Teil I Netzwerkdienste - Themen
2. Verwalten von Webcache-Servern
Teil II Zugriff auf Netzwerkdateisysteme - Themen
4. Verwalten von Netzwerkdateisystemen (Übersicht)
5. Verwaltung des Netzwerkdateisystems (Aufgaben)
6. Zugreifen auf Netzwerkdateisysteme (Referenz)
Teil III SLP (Service Location Protocol) - Themen
8. Planen und Aktivieren von SLP (Aufgaben)
9. Verwalten von SLP (Aufgaben)
10. Integrieren von veralteten Services
Teil V Serielle Vernetzung - Themen
15. Solaris PPP 4.0 (Überblick)
16. PLanen einer PPP-Verbindung (Aufgaben)
17. Einrichten einer PPP-Einwahlverbindung (Aufgaben)
18. Einrichten einer PPP-Standleitungsverbindung (Aufgaben)
19. Einrichten der PPP-Authentifizierung (Aufgaben)
20. Einrichten eines PPPoE-Tunnels (Aufgaben)
21. Beheben von allgemeinen PPP-Problemen (Aufgaben)
22. Solaris PPP 4.0 (Referenz)
23. Migrieren von Asynchronous Solaris PPP zu Solaris PPP 4.0 (Aufgaben)
25. Verwalten von UUCP (Aufgaben)
Teil VI Arbeiten mit Remote-Systemen - Themen
27. Arbeiten mit Remote-Systemen (Übersicht)
28. Verwalten des FTP-Servers (Aufgaben)
Verwalten des FTP-Servers (Übersicht der Schritte)
Steuern des FTP-Serverzugriffs
So definieren Sie FTP-Serverklassen
So beschränken Sie Benutzeranmeldungen
So legen Sie die Anzahl von ungültigen Anmeldeversuchen fest
Wie bestimmten Benutzern der FTP-Serverzugriff verwehrt wird
So beschränken Sie den Zugriff auf den standardmäßigen FTP-Server
Einrichten der Anmeldung für den FTP-Server
So richten Sie den Zugriff für authentische FTP-Benutzer ein
So richten Sie den Zugriff für FTP-Gastbenutzer ein
So richten Sie den Zugriff für anonyme FTP-Benutzer ein
So richten Sie die /etc/shells-Datei ein
So passen Sie Meldungsdateien an
So erstellen Sie Meldungen, die an Benutzer gesendet werden
So konfigurieren Sie die README-Option
Steuern des Zugriffs auf Dateien auf dem FTP-Server
So steuern Sie Dateizugriffsbefehle
Steuern von Uploads und Downloads auf dem FTP-Server
So steuern Sie Uploads auf den FTP-Server
So steuern Sie Downloads auf den FTP-Server
So aktivieren Sie das limitierte virtuelle Hosting
So aktivieren Sie komplettes virtuelles Hosting
Automatisches Starten des FTP-Servers
So starten Sie einen FTP-Server mithilfe von SMF
So starten Sie einen eigenständigen FTP-Server im Hintergrund
So starten Sie einen eigenständigen FTP-Server im Vordergrund
So schalten Sie den FTP-Server ab
Beheben von FTP-Serverproblemen
So prüfen Sie syslogd auf FTP-Servermeldungen
So verwenden Sie greeting text, um ftpaccess zu prüfen
So stellen Sie fest, welche Befehle von FTP-Benutzern ausgeführt wurden
Konfigurationshilfe für Standorte mit hoher Auslastung
29. Zugriff auf Remote-Systeme (Aufgaben)
Teil VII Überwachen von Netzwerkdiensten - Themen
Sie können die folgenden Konfigurationsdateien im Verzeichnis /etc/ftpd verwenden, um den Zugriff auf den FTP-Server zu steuern.
ftpusers wird verwendet, um Benutzer aufzulisten, denen der Zugriff auf den FTP-Server verwehrt wird.
ftphosts wird verwendet, um die Anmeldung von verschiedenen Hosts bei verschiedenen Konten des FTP-Servers zu gestatten oder abzulehnen.
ftpaccess ist die FTP-Hauptkonfigurationsdatei . Der FTP-Server liest die /etc/ftpd/ftpaccess -Datei nur dann, wenn er mit der Option -a aufgerufen wird. Wenn die ftpaccess-Datei verwendet wird, müssen alle Benutzer zu einer Klasse gehören, damit Zugriff auf den FTP-Server gewährt werden kann. Sie können viele ftpaccess-Anweisungen angeben, die ausschließlich für eine bestimmte Klasse gelten.
Weitere Informationen finden Sie unter ftpusers(4), ftphosts(4) und ftpaccess(4).
Hinweis - Alle Zeilen in FTP-Serverkonfigurationsdateien, die mit einem Nummernzeichen (#) beginnen, werden als Kommentare behandelt.
Um sich bei einem FTP-Server anmelden zu können, müssen Benutzer zu einer Klasse gehören, wenn die ftpaccess-Datei verwendet wird. Um die class-Anweisung in die ftpaccess-Datei einzufügen, geben Sie die class name, typelist der Benutzer an, die berechtigt sind, den Zugriff über einen bestimmten Host durchzuführen.
Rollen umfassen Autorisierungen und privilegierte Befehle. Weitere Informationen zu Rollen finden Sie unter Konfigurieren von RBAC (Übersicht der Schritte) in Systemverwaltungshandbuch: Sicherheitsservices.
class class typelist addrglob[addrglob...]
Schlüsselwort, das zum Definieren von FTP-Benutzern verwendet wird
Ein Name, der durch das Schlüsselwort class definiert wird. Jede Anmeldung wird mit einer Liste von definierten Klassen abgeglichen. Der angemeldete Benutzer wird als zugehörig zu der Klasse betrachtet, die als erste abgeglichen wurde.
Eine durch Komma getrennte Liste der Schlüsselwörter zum Abgleichen der drei Benutzertypen anonymous, guest und real (anonymer Benutzer, Gastbenutzer, authentischer Benutzer)
Ein mit mithilfe des Globbing erstellter Domainname oder eine mithilfe des Globbing erstellte nummerische Adresse. Der Eintrag addrglob kann auch der Name einer Datei sein, die mit einem Schrägstrich (/) beginnt und weitere Address-Globs enthält: address:netmask oder address/cidr.
Es folgen einige Beispiele für Adressen, die mithilfe des Globbing erstellt wurden:
Nummerische IPv4-Adresse: 10.1.2.3
Mithilfe des Globbing erstellter Domainname *.provider.com
Mithilfe des Globbing erstellte nummerische IPv4-Adresse 10.1.2.*
Nummerische IPv4 Adresse:Netzmaske 10.1.2.0:255.255.255.0
Nummerische IPv4-Adresse/CIDR 10.1.2.0/24
Nummerische IPv6-Adresse: 2000::56:789:21ff:fe8f:ba98
Nummerische IPv6-Adresse/CIDR: 2000::56:789:21ff:fe8f:ba98/120
Beispiel 28-1 Definieren von FTP-Serverklassen
class local real,guest,anonymous *.provider.com class remote real,guest,anonymous *
Im vorangegangenen Beispiel wird die Klasse local als ein Benutzer des Typs real, guest oder anonymous definiert, der sich über *.provider.com anmeldet. In der letzten Zeile wird remote als ein Benutzer definiert, der sich von einer beliebigen Stelle aus anmeldet, nicht aber über *.provider.com.
Sie können die Anzahl von gleichzeitigen Anmeldungen der Benutzer von bestimmten Klassen durch Anweisungen beschränken, die in der ftpaccess-Datei definiert sind. Jede Anmeldungsbeschränkung enthält den Namen einer Klasse, eine UUCP-basierte Liste der Wochentage und eine Meldungsdatei, die angezeigt wird, wenn das definierte Limit überschritten ist.
Gehen Sie wie folgt vor, um Beschränkungen für Benutzeranmeldungen festzulegen:
Rollen umfassen Autorisierungen und privilegierte Befehle. Weitere Informationen zu Rollen finden Sie unter Konfigurieren von RBAC (Übersicht der Schritte) in Systemverwaltungshandbuch: Sicherheitsservices.
limit class n times [message-file]
Schlüsselwort, das verwendet wird, um die Häufigkeit gleichzeitiger Anmeldungen einer bestimmten Anzahl von Benutzern einer definierten Klasse zu bestimmten Zeiten zu beschränken
Ein Name, der durch das Schlüsselwort class definiert wird. Jede Anmeldung wird mit einer Liste von definierten Klassen abgeglichen. Der angemeldete Benutzer wird als zugehörig zu der Klasse betrachtet, die als erste abgeglichen wurde.
Anzahl von Benutzern
Wochentag und Uhrzeit, zu der die Klasse verbunden werden kann. Verwenden Sie Any für einen beliebigen Tag.
Meldungsdatei, die angezeigt wird, wenn einem Benutzer der Zugriff verweigert wird
Beispiel 28-2 Beschränken von Benutzeranmeldungen
limit anon 50 Wk0800-1800 /etc/ftpd/ftpmsg.deny limit anon 100 Any /etc/ftpd/ftpmsg.deny limit guest 100 Any /etc/ftpd/ftpmsg.deny
Die erste Zeile des vorangegangenen Beispiels zeigt ein Limit von 50 gleichzeitigen Anmeldungen, die Benutzern der Klasse anon innerhalb der Wochenarbeitszeit erlaubt sind. In der zweiten Zeile werden den Benutzern der Klasse anon 100 gleichzeitige Anmeldungen außerhalb der Arbeitszeit erlaubt. Die letzte Zeile zeigt ein Limit von 100 guest -Anmeldungen, die jederzeit durchgeführt werden können. Informationen zur Festlegung der Tages- und Zeitparameter finden Sie unter ftpaccess(4).
Das Beispiel zeigt zudem, dass der Inhalt der Datei /etc/ftpd/ftpmsg.deny zurückgegeben wird, wenn ein bestimmtes Anmeldungslimit erreicht ist – sofern ftpmsg.deny vorhanden ist. Informationen, wie der /usr/sbin/ftpcount -Befehl zu verwenden ist, um die Anzahl und das Limit der Anmeldungen für jede Klasse von Benutzern anzuzeigen, die zu einer bestimmten Zeit angemeldet sind, finden Sie unter ftpcount(1).
Benutzern ist es erlaubt, sich beim FTP-Server anzumelden, es sei denn, ein bestimmtes Limit wurde erreicht. Anonyme Benutzer werden als ftp-Benutzer angemeldet. Authentische Benutzer werden mit ihrem eigenen Benutzernamen angemeldet, und Gastbenutzer werden als authentische Benutzer mit einer chroot-Umgebung angemeldet, wodurch der Zugriff beschränkt wird.
Informationen, wie der /usr/sbin/ftpwho-Befehl verwendet wird, um die Identität der beim FTP-Server angemeldeten Benutzer zu prüfen, finden Sie unter ftpwho(1).
Wenn eine Anmeldung beim FTP-Server aufgrund eines Problems wie beispielsweise falscher Schreibweise fehlschlägt, wird die Anmeldung normalerweise wiederholt. Dem Benutzer ist eine bestimmte Anzahl von aufeinanderfolgenden Anmeldeversuchen gestattet, bevor eine Meldung in der syslog-Datei protokolliert wird. An diesem Punkt wird der Benutzer getrennt. Anhand des nächsten Verfahrens können Sie ein Limit für Anmeldeversuche festlegen.
Rollen umfassen Autorisierungen und privilegierte Befehle. Weitere Informationen zu Rollen finden Sie unter Konfigurieren von RBAC (Übersicht der Schritte) in Systemverwaltungshandbuch: Sicherheitsservices.
loginfails n
Schlüsselwort, mit dem festgelegt wird, wie viele Anmeldeversuche fehlschlagen können, bevor die FTP-Verbindung getrennt wird
Anzahl von Anmeldeversuchen, die fehlschlagen können
Beispiel 28-3 Festlegen der Anzahl von ungültigen Anmeldeversuchen
loginfails 10
Das vorangegangene Beispiel zeigt, dass der Benutzer nach 10 fehlgeschlagenen Anmeldeversuchen vom FTP-Server getrennt wird.
In der /etc/ftpd/ftpusers-Datei sind die Namen von Benutzern aufgelistet, denen nicht gestattet ist, sich beim FTP-Server anzumelden. Wenn ein Anmeldeversuch gemacht wird, prüft der FTP-Server die /etc/ftpd/ftpusers-Datei, um festzustellen, ob dem Benutzer der Zugriff erlaubt ist. Wenn der Name des Benutzers nicht in der Datei gefunden wird, sucht der Server in der /etc/ftpusers-Datei.
Wenn der Name des Benutzers in /etc/ftpusers abgeglichen werden kann, wird eine syslogd-Meldung ausgegeben, in der darauf hingewiesen wird, dass die Übereinstimmung in einer veralteten Datei gefunden wurde. Auch wird in der Meldung die Verwendung von /etc/ftpd/ftpusers anstelle von /etc/ftpusers empfohlen.
Hinweis - In dieser Version wird die /etc/ftpusers-Datei nicht mehr verwendet. Ist die /etc/ftpusers-Datei vorhanden, wenn der FTP-Server installiert wird, wird die Datei in die /etc/ftpd/ftpusers -Datei verschoben.
Weitere Informationen finden Sie auf den Manpages syslogd(1M), in.ftpd(1M) und ftpusers(4)
Rollen umfassen Autorisierungen und privilegierte Befehle. Weitere Informationen zu Rollen finden Sie unter Konfigurieren von RBAC (Übersicht der Schritte) in Systemverwaltungshandbuch: Sicherheitsservices.
Beispiel 28-4 Verweigern des Zugriffs auf den FTP-Server
root daemon bin sys adm lp uccp nuucp listen nobody noaccess nobody4
Das vorangegangene Beispiel zeigt typische Einträge in der ftpusers-Datei. Die Benutzernamen stimmen mit den Einträgen in /etc/passwd überein. In der Liste sind root und andere administrative und systemspezifische Identitäten enthalten.
Der Root-Eintrag ist aus Sicherheitsgründen in der ftpusers-Datei enthalten. Gemäß der standardmäßigen Sicherheitsrichtlinie ist eine Remote-Anmeldungen als Root-Benutzer nicht gestattet. Diese Richtlinie gilt auch für den Standardwert, der als CONSOLE-Eintrag in /etc/default/loginfile definiert ist. Siehe dazu login(1).
Zusätzlich zu den oben genannten Sicherheitsmaßnahmen können Sie explizite Einträge in die ftpaccess-Datei einfügen, um den Zugriff auf den FTP-Server zu beschränken.
Rollen umfassen Autorisierungen und privilegierte Befehle. Weitere Informationen zu Rollen finden Sie unter Konfigurieren von RBAC (Übersicht der Schritte) in Systemverwaltungshandbuch: Sicherheitsservices.
defaultserver deny username [username...]
Schlüsselwort, das verwendet wird, um den nicht virtuellen Server zu identifizieren, auf den der Zugriff erlaubt oder verwehrt werden kann
Anmeldename eines Benutzers mit beschränktem Zugriff auf den defaultserver
defaultserver allow username [username...]
defaultserver private
Beispiel 28-5 Beschränken des Zugriffs auf den standardmäßigen FTP-Server
defaultserver deny * defaultserver allow username
Das vorangegangene Beispiel zeigt, dass der FTP-Server allen Benutzern außer anon-Benutzern und den auf der allow-Zeile aufgeführten Benutzern den Zugriff verwehrt.
Sie können auch die ftphosts-Datei verwenden, um zu verhindern, dass über verschiedene Hosts auf Anmeldungskonten zugegriffen wird. Weitere Informationen finden Sie unter ftphosts(4).