得很低���。比如:
1:不為該用戶提供一個可用的shell��,使其無法登錄系統(tǒng)��;
2:沒有一個可用的密碼(即FAQ上說的"This account shouldn't have a usable password�;");
3:登錄系統(tǒng)后被chroot�����;
......
接下來我們要做的就是按照上面列出的三個要求來添加和設(shè)置這個低權(quán)限����、處處受限的"ftp"用戶。
2.1:添加"ftp"帳戶以提供匿名訪問��;
2.1.1:在/etc/shells中添加一個無法實際使用的shell:
設(shè)置"ftp"使用這個shell的目的�,是不允許它通過shell登錄到系統(tǒng)中。通常我們會有兩種選擇:
/sbin/nologin
/usr/bin/false
為了在添加用戶時可以使用這兩個shell�,我們可以這樣做:
# echo '/sbin/nologin' >>/etc/shells
# echo '/usr/bin/false' >>/etc/shells
或者在未將它們加入到/etc/shells的情況下,在使用adduser添加帳戶時加上"-shell"參數(shù):
# adduser -shell /sbin/nologin
Enter username []: ftp
Enter full name []: anonymous ftpd user
Enter shell bash csh ksh nologin sh [/sbin/nologin]:
......
這里在詢問該用戶使用何種shell時就出現(xiàn)了 /sbin/nologin ���。如果不帶這個參數(shù)�,將無法使用它:
# adduser
Enter username []: ftp
Enter full name []: anonymous ftpd user
Enter shell bash csh ksh nologin sh [bash]: /sbin/nologin
/sbin/nologin: is not allowed!
Enter shell bash csh ksh nologin sh [bash]:
這里就提示了不允許使用 /sbin/nologin 做為shell使用�。
這里使用"adduser -s shell /sbin/nologin"來添加一個這樣的"ftp"帳戶做為示例,并將該用戶的
$HOME目錄設(shè)置為"/var/ftp":
# adduser -shell /sbin/nologin -home /var
Use option ``-silent'' if you don't want to see all warnings and questions.
Reading /etc/shells
Check /etc/master.passwd
Check /etc/group
Ok, let's go.
Don't worry about mistakes. I will give you the chance later to correct any input.
Enter username []: ftp
Enter full name []: anonymous ftpd user
Enter shell bash csh ksh nologin sh [/sbin/nologin]:ENTER
Uid [1001]:ENTER
Login group ftp [ftp]:ENTER
Login group is ``ftp''. Invite ftp into other groups: guest no
[no]:ENTER
Login class daemon default staff [default]:ENTER
Enter password []:ENTER # 在此直接按ENTER鍵���。這樣就可以設(shè)置一個不可用的密碼����。
Set the password so that user cannot logon? (y/n) [n]: y
Name: ftp
Password: ****
Fullname: anonymous ftpd user
Uid: 1001
Gid: 1001 (ftp)
Groups: ftp
Login Class: default
HOME: /var/ftp
Shell:
OK? (y/n) [y]: y
Added user ``ftp''
Copy files from /etc/skel to /var/ftp
Add another user? (y/n) [y]: n
Goodbye!
#
到這里���,添加用戶的工作就完成了���。還需要把從 /etc/skel 復制到 $HOME 目錄的一些"dot files"給刪除�����,
以免暴露信息�����。"dot files"的第一行通常會有一些系統(tǒng)的信息��,比如"~/.cshrc"文件中就有這么一句:
# $OpenBSD: dot.cshrc,v 1.5 2005/02/16 06:56:57 matthieu Exp $
這至少就告訴了匿名登錄的用戶����,這是個OpenBSD系統(tǒng)�����。所以把它們刪除:
# rm -f /var/ftp/.*
3:為/var/ftp目錄設(shè)置正確的權(quán)限以保證安全性����;
3.1:"~ftp"目錄;
"~ftp"目錄表示"ftp"用戶的主目錄��,在本例中就是"/var/ftp"目錄�。
將它的owner設(shè)置為"root",權(quán)限設(shè)置為任何人都不可寫(555):
# chown -R root:wheel /var/ftp
# chmod -R 555 /var/ftp
3.2:"~ftp/bin"目錄;
這個目錄并不是必須的���。如果希望匿名用戶登錄到FTP后能夠執(zhí)行一些command���,就可以將command
復制到這個目錄下��。所有的command的權(quán)限都應該設(shè)置為只允許執(zhí)行(111)����。
# mkdir /var/ftp/bin
# chown -R root:ftp /var/ftp/bin
#COPY YOUR PROGRAMS TO /var/ftp/bin,AND THEN:
# chmod -R 111 /var/ftp/bin/*
3.3:"~ftp/etc"目錄;
和"~ftp/bin"目錄一樣��,這也是個可選的�����,并不推薦創(chuàng)建它�����。(更多關(guān)于該目錄設(shè)置的信息請查看"ftpd"
的man文檔)�。
3.4:"~ftp/pub"目錄:
這個目錄用來存放你希望被匿名用戶訪問的文件。權(quán)限應該設(shè)置為555�����。
# chown -R root:ftp /var/ftp/pub
# chmod -R 555 /var/ftp/pub
這里雖然提到了創(chuàng)建三個目錄,但是實際上我們只需要創(chuàng)建"~ftp/pub"目錄并設(shè)置好權(quán)限就可以了�����。
4:chroot匿名登錄的用戶�;
"ftpd"會將"/etc/ftpchroot"文件中列出的用戶都chroot。要使"ftp"用戶在登錄ftp后被chroot�����,只需要簡單
地把用戶名添加到這個文件中就可以了�。這是一個示例文件:
# file : /etc/ftpchroot
# $OpenBSD: ftpchroot,v 1.3 1996/07/18 12:12:47 deraadt Exp $
#
# list of users (one per line) given ftp access to a chrooted area.
# read by ftpd(8).
ftp
bibby
"ftpd"在啟動時會讀取這個文件,如果"ftp"和"bibby"這兩個用戶登錄ftp�����,將被分別chroot到自己的$HOME目錄下���。
5:其他一些相關(guān)文件���;
/etc/ftpusers -- 列出了所有不受歡迎的用戶。列在該文件中的用戶都無法登錄ftp�。
/etc/ftpwelcome -- 歡迎信息�。登錄上ftp的用戶都將在登錄時看到這一信息����。
/etc/motd -- 如果"/etc/ftpwelcome"文件不存在,則使用"/etc/motd"文件的內(nèi)容做為歡迎信息�。
.message -- 這個文件可以被放置在"~ftp"目錄下的任何一個子目錄中。用戶進入該目錄時就會顯示這個文件中的內(nèi)容�。
