Steuern des FTP-Serverzugriffs

Sie können die folgenden Konfigurationsdateien im Verzeichnis /etc/ftpd verwenden, um den Zugriff auf den FTP-Server zu steuern.

• ftpusers wird verwendet, um Benutzer aufzulisten, denen der Zugriff auf den FTP-Server verwehrt wird.

• ftphosts wird verwendet, um die Anmeldung von verschiedenen Hosts bei verschiedenen Konten des FTP-Servers zu gestatten oder abzulehnen.

• ftpaccess ist die FTP-Hauptkonfigurationsdatei . Der FTP-Server liest die /etc/ftpd/ftpaccess -Datei nur dann, wenn er mit der Option -a aufgerufen wird. Wenn die ftpaccess-Datei verwendet wird, müssen alle Benutzer zu einer Klasse gehören, damit Zugriff auf den FTP-Server gewährt werden kann. Sie können viele ftpaccess-Anweisungen angeben, die ausschließlich für eine bestimmte Klasse gelten.

  Weitere Informationen finden Sie unter ftpusers(4), ftphosts(4) und ftpaccess(4).

  ---

  Hinweis - Alle Zeilen in FTP-Serverkonfigurationsdateien, die mit einem Nummernzeichen (#) beginnen, werden als Kommentare behandelt.

  ---

So definieren Sie FTP-Serverklassen

Um sich bei einem FTP-Server anmelden zu können, müssen Benutzer zu einer Klasse gehören, wenn die ftpaccess-Datei verwendet wird. Um die class-Anweisung in die ftpaccess-Datei einzufügen, geben Sie die class name, typelist der Benutzer an, die berechtigt sind, den Zugriff über einen bestimmten Host durchzuführen.

1. Melden Sie sich als Superuser an oder nehmen Sie eine entsprechende Rolle an.

   Rollen umfassen Autorisierungen und privilegierte Befehle. Weitere Informationen zu Rollen finden Sie unter Konfigurieren von RBAC (Übersicht der Schritte) in Systemverwaltungshandbuch: Sicherheitsservices.

2. Fügen Sie die entsprechenden Einträge für anonyme Benutzer, Gastbenutzer und authentische Benutzer in die ftpaccess-Datei ein.

   class class typelist addrglob[addrglob...]

   class

   Schlüsselwort, das zum Definieren von FTP-Benutzern verwendet wird

   class

   Ein Name, der durch das Schlüsselwort class definiert wird. Jede Anmeldung wird mit einer Liste von definierten Klassen abgeglichen. Der angemeldete Benutzer wird als zugehörig zu der Klasse betrachtet, die als erste abgeglichen wurde.

   typelist

   Eine durch Komma getrennte Liste der Schlüsselwörter zum Abgleichen der drei Benutzertypen anonymous, guest und real (anonymer Benutzer, Gastbenutzer, authentischer Benutzer)

   addrglob

   Ein mit mithilfe des Globbing erstellter Domainname oder eine mithilfe des Globbing erstellte nummerische Adresse. Der Eintrag addrglob kann auch der Name einer Datei sein, die mit einem Schrägstrich (/) beginnt und weitere Address-Globs enthält: address:netmask oder address/cidr.

   Es folgen einige Beispiele für Adressen, die mithilfe des Globbing erstellt wurden:

   • Nummerische IPv4-Adresse: 10.1.2.3

   • Mithilfe des Globbing erstellter Domainname *.provider.com

   • Mithilfe des Globbing erstellte nummerische IPv4-Adresse 10.1.2.*

   • Nummerische IPv4 Adresse:Netzmaske 10.1.2.0:255.255.255.0

   • Nummerische IPv4-Adresse/CIDR 10.1.2.0/24

   • Nummerische IPv6-Adresse: 2000::56:789:21ff:fe8f:ba98

   • Nummerische IPv6-Adresse/CIDR: 2000::56:789:21ff:fe8f:ba98/120

Beispiel 28-1 Definieren von FTP-Serverklassen

class  local  real,guest,anonymous *.provider.com
class  remote real,guest,anonymous *

Im vorangegangenen Beispiel wird die Klasse local als ein Benutzer des Typs real, guest oder anonymous definiert, der sich über *.provider.com anmeldet. In der letzten Zeile wird remote als ein Benutzer definiert, der sich von einer beliebigen Stelle aus anmeldet, nicht aber über *.provider.com.

So beschränken Sie Benutzeranmeldungen

Sie können die Anzahl von gleichzeitigen Anmeldungen der Benutzer von bestimmten Klassen durch Anweisungen beschränken, die in der ftpaccess-Datei definiert sind. Jede Anmeldungsbeschränkung enthält den Namen einer Klasse, eine UUCP-basierte Liste der Wochentage und eine Meldungsdatei, die angezeigt wird, wenn das definierte Limit überschritten ist.

Gehen Sie wie folgt vor, um Beschränkungen für Benutzeranmeldungen festzulegen:

1. Melden Sie sich als Superuser an oder nehmen Sie eine entsprechende Rolle an.

   Rollen umfassen Autorisierungen und privilegierte Befehle. Weitere Informationen zu Rollen finden Sie unter Konfigurieren von RBAC (Übersicht der Schritte) in Systemverwaltungshandbuch: Sicherheitsservices.

2. Fügen Sie folgende Einträge in die ftpaccess -Datei ein:

   limit class n times [message-file]

   limit

   Schlüsselwort, das verwendet wird, um die Häufigkeit gleichzeitiger Anmeldungen einer bestimmten Anzahl von Benutzern einer definierten Klasse zu bestimmten Zeiten zu beschränken

   Klasse

   Ein Name, der durch das Schlüsselwort class definiert wird. Jede Anmeldung wird mit einer Liste von definierten Klassen abgeglichen. Der angemeldete Benutzer wird als zugehörig zu der Klasse betrachtet, die als erste abgeglichen wurde.

   n

   Anzahl von Benutzern

   Häufigkeit

   Wochentag und Uhrzeit, zu der die Klasse verbunden werden kann. Verwenden Sie Any für einen beliebigen Tag.

   Meldungsdatei

   Meldungsdatei, die angezeigt wird, wenn einem Benutzer der Zugriff verweigert wird

Beispiel 28-2 Beschränken von Benutzeranmeldungen

limit   anon     50  Wk0800-1800        /etc/ftpd/ftpmsg.deny
limit   anon    100  Any                /etc/ftpd/ftpmsg.deny
limit   guest   100  Any                /etc/ftpd/ftpmsg.deny

Die erste Zeile des vorangegangenen Beispiels zeigt ein Limit von 50 gleichzeitigen Anmeldungen, die Benutzern der Klasse anon innerhalb der Wochenarbeitszeit erlaubt sind. In der zweiten Zeile werden den Benutzern der Klasse anon 100 gleichzeitige Anmeldungen außerhalb der Arbeitszeit erlaubt. Die letzte Zeile zeigt ein Limit von 100 guest -Anmeldungen, die jederzeit durchgeführt werden können. Informationen zur Festlegung der Tages- und Zeitparameter finden Sie unter ftpaccess(4).

Das Beispiel zeigt zudem, dass der Inhalt der Datei /etc/ftpd/ftpmsg.deny zurückgegeben wird, wenn ein bestimmtes Anmeldungslimit erreicht ist – sofern ftpmsg.deny vorhanden ist. Informationen, wie der /usr/sbin/ftpcount -Befehl zu verwenden ist, um die Anzahl und das Limit der Anmeldungen für jede Klasse von Benutzern anzuzeigen, die zu einer bestimmten Zeit angemeldet sind, finden Sie unter ftpcount(1).

Benutzern ist es erlaubt, sich beim FTP-Server anzumelden, es sei denn, ein bestimmtes Limit wurde erreicht. Anonyme Benutzer werden als ftp-Benutzer angemeldet. Authentische Benutzer werden mit ihrem eigenen Benutzernamen angemeldet, und Gastbenutzer werden als authentische Benutzer mit einer chroot-Umgebung angemeldet, wodurch der Zugriff beschränkt wird.

Informationen, wie der /usr/sbin/ftpwho-Befehl verwendet wird, um die Identität der beim FTP-Server angemeldeten Benutzer zu prüfen, finden Sie unter ftpwho(1).

So legen Sie die Anzahl von ungültigen Anmeldeversuchen fest

Wenn eine Anmeldung beim FTP-Server aufgrund eines Problems wie beispielsweise falscher Schreibweise fehlschlägt, wird die Anmeldung normalerweise wiederholt. Dem Benutzer ist eine bestimmte Anzahl von aufeinanderfolgenden Anmeldeversuchen gestattet, bevor eine Meldung in der syslog-Datei protokolliert wird. An diesem Punkt wird der Benutzer getrennt. Anhand des nächsten Verfahrens können Sie ein Limit für Anmeldeversuche festlegen.

1. Melden Sie sich als Superuser an oder nehmen Sie eine entsprechende Rolle an.

   Rollen umfassen Autorisierungen und privilegierte Befehle. Weitere Informationen zu Rollen finden Sie unter Konfigurieren von RBAC (Übersicht der Schritte) in Systemverwaltungshandbuch: Sicherheitsservices.

2. Fügen Sie folgende Einträge in die ftpaccess -Datei ein:

   loginfails n

   loginfails

   Schlüsselwort, mit dem festgelegt wird, wie viele Anmeldeversuche fehlschlagen können, bevor die FTP-Verbindung getrennt wird

   n

   Anzahl von Anmeldeversuchen, die fehlschlagen können

Beispiel 28-3 Festlegen der Anzahl von ungültigen Anmeldeversuchen

loginfails 10

Das vorangegangene Beispiel zeigt, dass der Benutzer nach 10 fehlgeschlagenen Anmeldeversuchen vom FTP-Server getrennt wird.

Wie bestimmten Benutzern der FTP-Serverzugriff verwehrt wird

In der /etc/ftpd/ftpusers-Datei sind die Namen von Benutzern aufgelistet, denen nicht gestattet ist, sich beim FTP-Server anzumelden. Wenn ein Anmeldeversuch gemacht wird, prüft der FTP-Server die /etc/ftpd/ftpusers-Datei, um festzustellen, ob dem Benutzer der Zugriff erlaubt ist. Wenn der Name des Benutzers nicht in der Datei gefunden wird, sucht der Server in der /etc/ftpusers-Datei.

Wenn der Name des Benutzers in /etc/ftpusers abgeglichen werden kann, wird eine syslogd-Meldung ausgegeben, in der darauf hingewiesen wird, dass die Übereinstimmung in einer veralteten Datei gefunden wurde. Auch wird in der Meldung die Verwendung von /etc/ftpd/ftpusers anstelle von /etc/ftpusers empfohlen.

Weitere Informationen finden Sie auf den Manpages syslogd(1M), in.ftpd(1M) und ftpusers(4)

1. Melden Sie sich als Superuser an oder nehmen Sie eine entsprechende Rolle an.

   Rollen umfassen Autorisierungen und privilegierte Befehle. Weitere Informationen zu Rollen finden Sie unter Konfigurieren von RBAC (Übersicht der Schritte) in Systemverwaltungshandbuch: Sicherheitsservices.

2. Fügen Sie für Benutzer, denen die Anmeldung beim FTP-Server nicht erlaubt ist, entsprechende Einträge in die /etc/ftpd/ftpusers-Datei ein.

Beispiel 28-4 Verweigern des Zugriffs auf den FTP-Server

root
daemon
bin
sys
adm
lp
uccp
nuucp
listen
nobody
noaccess
nobody4

Das vorangegangene Beispiel zeigt typische Einträge in der ftpusers-Datei. Die Benutzernamen stimmen mit den Einträgen in /etc/passwd überein. In der Liste sind root und andere administrative und systemspezifische Identitäten enthalten.

Der Root-Eintrag ist aus Sicherheitsgründen in der ftpusers-Datei enthalten. Gemäß der standardmäßigen Sicherheitsrichtlinie ist eine Remote-Anmeldungen als Root-Benutzer nicht gestattet. Diese Richtlinie gilt auch für den Standardwert, der als CONSOLE-Eintrag in /etc/default/loginfile definiert ist. Siehe dazu login(1).

So beschränken Sie den Zugriff auf den standardmäßigen FTP-Server

Zusätzlich zu den oben genannten Sicherheitsmaßnahmen können Sie explizite Einträge in die ftpaccess-Datei einfügen, um den Zugriff auf den FTP-Server zu beschränken.

1. Melden Sie sich als Superuser an oder nehmen Sie eine entsprechende Rolle an.

   Rollen umfassen Autorisierungen und privilegierte Befehle. Weitere Informationen zu Rollen finden Sie unter Konfigurieren von RBAC (Übersicht der Schritte) in Systemverwaltungshandbuch: Sicherheitsservices.

2. Fügen Sie folgende Einträge in die ftpaccess -Datei ein:
   1. Allen Benutzern wird standardmäßig der Zugriff auf den standardmäßigen (nicht virtuellen) FTP-Server gewährt. Um bestimmten (nicht anonym angemeldeten) Benutzern den Zugriff zu verwehren, fügen Sie folgenden Eintrag ein:

      defaultserver deny username [username...]

      defaultserver

      Schlüsselwort, das verwendet wird, um den nicht virtuellen Server zu identifizieren, auf den der Zugriff erlaubt oder verwehrt werden kann

      username

      Anmeldename eines Benutzers mit beschränktem Zugriff auf den defaultserver

   2. Um Benutzern Zugriff zu gewähren, die nicht auf der deny-Zeile aufgeführt sind, fügen Sie die folgende Zeile ein:

      defaultserver allow username [username...]

   3. Um anonymen Benutzern den Zugriff zu verwehren, fügen Sie die folgende Zeile ein:

      defaultserver private

Beispiel 28-5 Beschränken des Zugriffs auf den standardmäßigen FTP-Server

defaultserver deny *
defaultserver allow username

Das vorangegangene Beispiel zeigt, dass der FTP-Server allen Benutzern außer anon-Benutzern und den auf der allow-Zeile aufgeführten Benutzern den Zugriff verwehrt.

Sie können auch die ftphosts-Datei verwenden, um zu verhindern, dass über verschiedene Hosts auf Anmeldungskonten zugegriffen wird. Weitere Informationen finden Sie unter ftphosts(4).