Verder Terug Inhoud

4. Beveiligen

De anonftp RPM plaatst enkele binaries en libraries in de /home/ftp directory om Ftp gebruikers dingen te laten doen zoals: automatisch bestanden unzippen als ze worden opgehaald of het ophalen van een hele directory met tar bestanden. Er zijn een paar extra bestanden geplaatst door de anonftp RPM die bijna nooit gebruikt worden en die moeten worden verwijderd om de veiligheid te bevorderen.

        cd /home/ftp/bin
        rm cpio sh zcat
        cd ../etc
        rm ld.so.cache
        cd ../lib
        rm ld.so* libtermcap*

Tot slot moet je de permissies van bestanden veranderen om de veiligheid te bevorderen.

        chmod 111 ~ftp/bin/* ~ftp/bin ~ftp/etc ~ftp/lib
        chmod 444 ~ftp/etc/*
        chmod 555 ~ftp ~ftp/lib/*

Als je klaar bent moet je het volgende hebben:

        bin:
        total 164
        ---x--x--x   1 root     root        14776 Oct 31 09:54 compress
        ---x--x--x   1 root     root        45277 Oct 29 21:59 gzip
        ---x--x--x   1 root     root        22977 Oct 29 20:07 ls
        ---x--x--x   1 root     root        77873 Oct 25 17:49 tar

        etc:
        total 2
        -r--r--r--   1 root     root          495 Mar 20 19:46 group
        -r--r--r--   1 root     root          921 Mar 20 19:45 passwd

        lib:
        total 702
        -r-xr-xr-x   1 root     root        20994 Oct 30 18:58 ld-linux.so.1
        -r-xr-xr-x   1 root     root        20994 Oct 30 18:58 ld-linux.so.1.7.5
        lrwxrwxrwx   1 root     root           13 Mar 20 19:43 libc.so.5 -> libc.so.5.0.9
        -r-xr-xr-x   1 root     root       669157 Oct 30 19:53 libc.so.5.0.9

Als er bestanden ontbreken, begin dan opnieuw en herinstalleer de anonftp RPM. Om de permissies te zien als hierboven typ:

        ls -al

Nu alles veilig is moet je de /pub directory aanmaken waar je de bestanden zet voor de anonieme ftp.

        mkdir ~ftp/pub
        chmod 555 ~ftp/pub

Plaats elk bestand dat je wilt aanbieden via FTP in de /pub directory. Je mag ook subdirectory's aanmaken in de /pub directory.

Voor de veiligheid en om zeker te weten dat anonieme gebruikers ook de bestanden kunnen lezen, doe dan dit met elk bestand en elke directory:

        chmod 444 (naam van het bestand)
        chmod 555 (naam van de directory)

Een 'incoming' directory is af te raden, omdat je dan last kunt hebben van software piraterij. Sommige mensen zetten dan software op je site, waar je voor moet betalen en de houder van de site krijgt dan een bekeuring, omdat die verantwoordelijk is voor de dingen die op de site staan. Als het echt nodig is doe dan dit:

        mkdir ~ftp/incoming
        chmod 333 incoming

De mode 333 betekent dat ze alleen in de directory kunnen schrijven en niet lezen.

Dat was het! Voor de veiligheid: zorg dat alles in /home/ftp niet te schrijven is.

        chmod -R a-w ~ftp

(Je mag als root nog wel in de directory schrijven).


Verder Terug Inhoud