使用OpenBSD 3.8 release自帶的FTPD架設FTP服務器
Author: MichaelBibby
Date: 2005/11/20
可以任意轉載,但請保留以上信息,謝謝。
注:本文參考OpenBSD 3.8的官方FAQ文檔和ftpd的man文檔寫成,更全面的信息請參看這兩個文件。
官方FAQ:http://www.openbsd.org/faq/faq10.html#AnonFTP
ftpd的在線手冊頁:http://www.openbsd.org/cgi-bin/man.cgi?query=ftpd&apropos=0&sektion=0&manpath=OpenBSD+3.8&arch=i386&format=html
OpenBSD的ftpd程序沒有配置文件,就靠設置運行參數進行配置。所有參數的含義都可以在ftpd
的man文檔中獲得詳細信息:
$ man ftpd
ftpd程序的啟動有三種方法(inetd/"rc file"/command line):
1: inetd方式:
在"/etc/inetd.conf"文件中有這麼一行:
ftp stream tcp nowait root /usr/libexec/ftpd ftpd -US
這裡為"ftpd"傳遞了兩個參數"-US"。當然你還可以組合自己想要的參數。(一些常用參數的含義
在下文給出)。
inetd方式還需要同時啟動inetd服務,OpenBSD默認啟動了inetd(可以看看/etc/rc.conf中的
"inetd_flags"變量的值)。
2: "rc"方式;
所謂"rc"方式,指的就是通過配置"/etc/rc.conf"或者"/etc/rc.conf.local"來啟動系統服務。
為"/etc/rc.conf"中的"ftpd_flags"變量設置參數,並確保該行沒有被注釋掉。
這種方法需要在重新啟動系統後才會生效;
3: 直接在命令行下執行ftpd命令,這樣就不需要重啟系統了:
# /usr/libexec/ftpd -4DllUS
ftpd程序的終止:
1: 如果不需要提供ftp服務,則在/etc/rc.conf中將ftpd_flags變量注釋掉(在該行最開頭加一個"#"
符號);
2:使用ps查看ftpd的PID,然後"kill PID"。
以下是ftpd常用的一些參數(這裡列出的只是常用的,並不是全部。更多的參數請查看ftpd的man文檔):
-4 如果指定了"-D"參數,則強制ftpd只使用IPv4地址。
-6 和"-4"的解釋類似;如果指定了"-D"參數,則強制ftpd只使用IPv6地址。
-A 只允許匿名登錄(除非指定了"-n"選項)。
-D 如果指定了該參數,ftpd將做為daemon運行,****ftp端口並且fork子進程對連接進行
處理。在繁忙的服務器上,這樣可以減少系統負載,與使用inetd方式啟動ftpd比起來,
這種方式使用更少的系統資源。
-d 使用LOG_FTP將Debug信息寫入syslog。
-l 每個成功和失敗的ftp session都將由LOG_FTP工具通過syslog記錄下日志。如果這個選
項被指定兩次,所有get/put/append/delete/make directory/remove directory/rename
操作以及所操作的文件都將被記錄進日志。
-U 每個並發的ftp session都被記錄到日志文件/var/run/utmp,記錄的格式就象who(1)命令
的輸出一樣。
-n 禁止匿名登錄。通常是允許的。
-S 如果設置了這個參數,ftpd將會把所有匿名用戶的下載情況記錄在文件/var/log/ftpd中
(如果它存在的話)。
-T maxtimeout
連接超時的時間限制。默認是2小時。
-u mask
強制設置umask為指定的mask。而不是使用/etc/login.conf中的設置(login.conf中通常
設置為022),並且不允許chmod。
看了這幾個選項,你應該可以組合出合適的選項來滿足自己的功能需求了。
1:只允許使用系統帳號登錄FTP;
因為匿名用戶登錄需要使用到系統中的一個名為"ftp"的帳戶(更多關於該帳戶的討論,請看本文下
半部分),而OpenBSD系統中沒有該帳戶,需要手動建立並且設置正確的權限,所以如果只允許用戶
通過系統帳號登錄FTP服務器,則只需要在/etc/rc.conf中將ftpd_flags的值簡單地設置為"-D"即可
(雖然這時候的設置仍然允許匿名用戶登錄,但是因為系統中沒有"ftp"用戶,所以無法登錄)。當
然你也可以多設置一些參數。比如:
ftpd_flags="-4DllUSn"
參考上面幾個常用選項的說明,你就會明白這是什麼意思了。
2:允許匿名用戶登錄訪問FTP資源;
因為匿名用戶登錄到FTP服務器後,實際上是一個"ftp"用戶的身份進行所有操作,所以出於安全考慮,
這個用戶的權限通常被設置得很低。比如:
1:不為該用戶提供一個可用的shell,使其無法登錄系統;
2:沒有一個可用的密碼(即FAQ上說的"This account shouldn't have a usable password;");
3:登錄系統後被chroot;
......
接下來我們要做的就是按照上面列出的三個要求來添加和設置這個低權限、處處受限的"ftp"用戶。
2.1:添加"ftp"帳戶以提供匿名訪問;
2.1.1:在/etc/shells中添加一個無法實際使用的shell:
設置"ftp"使用這個shell的目的,是不允許它通過shell登錄到系統中。通常我們會有兩種選擇:
/sbin/nologin
/usr/bin/false
為了在添加用戶時可以使用這兩個shell,我們可以這樣做:
# echo '/sbin/nologin' >>/etc/shells
# echo '/usr/bin/false' >>/etc/shells
2.1.2:在未將它們加入到/etc/shells的情況下,使用adduser添加帳戶時加上"-shell"參數:
# adduser -shell /sbin/nologin
Enter username []: ftp
Enter full name []: anonymous ftpd user
Enter shell bash csh ksh nologin sh [/sbin/nologin]:
......
這裡在詢問該用戶使用何種shell時就出現了/sbin/nologin。如果不帶這個參數,將無法使用它:
# adduser
Enter username []: ftp
Enter full name []: anonymous ftpd user
Enter shell bash csh ksh nologin sh [bash]: /sbin/nologin
/sbin/nologin: is not allowed!
Enter shell bash csh ksh nologin sh [bash]:
這裡就提示了不允許使用/sbin/nologin做為shell使用。
2.2:示例;
這裡使用"adduser -s shell /sbin/nologin"來添加一個這樣的"ftp"帳戶做為示例,並將該用戶的
$HOME目錄設置為"/var/ftp":
# adduser -shell /sbin/nologin -home /var
Use option ``-silent'' if you don't want to see all warnings and questions.
Reading /etc/shells
Check /etc/master.passwd
Check /etc/group
Ok, let's go.
Don't worry about mistakes. I will give you the chance later to correct any input.
Enter username []: ftp
Enter full name []: anonymous ftpd user
Enter shell bash csh ksh nologin sh [/sbin/nologin]:ENTER
Uid [1001]:ENTER
Login group ftp [ftp]:ENTER
Login group is ``ftp''. Invite ftp into other groups: guest no
[no]:ENTER
Login class daemon default staff [default]:ENTER
Enter password []:ENTER # 在此直接按ENTER鍵。這樣就可以設置一個不可用的密碼。
Set the password so that user cannot logon? (y/n) [n]: y
Name: ftp
Password: ****
Fullname: anonymous ftpd user
Uid: 1001
Gid: 1001 (ftp)
Groups: ftp
Login Class: default
HOME: /var/ftp
Shell:
OK? (y/n) [y]: y
Added user ``ftp''
Copy files from /etc/skel to /var/ftp
Add another user? (y/n) [y]: n
Goodbye!
#
到這裡,添加用戶的工作就完成了。還需要把從/etc/skel復制到$HOME目錄的一些"dot files"給刪除,
以免暴露信息。"dot files"的第一行通常會有一些系統的信息,比如"~/.cshrc"文件中就有這麼一行:
# $OpenBSD: dot.cshrc,v 1.5 2005/02/16 06:56:57 matthieu Exp $
這至少就告訴了匿名登錄的用戶,這是個OpenBSD系統。所以把它們刪除:
# rm -f /var/ftp/.*
3:為/var/ftp目錄設置正確的權限以保證安全性;
3.1:"~ftp"目錄;
"~ftp"目錄表示"ftp"用戶的主目錄,在本例中就是"/var/ftp"目錄。
將它的owner設置為"root",權限設置為任何人都不可寫(555):
# chown -R root:wheel /var/ftp
# chmod -R 555 /var/ftp
3.2:"~ftp/bin"目錄;
這個目錄並不是必須的。如果希望匿名用戶登錄到FTP後能夠執行一些command,就可以將command
復制到這個目錄下。所有的command的權限都應該設置為只允許執行(111)。
# mkdir /var/ftp/bin
# chown -R root:ftp /var/ftp/bin
#COPY YOUR PROGRAMS TO /var/ftp/bin,AND THEN:
# chmod -R 111 /var/ftp/bin/*
3.3:"~ftp/etc"目錄;
和"~ftp/bin"目錄一樣,這也是個可選的,並不推薦創建它。(更多關於該目錄設置的信息請查看"ftpd"
的man文檔)。
3.4:"~ftp/pub"目錄:
這個目錄用來存放你希望被匿名用戶訪問的文件。權限應該設置為555。
# chown -R root:ftp /var/ftp/pub
# chmod -R 555 /var/ftp/pub
這裡雖然提到了創建三個目錄,但是實際上我們只需要創建"~ftp/pub"目錄並設置好權限就可以了。
4:chroot匿名登錄的用戶;
"ftpd"會將"/etc/ftpchroot"文件中列出的用戶都chroot。要使"ftp"用戶在登錄ftp後被chroot,只需要簡單
地把用戶名添加到這個文件中就可以了。這是一個示例文件:
# file : /etc/ftpchroot
# $OpenBSD: ftpchroot,v 1.3 1996/07/18 12:12:47 deraadt Exp $
#
# list of users (one per line) given ftp access to a chrooted area.
# read by ftpd(8).
ftp
bibby
"ftpd"在啟動時會讀取這個文件,如果"ftp"和"bibby"這兩個用戶登錄ftp,將被分別chroot到自己的$HOME目錄下。
5:其他一些相關文件;
/etc/ftpusers -- 列出了所有不受歡迎的用戶。列在該文件中的用戶都無法登錄ftp。
/etc/ftpwelcome -- 歡迎信息。登錄上ftp的用戶都將在登錄時看到這一信息。
/etc/motd -- 如果"/etc/ftpwelcome"文件不存在,則使用"/etc/motd"文件的內容做為歡迎信息。
".message" -- 這個文件可以被放置在"~ftp"目錄下的任何一個子目錄中。用戶進入該目錄時就會顯示這個
文件中的內容。
