LINUX.ORG.RU
решено ФорумAdmin

Белый список пользователей

 ,


2

1

Для proftpd в файле /etc/ftpusers можно составить чёрный список пользователей, которым запрещён доступ к ftp. А как задать белый список по принципу „запрещено всё, что явно не разрешено”? В гугле аналогов этому файлу не нашёл.

1. использовать опции конфигурации конкретного FTP-сервера, если такая возможность им поддерживается
2. создать файл со списком разрешенных, типа /etc/ftpallow, а потом скриптом записывать в /etc/ftpusers всех пользователей, кроме указанных.

lnx
()

не заметил тэг proftpd
у него в конфиге можно задать

UseFtpUsers off

<Limit LOGIN>
AllowUser user1
AllowUser user2
AllowUser user3
AllowUser userX
DenyALL
</Limit>
Аналогично можно использовать AllowGroup

lnx
()

wintrolls

Для proftpd в файле /etc/ftpusers можно составить чёрный список пользователей, которым запрещён доступ к ftp. А как задать белый список по принципу „запрещено всё, что явно не разрешено”?

ну для всего сервера в конфиге задаётся. Но любой юзер может себе сделать свой список, см. здесь: http://www.proftpd.org/localsite/Userguide/linked/x1021.html (для Ъ: файл .ftpaccess)

drBatty ★★
()
Ответ на: комментарий от drBatty

(для Ъ: файл .ftpaccess)
Разве через .ftpaccess можно задать пользователей, которым разрешено логиниться? Ведь правила из него применяются только для залогиненного пользователя, если каталоги у всех пользователей разные.

wintrolls ☆☆
() автор топика
Ответ на: комментарий от wintrolls

wintrolls

Ведь правила из него применяются только для залогиненного пользователя, если каталоги у всех пользователей разные.

эх... Вы хотите запретить вход по ftp пользователю user с каталогом /home/user - так задайте ему соответствующий /home/user/.ftpaccess, и доступ будет запрещён. Что-бы получить «запрещено всё», запишите этот файл в skeleton directory. Ну и всем уже существующим юзерам.

И не надо спорить, я и не говорил, что этот метод _самый_ _лучший_ *всегда*. Просто один из вариантов. Иногда удобный, иногда - нет. Можно также использовать default shell, что-бы по умолчанию юзеры вообще никак не могли зайти (конечно для proftpd должно быть умолчание RequireValidShell on), и /bin/false в качестве умолчальной shell.

Все эти методы хотя-бы не такие костыльные, как скрипт, который всех юзверей загоняет в ftpusers. ИМХО.

drBatty ★★
()
Ответ на: комментарий от drBatty

Вы хотите запретить вход по ftp пользователю user с каталогом /home/user - так задайте ему соответствующий /home/user/.ftpaccess, и доступ будет запрещён

Это невозможно контролировать, т.к. настройки децентрализованы и не действуют для свежесозданных пользователей. К тому же это нельзя назвать белым списком, т.к. в этом случае нужно явно запрещать каждому отдельному пользователю логиниться, что фактически ничем не отличается от внесения пользователя в /etc/ftpusers и по сути является чёрным списком. Лично я решил способом, описанным выше.

wintrolls ☆☆
() автор топика
Ответ на: комментарий от wintrolls

wintrolls

Это невозможно контролировать, т.к. настройки децентрализованы и не действуют для свежесозданных пользователей.

дык писал же:

drBatty

Что-бы получить «запрещено всё», запишите этот файл в skeleton directory.

wintrolls

т.к. в этом случае нужно явно запрещать каждому отдельному пользователю логиниться, что фактически ничем не отличается от внесения пользователя в /etc/ftpusers и по сути является чёрным списком.

нет. для внесения в ftpusers нужно проделать дополнительное действие, а по моему способу _все_ новые юзеры будут автоматом без ftp. При этом они могут сами этот ftp включить, если он им конечно нужен, и если они ещё и имеют доступ к своим файлам например по ssh или например локально.
Мне IRL как-то попалась именно такая задача. Не разрешать-же всем подряд править конфиг ftp-сервера?

drBatty ★★
()
Ответ на: комментарий от drBatty

В моём случае поправить конфиг proftpd предпочтительнее.

wintrolls ☆☆
() автор топика
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.