写在前面
本文参考OpenBSD3.8的官方FAQ文档和ftpd的man文档写成,更全面的信息请参看这两个文件。
·FAQ:SettingupAnonymousFTPServices
·ManualPage:ftpd
所有操作均在OpenBSD3.8Release上测试通过。
注:本文可以任意转载,但请保留作者信息,谢谢。
ftpd的三种启动方式
OpenBSD的ftpd程序没有配置文件,就靠设置运行参数进行配置。所有参数的
含义都可以在ftpd的man文档中获得详细信息:
$manftpd
ftpd程序的启动有三种方法:
·inetd方式
·'rc'方式
·直接在命令行下执行ftpd命令
1、inetd方式
在'etc/inetd.conf'文件中有这么一行:
这里为'ftpd'传递了两个参数'-US'。当然,你还可以组合自己想要的参数。
(一些常用参数的含义已在下文给出)。使用inetd方式,ftpd由inetd进程管
理,所以需要启动inetd服务才能启动ftpd。在OpenBSD的默认设置中,inetd被
配置为随系统启动。查看'/etc/rc.conf'中的'inetd'变量的值:
inetd=YES
2、'rc'方式
所谓'rc'方式,指的就是通过修改'/etc/rc.conf'或者'/etc/rc.conf.local'文件中变
量的值,为服务的启动添加'entry',使服务能够随系统启动。使用'rc'方式启
动fttpd,只需要将'/etc/rc.conf'中的'ftpd_flags'变量设置为自己组合好的参数
即可。这种方法需要在系统重启后服务才会随系统启动(这里的参数暂时使用
与'inetd'方式相同的参数):
3、直接在命令行执行ftpd命令
这种方法的好处是不需要重新启动系统就可以启动ftpd服务:
停止ftpd
1、'/etc/rc.conf'
如果不需要ftpd随系统启动,则在'/etc/rc.conf'文件中将'ftpd_flags'变量的值设
置为"NO"”:
2、#killPID
如果需要现在就结束ftpd进程,则使用\killPID"的方式来实现:
ftpd常用参数
以下是ftpd常用的一些参数(这里列出的只是常用的,并不是全部。更多的参
数请查看OpenBSD的ManualPage。
·-4如果指定了\-D"参数,则强制ftpd只使用IPv4地址。
·-6和\-4"的解释类似;如果指定了\-D"参数,则强制ftpd只使用IPv6地址。
·-A只允许匿名登录(除非指定了\-n"选项)。
·-D如果指定了该参数,ftpd将做为daemon运行,监听ftpd端口并且fork子进程对连接进行处理。在繁忙的服务器上,这样可以减少系统负载,与使用inetd方式启动ftpd比起来,这种方式使用更少的系统资源。
·-d使用LOGFTP将Debug信息写入syslog。
·-l每个成功和失败的ftpsession都将由LOGFTP工具通过syslog记录下日志。如果这个选项被指定两次(-ll),所有get/put/append/delete/make、directory/remove、dire操作以及所操作的文件都将被记录进日志。
·-U每个并发的ftpsession都被记录到日志文件/var/run/utmp,记录的格式就象who(1)命令的输出一样。
·-n禁止匿名登录。默认是允许的。
·-S如果设置了这个参数,ftpd将会把所有匿名用户的下载情况记录在文件/var/log/ftpd中(如果该文件存在的话)。
·-Tmaxtimeout连接超时的时间限制。默认是2小时。
·-umask强制设置umask为指定的mask。而不是使用/etc/login.conf中的设置(/etc/login.conf中通常设置为022),并且不允许chmod。
常用参数组合
看了上面几个常用选项的含义,你应该可以组合出合适的选项来满足自己的功能需求了。
1、只允许使用系统帐号登录FTP
因为匿名用户登录需要使用到系统中的一个名为"ftp"的帐户(更多关于该帐户的描述,请看本文下半部分),而OpenBSD系统中默认没有该帐户,需要手动建立并且设置正确的权限,所以如果只允许用户通过系统帐号登录FTP服务器,则只需要在/etc/rc.conf中将ftpd°ags的值简单地设置为"-D"即可(虽然这时候的设置仍然允许匿名用户登录,但是因为系统中没有"ftp"用户,所以无法登录)。当然你也可以多设置一些参数。比如:
参考上面几个常用选项的说明,你就会明白这是什么意思了。
2、允许匿名用户登录访问FTP资源
因为匿名用户登录到FTP服务器后,实际上是以\ftp"用户的身份进行所有操作,所以出于安全考虑,这个用户的权限通常被设置得很低。比如:
·不为该用户提供一个可用的shell,使其无法登录系统;
·没有一个可用的密码(即FAQ上说的"Thisaccountshouldn'thaveausablepassword;");
·登录系统后被chroot;
·......#p#分页标题#e#
设置用于匿名访问FTP资源的'ftp'帐户
接下来我们要做的就是按照上面列出的三个要求来添加和设置这个低权限、处处受限的"ftp"用户。
1、添加"ftp"帐户以提供匿名访问
在/etc/shells中添加一个无法实际使用的shell设置"ftp"使用这个shell的目的,是不允许它通过shell登录到系统中。通常我们会有两种选择:
·/sbin/nologin
·/usr/bin/false
为了在添加用户时可以使用这两个shell,我们可以这样做:
#echo'/usr/bin/false'>>/etc/shells
或者在未将它们加入到/etc/shells的情况下,在使用adduser添加帐户时加上"-shell"参数:
#adduser-shell/sbin/nologin
Enterusername[]:ftp
Enterfullname[]:anonymousftpduser
Entershellbashcshkshnologinsh[/sbin/nologin]:
......
这里在询问该用户使用何种shell时就出现了/sbin/nologin。如果不带这个参
数,将无法使用它:
#adduser
Enterusername[]:ftp
Enterfullname[]:anonymousftpduser
Entershellbashcshkshnologinsh[bash]:/sbin/nologin
/sbin/nologin:isnotallowed!
Entershellbashcshkshnologinsh[bash]:
这里就提示了不允许使用/sbin/nologin做为shell使用。
添加帐户
这里使用"adduser-sshell/sbin/nologin"来添加一个这样的'ftp'帐户做为示例,并将该用户的$HOME目录设置为"/var/ftp":
Useoption\-silent"ifyoudon'twanttoseeallwarningsandquestions.
Reading/etc/shells
Check/etc/master.passwd
Check/etc/group
Ok,let'sgo.
Don'tworryaboutmistakes.Iwillgiveyouthechancelatertocorrectanyinput.
Enterusername[]:ftp
Enterfullname[]:anonymousftpduser
Entershellbashcshkshnologinsh[/sbin/nologin]:ENTER
Uid[1001]:ENTER
Logingroupftp[ftp]:ENTER
Logingroupis\ftp".Inviteftpintoothergroups:guestno
no
:ENTER
Loginclassdaemondefaultsta.[default]:ENTER
Enterpassword[]:ENTER#在此直接按ENTER键。
这样就可以设置一个不可用的密码。
Setthepasswordsothatusercannotlogon?(y/n)[n]:y
Name:ftp
Password:****
Fullname:anonymousftpduser
Uid:1001
Gid:1001(ftp)
Groups:ftp
LoginClass:default
HOME:/var/ftp
Shell:
OK?(y/n)[y]:y
Addeduser\ftp"
Copyˉlesfrom/etc/skelto/var/ftp
Addanotheruser?(y/n)[y]:n
Goodbye!
#
到这里,添加用户的工作就完成了。还需要把系统从'/etc/skel'复制到$HOME目录的一些"dotˉles"给删除,以免暴露信息。'dotˉles'的第一行通常会有一些系统的信息,比如'/.cshrc'文件中就有这么一句:
#$OpenBSD:dot.cshrc,v1.52005/02/1606:56:57matthieuExp$
这至少就告诉了匿名登录的用户,这是个OpenBSD系统。所以建议把它们删除:
#rm-f/var/ftp/.*
为FTP目录设置正确的权限
1、'ftp'目录
"ftp"目录表示"ftp"用户的主目录,在本例中就是"/var/ftp"目录。将它的owner设置为"root",权限设置为任何人都不可写(555):
#chmod-R555/var/ftp
2、'ftp/bin'目录
这个目录并不是必须的。如果希望匿名用户登录到FTP后能够执行一些command,就可以将command复制到这个目录下。所有的command的权限都应该设置为只允许执行(111)。
#mkdir/var/ftp/bin
#chown-Rroot:ftp/var/ftp/bin
#chmod-R111/var/ftp/bin/*
3、'ftp/etc'目录
和"ftp/bin"目录一样,这也是个可选的,并不推荐创建它。(更多关于该目录设置的信息请查看"ftpd"的man文档)。
4、'ftp/pub"目录
这个目录用来存放你希望被匿名用户访问的文件。权限应该设置为555。
#chown-Rroot:ftp/var/ftp/pub
#chmod-R555/var/ftp/pub
这里虽然提到了创建三个目录,但是实际上我们只需要创建'ftp/pub'目录并设置好权限就可以了。
chroot匿名登录的用户
'ftpd'会将'/etc/ftpchroot'文件中列出的用户都chroot。要使'ftp'用户在登录ftp后被chroot,只需要简单地把用户名添加到这个文件中就可以了。这是一个示例文件:
#$OpenBSD:ftpchroot,v1.31996/07/1812:12:47deraadtExp$
##
listofusers(oneperline)givenftpaccesstoachrootedarea.
#readbyftpd(8).
ftp
bibby
'ftpd'在启动时会读取这个文件,如果'ftp'和'bibby'这两个用户登录ftp,将被分
别chroot到自己的$HOME目录下。
其他一些相关文件
·/etc/ftpusers{列出了所有不受欢迎的用户。列在该文件中的用户都无法
登录ftp服务器。
·/etc/ftpwelcome{欢迎信息。登录的用户都将在登录时看到这一信息。
·/etc/motd{如果'/etc/ftpwelcome'文件不存在,则使用'/etc/motd'文件的内容做为欢迎信息。
2.message{这个文件可以被放置在'ftp'目录下的任何一个子目录中。用户进入该目录时就会显示这个文件中的内容。
(举报)