ナビゲーションリンクをスキップ | |
印刷ビューの終了 | |
Solaris のシステム管理 (ネットワークサービス) Oracle Solaris 10 8/11 Information Library (日本語) |
パート II ネットワークファイルシステムへのアクセス (トピック)
6. ネットワークファイルシステムへのアクセス (リファレンス)
23. 非同期 Solaris PPP から Solaris PPP 4.0 への移行 (手順)
特定のユーザーの FTP サーバーへのアクセスを拒否する方法
syslogd 内の FTP サーバーのメッセージを検査する方法
FTP サーバー上のディレクトリのアクセス権を設定することにより、FTP サーバーへのアップロードと FTP サーバーからのダウンロードを制御できます。デフォルトでは、匿名ユーザーはアップロードを実行できません。匿名ユーザーにアップロードを許可する場合は、充分な注意が必要です。
ftpaccess ファイルに指令を追加して、アップロードのアクセス権と、アップロード異常終了時に表示するエラーメッセージを指定します。
役割には、認証と特権コマンドが含まれます。役割の詳細については、『Solaris のシステム管理 (セキュリティサービス)』の「RBAC の構成 (作業マップ)」を参照してください。
ユーザーにファイルのアップロードを許可するには、次のエントリを追加します。
upload [absolute|relative] [class=<classname>]... [-] root-dir \ dirglob yes|no owner group mode [dirs|nodirs] [<d_mode>] path-filter typelist mesg allowed-charset {disallowed regexp...}
ホームディレクトリ (chroot() の引数) として root-dir を持つユーザーに適用するキーワード。root-dir に “*” を指定して、任意のホームディレクトリを一致させることができます。
root-dir ディレクトリパスを、絶対パスとして解釈するか、または現在の chroot ディレクトリからの相対パスとして解釈するかを指定するパラメータ。
任意個数の class=<classname> 制限の指定に使用するキーワード。制限が指定された場合、upload 節が有効になるのは、現在のユーザーが指定されたクラスのメンバーである場合に限定されます。
ユーザーのルートディレクトリと匿名ユーザーのホームディレクトリ。
ディレクトリ名に一致するパターン。アスタリスクを任意の場所に使用することも、単独で使用して任意のディレクトリを表すこともできます。
FTP サーバーへのアップロードを許可または拒否する変数。
dirnames にアップロードされたファイルの所有者。
dirnames にアップロードされたファイルに関連付けられているグループ。
アップロードされたファイルのアクセス権の指定に使用するパラメータ。デフォルトモード 0440 の場合、匿名アカウントのユーザーはアップロードされたファイルを読み取れません。
dirnames に列挙されたディレクトリに、ユーザーがサブディレクトリを作成することを許可または拒否するキーワード。
新しく作成したディレクトリのアクセス権を決定するオプションモード。
アップロードされたファイルの名前を制御するキーワード。
anonymous、guest、および real のキーワードを任意に組み合わせてコンマで区切って並べたリスト。
regexp 条件に一致しない場合に表示されるメッセージファイル。
ファイル名で使用できる、または使用できない英数字。
例 28-13 FTP サーバーへのアップロードの制御
upload /export/home/ftp /incoming yes ftpadm ftpadmin 0440 nodirs path-filter anonymous /etc/ftpd/filename.msg ^[-A-Za-z0-9._]*$ ^[.-]
この例では、次のことが示されています。
/export/home/ftp への chroot を使用する FTP ユーザーアカウントは、/incoming ディレクトリにアップロードすることができる。アップロードされたファイルの所有者は、ユーザー ftpadm、グループ ftpadmin である。モードは nodirs キーワード付きで 0440 に設定され、匿名ユーザーによるサブディレクトリの作成を拒否する
匿名ユーザーの場合、ファイル名は A-Z、a-z、0-9、. (ドット記号)、- (ダッシュ記号)、_ (下線) の任意の並びである。ファイル名を . (ドット記号) または - (ダッシュ記号) で始めることはできない。ファイル名がこの条件を満足しない場合、/etc/ftpd/filename.msg メッセージファイルが FTP 管理者により作成済みであれば、そのファイルが表示される。このメッセージのあとに、FTP サーバーのエラーメッセージが表示される
匿名ユーザーによるアップロードが許可されているディレクトリの所有者とアクセス権は、厳密に制御する必要があります。FTP 管理者は FTP サーバーにアップロードされるすべてのファイルの所有者である必要があります。匿名ユーザーにファイルのアップロードを許可する場合、FTP 管理者を作成する必要があります。ディレクトリの所有者はユーザー ftpadm、グループ ftpadm、アクセス権は 3773 である必要があります。
FTP サーバーにアップロードされるファイルのアクセスモードは 0440 である必要があります。モードを 0440 にすると、匿名アカウントのユーザーはアップロードされたファイルを読み取れません。この制限により、サーバーが第三者によってファイル配布の場所として使用されるのを防ぎます。
アップロードされたファイルを配布可能にするために、FTP 管理者はそれらのファイルを公開ディレクトリに移動することができます。
役割には、認証と特権コマンドが含まれます。役割の詳細については、『Solaris のシステム管理 (セキュリティサービス)』の「RBAC の構成 (作業マップ)」を参照してください。
noretrieve [absolute|relative] [class=classname]... [-] filename ...
特定のファイル (複数可) の読み取りの拒否に使用するキーワード
root-dir ディレクトリパスを、絶対パスとして解釈するか、または現在の chroot ディレクトリからの相対パスとして解釈するかを指定するパラメータ。
noretrieve 制限を適用するユーザーの class=<classname> の指定に使用するキーワード
ユーザーによる読み取りを拒否するファイルの名前
例 28-14 FTP サーバーへのダウンロードの制御
noretrieve /etc/passwd
この例では、すべてのユーザーが /etc/passwd の読み取りを拒否されます。