Partie I Sujets relatifs aux services réseau
1. Service réseau (présentation)
2. Gestion des serveurs cache Web
Partie II Accès aux systèmes de fichiers réseau
4. Gestion des systèmes de fichiers NFS (présentation)
5. Administration de système de fichiers réseau (tâches)
6. Accès aux systèmes de fichiers réseau (référence)
8. Planification et activation de SLP (tâches)
9. Administration de SLP (tâches)
10. Intégration des services hérités
Partie IV Sujets relatifs aux services de messagerie
12. Services de messagerie (présentation)
13. Services de messagerie (tâches)
14. Services de messagerie (référence)
Partie V Sujets relatifs à la mise en réseau série
15. Solaris PPP 4.0 (Présentation)
16. Planification de la liaison PPP (tâches)
17. Configuration d'une liaison PPP commutée (tâches)
18. Configuration d'une liaison PPP de ligne spécialisée (tâches)
19. Paramétrage de l'authentification PPP (tâches)
20. Configuration d'un tunnel PPPoE (tâches)
21. Résolution des problèmes PPP courants (tâches)
22. Solaris PPP 4.0 (Référence)
23. Migration de Solaris PPP asynchrone à Solaris PPP 4.0 (tâches)
25. Administration du protocole UUCP (tâches)
Partie VI Utilisation de systèmes distants
27. Utilisation de systèmes distants (présentation)
28. Administration du serveur FTP (tâches)
Administration du serveur FTP (liste des tâches)
Contrôle de l'accès au serveur FTP
Définitions des classes de serveur FTP
Définition de limites de connexions d'utilisateurs
Contrôle du nombre de tentatives de connexion non valides
Interdiction de l'accès au serveur FTP à certains utilisateurs
Configuration des connexions au serveur FTP
Configuration d'utilisateurs FTP réels
Configuration des utilisateurs FTP invités
Configuration des utilisateurs FTP anonymes
Création du fichier /etc/shells
Personnalisation des fichiers de message
Personnalisation des fichiers de message
Création de messages à envoyer aux utilisateurs
Configuration de l'option README
Contrôle de l'accès à des fichiers sur le serveur FTP
Contrôle des commandes d'accès aux fichiers
Contrôle des chargements et téléchargements sur le serveur FTP
Contrôle des chargements vers le serveur FTP
Contrôle des téléchargements depuis le serveur FTP
Activation de l'hébergement virtuel limité
Activation de l'hébergement virtuel complet
Démarrage du serveur FTP automatiquement
Démarrage d'un serveur FTP à l'aide de SMF
Démarrage d'un serveur FTP autonome en arrière-plan
Démarrage d'un serveur FTP autonome au premier plan
Vérification de syslogd pour les messages du serveur FTP
Utilisation de greeting text pour vérifier ftpaccess
Vérification des commandes exécutées par les utilisateurs FTP
Une aide à la configuration des sites occupés
29. Accès aux systèmes distants (tâches)
Partie VII Sujets relatifs au contrôle des services réseau
Vous pouvez utiliser les fichiers de configuration suivants dans le répertoire /etc/ftpd pour contrôler l'accès au serveur FTP.
ftpusers est utilisé pour afficher une liste des utilisateurs qui se voient refuser l'accès au serveur FTP.
ftphosts est utilisé pour autoriser ou refuser la connexion de différents hôtes à divers comptes sur le serveur FTP.
ftpaccess est le fichier de configuration FTP principal. Le serveur FTP lit uniquement le fichier /etc/ftpd/ftpaccess s'il est appelé avec l'option -a. Lorsque le fichier ftpaccess est utilisé, tous les utilisateurs doivent être membres d'une classe pour être autorisé à accéder au serveur FTP. Vous pouvez spécifier de nombreuses directives ftpaccess qui s'appliquent uniquement à une classe particulière.
Pour plus d'informations, reportez-vous aux pages de manuel ftpusers(4), ftphosts(4) et ftpaccess(4).
Remarque - Dans tous les fichiers de configuration du serveur FTP, les lignes commençant par le signe # sont considérées comme des commentaires.
Pour se connecter au serveur FTP, les utilisateurs doivent être membres d'une classe lorsque le fichier ftpaccess est utilisé. Pour ajouter la directive class au fichier ftpaccess, vous spécifiez le nom de class et la typelist d'utilisateurs qui sont autorisés à y accéder à partir d'un hôte particulier.
Les rôles contiennent des autorisations et des commandes privilégiées. Pour plus d'informations sur les rôles, reportez-vous à la section Configuring RBAC (Task Map) du System Administration Guide: Security Services.
class class typelist addrglob[addrglob...]
Mot-clé utilisé pour définir les utilisateurs FTP.
Nom qui est défini par le mot-clé class. Chaque connexion est comparée à une liste de classes définies. L'utilisateur connecté est considéré comme un membre de la première classe qui correspond.
Une liste de mots-clés séparés par des virgules qui correspondent aux trois types d'utilisateurs : anonymous, guest et real.
Nom de domaine ou adresse numérique glob. addrglob peut également être le nom d'un fichier, commençant par une barre oblique (`/`), qui contient d'autres globs d'adresse : address:netmask ou address/cidr.
Voici quelques exemples d'adresses glob :
Adresse numérique IPv4 : 10.1.2.3
Nom de domaine glob *.provider.com
Adresse numérique IPv4 glob 10.1.2.*
Adresse numérique IPv4 : masque de réseau 10.1.2.0:255.255.255.0
Adresse numérique IPv4/CIDR 10.1.2.0/24
Adresse numérique IPv6 : 2000::56:789:21ff:fe8f:ba98
Adresse numérique IPv6/CIDR : 2000::56:789:21ff:fe8f:ba98/120
Exemple 28-1 Définition des classes du serveur FTP
class local real,guest,anonymous *.provider.com class remote real,guest,anonymous *
L'exemple précédent définit la classe local en tant qu'utilisateur de type real, guest ou anonymous qui se connecte à partir de *.provider.com. La dernière ligne définit remote en tant qu'utilisateur qui se connecte à partir de n'importe où excepté *.provider.com.
Vous pouvez limiter le nombre de connexions simultanées par les utilisateurs d'une classe donnée à l'aide de directives qui sont définies dans le fichier ftpaccess. Chaque limite de connexion contient le nom d'une classe, une liste des jours de la semaine de type UUCP et un fichier du message à afficher si la limite est dépassée.
Pour définir les limites de connexions d'utilisateurs, suivez les étapes de la procédure suivante.
Les rôles contiennent des autorisations et des commandes privilégiées. Pour plus d'informations sur les rôles, reportez-vous à la section Configuring RBAC (Task Map) du System Administration Guide: Security Services.
limit class n times [message-file]
Mot-clé qui est utilisé pour limiter les connexions simultanées par le nombre indiqué d'utilisateurs d'une classe définie sur des périodes de temps données.
Nom qui est défini par le mot-clé class. Chaque connexion est comparée à une liste de classes définies. L'utilisateur connecté est considéré comme un membre de la première classe qui correspond.
Nombre d'utilisateurs.
Jour de la semaine et heure de la journée auxquels la classe peut se connecter. Utilisez Any pour n'importe quel jour.
Fichier de message qui s'affiche si un utilisateur se voit refuser l'accès.
Exemple 28-2 Définition des limites de connexions d'utilisateurs
limit anon 50 Wk0800-1800 /etc/ftpd/ftpmsg.deny limit anon 100 Any /etc/ftpd/ftpmsg.deny limit guest 100 Any /etc/ftpd/ftpmsg.deny
La première ligne de l'exemple ci-dessus présente une limite de 50 connexions simultanées autorisées pour les utilisateurs de la classe anon pendant les heures de travail hebdomadaires. La deuxième ligne limite les utilisateurs anon à 100 connexions simultanées en dehors des heures de travail. La dernière ligne montre une limite de 100 connexions guest qui sont autorisées à tout moment. Pour obtenir des informations sur la spécification des paramètres de jour et d'heure, reportez-vous à la page de manuel ftpaccess(4).
L'exemple indique en détails que le contenu du fichier /etc/ftpd/ftpmsg.deny est renvoyé lorsqu'une limite de connexion spécifiée est atteinte, en supposant que ftpmsg.deny existe. Pour plus d'informations sur l'utilisation de la commande /usr/sbin/ftpcount pour afficher le nombre et la limite de connexions pour chaque classe d'utilisateurs connectés à un moment donné, reportez-vous à la page de manuel ftpcount(1).
Les utilisateurs sont autorisés à se connecter au serveur FTP sauf si une limite spécifiée est atteinte. Les utilisateurs anonymes sont connectés en tant qu'utilisateur ftp. Les utilisateurs réels se connectent sous leur propre identité et les invités se connectent en tant qu'utilisateurs réels avec un environnement chroot pour limiter les privilèges d'accès.
Pour plus d'informations sur l'utilisation de la commande /usr/sbin/ftpwho pour vérifier les identités des utilisateurs connectés au serveur FTP, reportez-vous à la page de manuel ftpwho(1).
Si une connexion au serveur FTP échoue en raison d'un problème tel qu'une faute d'orthographe dans les informations requises, la connexion est généralement répétée. Un nombre spécifique de tentatives de connexion consécutives sont accordées à l'utilisateur avant qu'un message soit consigné dans le fichier syslog. À ce stade, l'utilisateur est déconnecté. Vous pouvez définir une limite d'échecs pour le nombre de tentatives de connexion en suivant les étapes de la procédure suivante.
Les rôles contiennent des autorisations et des commandes privilégiées. Pour plus d'informations sur les rôles, reportez-vous à la section Configuring RBAC (Task Map) du System Administration Guide: Security Services.
loginfails n
Mot-clé qui permet d'affecter le nombre d'échecs de connexion autorisés avant que la connexion FTP soit interrompue.
Nombre de fois qu'une connexion peut échouer.
Exemple 28-3 Contrôle du nombre de tentatives de connexion non valides
loginfails 10
L'exemple ci-dessus indique que l'utilisateur est déconnecté du serveur FTP après 10 tentatives de connexion ayant abouti à un échec.
Le fichier /etc/ftpd/ftpusers répertorie les noms des utilisateurs qui ne sont pas autorisés à se connecter au serveur FTP. Lorsqu'une connexion est effectuée, le serveur FTP vérifie le fichier /etc/ftpd/ftpusers afin de déterminer si l'accès doit être refusé à l'utilisateur. Si le nom de l'utilisateur n'est pas trouvé dans ce fichier, le serveur recherche ensuite dans le fichier /etc/ftpusers.
Si le nom de l'utilisateur est trouvé dans /etc/ftpusers, un message syslogd est écrit et contient une déclaration indiquant que la correspondance a été trouvée dans un fichier désapprouvé. Le message recommande également l'utilisation de /etc/ftpd/ftpusers au lieu de /etc/ftpusers.
Remarque - La prise en charge du fichier /etc/ftpusers a été désapprouvée dans cette version. Si le fichier /etc/ftpusers existe lorsque le serveur FTP est installé, le fichier est déplacé vers /etc/ftpd/ftpusers.
Pour plus d'informations, reportez-vous aux pages de manuel syslogd(1M), in.ftpd(1M) et ftpusers(4).
Les rôles contiennent des autorisations et des commandes privilégiées. Pour plus d'informations sur les rôles, reportez-vous à la section Configuring RBAC (Task Map) du System Administration Guide: Security Services.
Exemple 28-4 Désactivation de l'accès au serveur FTP
root daemon bin sys adm lp uccp nuucp listen nobody noaccess nobody4
L'exemple précédent répertorie les entrées standard dans le fichier ftpusers. Les noms d'utilisateur correspondent aux entrées de /etc/passwd. La liste inclut généralement l'utilisateur root et d'autres identités d'administration et d'applications du système.
L'entrée racine est incluse dans le fichier ftpusers comme mesure de sécurité. La stratégie de sécurité par défaut est d'interdire les connexions à distance pour root. La stratégie est également suivie pour la valeur par défaut qui est définie comme l'entrée CONSOLE dans /etc/default/loginfile. Reportez-vous à la page de manuel login(1).
Outre les commandes mentionnées précédemment, vous pouvez ajouter des déclarations explicites dans le fichier ftpaccess pour restreindre l'accès au serveur FTP.
Les rôles contiennent des autorisations et des commandes privilégiées. Pour plus d'informations sur les rôles, reportez-vous à la section Configuring RBAC (Task Map) du System Administration Guide: Security Services.
defaultserver deny username [username...]
Mot-clé qui est utilisé pour identifier le serveur non virtuel auquel l'accès peut être refusé ou autorisé.
Nom de connexion d'un utilisateur avec un accès restreint au defaultserver.
defaultserver allow username [username...]
defaultserver private
Exemple 28-5 Restriction de l'accès au serveur FTP par défaut
defaultserver deny * defaultserver allow username
L'exemple précédent indique que le serveur FTP refuse l'accès à tous les utilisateurs à l'exception des utilisateurs anon et des utilisateurs qui sont répertoriés sur la ligne allow.
Vous pouvez également utiliser le fichier ftphosts pour refuser l'accès à des comptes de connexion donnés de divers hôtes. Pour plus d'informations, reportez-vous à la page de manuel ftphosts(4).