Сетевые средства Linux

Смит Родерик В.

Совет

Указав глобальную опцию

DefaultRoot ~

, вы запретите пользователям доступ к системным каталогам, а также к рабочим каталогам других пользователей. Настроенный подобным образом, сервер ProFTPd разрешает пользователям обращаться только к своим рабочим каталогам.

• 

DefaultTransferMode [ascii|binary]

. FTP-сервер поддерживает два режима передачи файлов. В двоичном режиме (

binary

) содержимое файла передается без изменений, а в символьном режиме (

ascii

) выполняется преобразование некоторых символов. Символьный режим удобен для передачи текстовых файлов, но недопустим для работы с двоичными файлами, например, файлами, содержащими код программ. Директива

DefaultTransferMode

устанавливает режим передачи, используемый по умолчанию. При инсталляции сервера задается значение

ascii

данной директивы.

• 

Deny [from]

идентификаторы_узлов. Данная директива выполняет действия, противоположные директиве

Allow

. Она используется в составе блока

<Limit>

и запрещает клиентам доступ к ресурсу.

• 

DenyAll

. Данную директиву можно использовать в составе блоков

<Limit>

,

<Anonymous>

или

<Directory>

. Она запрещает всем пользователям доступ к ресурсу. При необходимости вы можете указать в том же блоке одну из директив, отменяющих для некоторых пользователей ограничения, наложенные посредством

DenyAll

.

• 

DenyGroup список_групп

. Эта директива позволяет определять группы, которым запрещен доступ к ресурсу в блоке

<Limit>

. Список групп формируется так же, как и для директивы

AllowGroup

.

• 

DenyUser список_пользователей

. Данная директива противоположна

AllowUser

. Она запрещает доступ к ресурсу в блоке

<Limit>

.

• 

DisplayConnect имя_файла

. Если в конфигурационном файле указана данная опция, ProFTPd передает клиенту текст, содержащийся в указанном файле. Это происходит после установления соединения, но до завершения процедуры регистрации.

• 

DisplayFirstChdir имя_файла

. Данная директива указывает ProFTPd на то, что содержимое заданного файла должно быть передано пользователю в тот момент, когда он впервые сделает каталог текущим. Чаще всего для данной директивы задается файл

.message

, в результате чего пользователю передается файл

.message

, содержащийся в том каталоге, к которому он обращается в первый раз.

• 

DisplayLogin имя_файла

. Эта директива действует подобно директиве

DisplayConnect

, но сообщение передается пользователю после успешного завершения процедуры регистрации.

• 

Group идентификатор_группы

. Сервер ProFTPd запускается от имени пользователя root, но сразу после запуска переходит на выполнение с ограниченными полномочиями. Это снижает незаконного проникновения в систему извне. С помощью данной директивы указывается группа, полномочия которой получает ProFTPd. При инсталляции сервера в качестве значения данной директивы обычно задается

nogroup

,

ftp

или другая подобная группа.

• 

MaxClients число | none

. Данная директива позволяет ограничить количество клиентов, которые могут работать с сервером. Числовое значение (например, 30) определяет максимальное количество клиентов, значение

none

снимает данное ограничение.

• 

MaxInstances число

. Эта директива действует подобно

MaxClients

, но если

MaxClients

задает максимальное количество успешно зарегистрировавшихся пользователей, то

MaxInstances

ограничивает число соединений, устанавливаемых сервером. Директива

MaxInstances

неэффективна при запуске ProFTPd посредством суперсервера, но подобные ограничения можно задать при настройке самого суперсервера.

• 

Order allow, deny|deny, allow

. Если в блоке

<Limit>

присутствуют и запрещающие, и разрешающие директивы, ProFTPd сначала выполняет проверку на соответствие разрешающим, а лишь затем запрещающим директивам. В результате разрешающие директивы имеют более высокий приоритет, чем запрещающие. Кроме того, если отсутствует запрещающая директива, доступ по умолчанию разрешается. Поведение сервера можно изменить с помощью опции

Order deny, allow

. В этом случае запрещающие директивы получают более высокий приоритет, чем разрешающие, а доступ, не разрешенный явно, не предоставляется.

• 

RootLogin on|off

. По умолчанию ProFTPd отказывает в регистрации пользователю

root

. Если в конфигурационном файле присутствует опция

RootLogin on

,

root

получает право работать на FTP-сервере. (Для этого вам, возможно, придется предпринять и другие действия, например, удалить пользователя

root

из файла

/etc/ftpusers

.)

• 

ServerIdent on|off ["строка-идентификатор"]

. Данная директива определяет, должен ли ProFTPd при установлении соединения предоставлять клиенту сведения о себе. Задавая значение

on

данной директивы, вы можете также указать строку-идентификатор. По умолчанию сервер сообщает пользователю, что для реализации функций FTP-сервера используется продукт ProFTPd. Если вы не собираетесь объявлять тип программы, вам надо явно указать строку, которая должна передаваться клиенту.

• 

ServerName "строка-идентификатор"

. С помощью данной директивы вы можете задать имя сервера, которое будет включаться в состав строки, используемой

ServerIdent

. Директива

ServerIdent

позволяет переопределить все сообщение, но если вы хотите изменить лишь имя сервера, вы можете использовать для этого опцию

ServerName

.

• 

ServerType inetd|standalone

. Если вы запускаете ProFTPd посредством суперсервера, вы должны задать значение

inetd

данной опции, если же для запуска используется сценарий SysV или локальный сценарий, надо установить значение

standalone

. С помощью данной опции ProFTPd получает сведения о том, запущен ли он от имени обычного пользователя и должен ли непосредственно обрабатывать запрос (

inetd

), или запуск осуществляется от имени пользователя

root

и для обработки запросов следует порождать новые процессы (

standalone

).

• 

SyslogLevel emerg|alert|crit|error|warn|notice|info|debug

. Данная директива определяет, насколько подробные сведения должны записываться в файл протокола. Значения расположены по мере возрастания объема записываемой информации:

emerg

соответствует самым общим, a

debug

— наиболее подробным сведениям.

• 

TransferLog имя_файла|NONE

. С помощью данной директивы вы можете указать файл протокола для помещения в него сведений о переданных файлах или запретить запись подобной информации (для этого надо задать значение

NONE

). Данная директива позволяет создавать различные файлы протоколов, предназначенные для разных целей. Она может независимо использоваться в блоках

<Anonymous>

,

<VirtualHost>

и

<Global>

, а также указываться за пределами всех блоков.

• 

Umask маска_файла [маска_каталога]

. Данная директива позволяет задать маску

umask

, которая будет использоваться при создании новых файлов (и, возможно, новых каталогов). По умолчанию принимается значение 022, приемлемое для многих систем.

• 

UseFtpUsers on|off

. Задавая значение

off

директивы

UseFtpUsers

, вы можете запретить использование файла

/etc/ftpusers

. По умолчанию для данной директивы устанавливается значение

on

.