👳 Как ограничить команды FTP на сервисах Vsftpd (CentOS / RHEL 6,7)

Узнайте, как ограничить, какие команды ftp пользователь может запускать в службах vsftpd.

Например, как запретить пользователю создавать или удалять каталог.

1. Службы vsftpd установлены и настроены с параметрами по умолчанию.

Создание и удаление каталогов работает как положено.

# ftp localhostTrying 127.0.0.1...Connected to localhost (127.0.0.1).220 (vsFTPd 3.0.2)Name (localhost:root): test331 Please specify the password.Password:230 Login successful.Remote system type is UNIX.Using binary mode to transfer files.ftp>ftp> mkdir test257 "/home/test/test" created
ftp> rmdir test250 Remove directory operation successful.ftp>

2. Запрещаем пользователю создавать или удалять каталог.

Добавьте следующие строки в конец файла /etc/vsftpd/vsftpd.conf.

# tail /etc/vsftpd/vsftpd.conftcp_wrappers=YES# Allowed commands#cmds_allowed=ABOR,ACCT,ALLO,APPE,CDUP,CWD,DELE,EPRT,EPSV,FEAT,HELP,LIST,MDTM,MODE,NLST,NOOP,OPTS,PASS,PASV,PORT,PWD,QUIT,REIN,REST,RETR,RMD,RNFR,RNTO,SITE,SIZE,SMNT,STAT,STOR,STOU,STRU,SYST,TYPE,USER,XCUP,XCWD,XPWD,XRMD# Explicitly denied commandscmds_denied=RMD,RMDIR,XRMD,MKD,MKDIR,XMKD

3. Перезапустите сервис vsftpd.

# systemctl restart vsftpd

Примечание: для Oracle Linux 6 используйте

# service vsftpd restart

4. Пользователь не может создать или удалить каталог:

# ftp localhostTrying 127.0.0.1...Connected to localhost (127.0.0.1).220 (vsFTPd 3.0.2)Name (localhost:root): test331 Please specify the password.Password:230 Login successful.Remote system type is UNIX.Using binary mode to transfer files.ftp>ftp> mkdir test2550 Permission denied. ftp>ftp> rmdir test550 Permission denied. ftp>

Обратитесь к страницам руководства для получения дополнительной информации:

# man vsftpd.confcmds_allowedThis option specifies a comma-separated list of allowed FTP commands (post login. USER, PASS and QUIT andothers are always allowed pre-login). Other commands are rejected. This is a powerful method of reallylocking down an FTP server. Example: cmds_allowed=PASV,RETR,QUITDefault: (none)cmds_deniedThis option specifies a comma-separated list of denied FTP commands (post login. USER, PASS, QUIT andothers are always allowed pre-login). If a command appears on both this and cmds_allowed then the denialtakes precedence. (Added in v2.1.0).

См. также

? Лучшие FTP-клиенты командной строки для Linux

Отправка комментария

0 Комментарии