Dalšie Predchadzajúce Obsah


Konfiguračné voľby pre configuračný súbor bftpd


Nižšie je zoznám volieb pre bftpd server. Tieto voľby a ich hodnoty môžu byť uložené v konfiguračnom súbore. Východiskový konfiguračný súbor je umiestnený v /etc/bftpd.conf. Všimnite si, že všetky hodnoty musia byť zadavané v uvodzovkách. Napríklad, nasledujúce je správne:

PORT="21"

Ale toto, nie je správne:

PORT=21

Taktiež malá poznámka k tomu, že voľba je vždy veľkými pismenami.


Konfiguračný súbor bftpd.conf ma dve hlavné časti. Prvá časť je global (globálna). V nej sú implicitné hodnoty, ktoré používa server. Druhá časť je users (uživateľská). Tá by mala byť vždy na konci súboru bftpd.conf. Uživaťeľská časť prepisuje globálne premenny pre špecifických uživateľov. Napr. vychodiskovo je nastavené v súbore bftpd.conf DENY_LOGIN na "no", ktorý úmožni sa všetkým uživateľom sa prihlásiť. Táto hodnota je v globálnej sekcie. Ale štandárne je DENY_LOGIN vypnúte pre uživateľa root v uživateľskej sekcie. Toto použitie vedie k zákazu príhlasenia uživateľa root k vášmu bftpd serveru.


Teraz bez dalšieho zdržania si pozríte podporované voľby pre bftpd server. Tie budú predstavené pod menom premeny, stručný opis a jeho možnosti.


Meno: DENY_LOGIN

Popis: Nastavením tohto príkazu buď zakážete alebo povolíte prihlásenie. Je odporučané hlavné použiť pre prístup uživateľa root.

Hodnoty:
"no" - povolí sa prihlásiť
"yes" - zakáže uživateľovi sa prihlásiť.
"Prihlásenie je odoporeté." - Odoprie prihlásenie a vypíše prečo.


Meno: PORT

Popis: Toto nastavenie nastaví číslo portu, na ktorom čaká na vstupné pripojenia na bftpd. Toto je len možné nastaviť, ak je bftpd spústeni ako deamón.

Hodnoty:
"21" - vychodisková


Meno: PASSIVE_PORTS

Popis: bftpd môžeš nechať prinútiť, aby počúval na špecialnom rozsahu portov v pasívnom móde. Pasívny mód známena, že účastník otvorí datové spojenie, ale server zostane pasivný. Táto voľba je veľmi vhodná na použitie na firewallovú konfiguráciu. Odeliš hodnoty s "," alebo ",". bftpd ich búde sa skúšať spájiť na jeden z týchto portov v zostupnom poradí, ako to vy presne určíte.

Hodnoty:
"0" - (nula) vychodiskové
"10000-20000" - nastavenie od 10,000 do 20,000
"15000-20000, 25000-30000" - unastavené od 15,000 do 20,000 a od 25,000 do 30,000.


Meno: DATAPORT20

Popis: Iba ak váše datové spojenie priebeha cez port 20, môžte tu dať "yes". Vy budete pravdepodobné toto potrebovať, ak máte slabý firewall, ktorý obmedzuje pakety odchadzajúce z portov vyšších ako 1024. Všimnite si, že toto môže byť bezpečnostná diera, pretože server nebude môcť dobré pracovať z pravámi roota. Ak súhlasite, zvolte "yes"

Hodnoty:
"no" - Vychodiskové. Toto je odporučané z bezpečnostných dôvodov.
"yes" - povoli datový port 20. Odporučané jedine s firewall, ktorý obmedzuje odchadzajúce spojenia nad 1024.


Meno: ADMIN_PASS

Popis: Heslo, ktoré bude použivať systemový administrator na monitorovania a správu bftpd servera. Administratorské spojenie ešte nie je v tomto čase hotové. Malo by zostať ako "x".

Hodnoty:
"x" - vychodiskové a odporučané.


Meno: INITIAL_CHROOT

Popis: S touto voľbou môžete popísať celé vaše FTP okolie vrátane chroot. Okrem bezpečnosti, vám toto umožnuje vytvoriť použivateľov, ktorý neexistujú v systéme. Dodatočne môžete pre ne vytvoriť položky pre ich priečinky so súbormi. Vy môžete dokonca vytvoriť symlink pre ich uživateľský domovský priečinok ( to znamená nastavenie DO_CHROOT=no, aby uživatelia mohli pristupovať na disk. Všimnite si, že potrebujete nasledovné súbory, vo vašom počiatočnom chroot priečinku: /etc/passwd, /etc/shadow, /etc/group. NA GNU systémoch potrebujete NSS knižnice v /lib.

Hodnoty: Táto voľba je vychodiskovo zablokovaná. Mali by ste zadať existujúcu cestu k spústiteľným súborom, ak si prajete tradičnú inštaláciu, bezpečné ftp spojenie.


Meno: PATH_BFTPDUTMP

Popis: Do súboru bftpdutmp vám dovolí zapísovať všetky prihlásenia a odhlásenia. Toto je schopné pracovať s obmedzeným počtom aktuálne prihlaseních uživateľov na počítač. Ak si čeláte, aby ftpd server bežal bez týchto bezpečnostných funkcií, ponechaj reťazec prázny.

Hodnoty:
"/var/run/bftpd/bftpdutmp" - vychodiskový
"" - disable the log file.


Meno: XFER_BUFSIZE

Popis: Táto voľba obmedzuje veľkosť vyrovnavácej pamäte počas prenosu súborov.. Pokiaľ máš veľmi rýchlu sieť ( rýchly znamená 100 Mbit/s alebo viac), malo by byť na niečo také alebo niečo podobné XFER_BUFSIZE=64000. Prenos z localhost na localhost má prenosovú rýchlosť približne 15MB/s s XFER_BUFSIZE=2048 a rýchlosť 20MB/s s XFER_BUFSIZE=64000. Mal by si si dať menšiu hodnotu, ak máš pomalých (dialup) učastníkov. Tato voľba by mala byť použita pre (hrube) spomalenie prenosovej rýchlosti. Nastaviť na veľmi nízku hodnotu môže veľmi spomaliť prenosovú rýchlosť.

Hodnoty:
"2048" - vychodiskové


Meno: XFER_DELAY

Popis: Táto voľba vám dovolí pridať oneskorenie ( v milisekundach) k času medzi odoslaným posledným a nasledujúcim paketom. Toto je vhodne, ak máte úzku priepusnosť a platí to pre každého účastnika. Škrtiaci efekt pre DATA prenos neplatí pre kontrolné pripojenia. Hodnota 0 znamená, že tam neprida meškanie. A hodnota asi tak 500000 ( päťsto tisíc) by malo meškanie asi tak pol sekundy. Týmto nastavením by ste sa mali vyvarovať oneskorovaniu datové spojenie.

Hodnoty:
"0" - vychodiskové (žiadne oneskorenie)


Meno: ALLOW_FXP

Popis: Pokiaľ je nastavené na "yes", tak dovolí datové spojenia aj nepovolením účastnikom. Toto je potrebné pre FXP. Táto voľba je odporučaná byť zablokovaná.

Hodnoty:
"no" - vychodiskové (odporučané)
"yes" - dovolí spojenie tretím účastníkom.


Meno: CONTROL_TIMEOUT

Popis: Táto voľba nastaví účastnikový, koľko minút môže byť v spojení bez vysielania nejakéj riadiacej inštrukcie. Táto hodnota udáva počet sekund, koľko sekúnd má čakať bftpd na príkaz pred ukončením spojenia.

Hodnoty:
"300" - vychodiskové (čaká päť minút)


Meno: DATA_TIMEOUT

Popis:Množstvo času, koľko času nemusí účastník pracovať v priebehu prenosu súboru. Tá je daná v sekundách. Táto voľba je obyčajné nastavená na desať, alebo pod 60. Pri nej by si mal brať v úvahe pomalé dialup spojenie. Na ich skoré vyčerpanie odchodu z prípojenia. Hodnota môže byť to pre ne veľmi malá.

Hodnoty:
"30" - vychodiskové (čaká dridsať sekund)


Meno: RATIO

Popis: Nastaví pomer, ak chcete, aby pred tým než stiahni nejaký súbor, najpr poslal nejaké súbory. Formát tohto nastavenia je "upload/download". Napríklad, "2/1" nastaví uživateľovy, než predtým než stiahne 1 MB, musí najskôr poslať 2 MB dát.

Hodnoty:
"none" - predvolené. Neobmedzené stahovanie.
"2/1" - dovolí stiahnuť 1MB pre každe 2MB odoslané na server.


Meno: ROOTDIR

Popis: Špecifikuje koreňový priečinok pre klienta. Východiskovo je "%h" ( uživateľský domovský priečinok). "%u" je nahradené uživateľským menom. To je vyhodné, ak máte podriadené zložky na použivanie pre bftpd. Napríklad, /var/ftp/username/
Táto voľba by mala byť pravdepodobné nastavená na špecialnú hodnotu u anonymného uživateľov. Tie sú špecifikované na konci zoznamu.

Hodnoty:
"%h" - (vychodiskové) domovský priečinok prihlaseného uživateľa.
"%u" - tento symbol bude nahradený použivateľskym menom.


Meno: UMASK

Popis: Umask pre vytvorené priečinky a súbory v domovskom priečinku uživateľa.

Hodnoty:
"022" - (vychodiskové) Nové súbory sú vytvorené s právami 755.


Meno: LOGFILE

Popis: Cestá k súboru, do ktorého sa bude ukladať všeobecné logovacie informácie. To zahrňuje prijate a odoslané súbory, pokusy o prihlásenia a odhlásenia. Je možné nastaviť aj do systemového logu, zadaním "syslog"

Hodnoty:
"/var/log/bftpd.log" - vychodiskové
"syslog" -odošlé dáta do systemového logu.
"" - neukláda logovacie informácie do súboru.


Meno: HELLO_STRING

Popis: Táto voľba nastaví, ako má bftpd pozdraviť prihlasených uživateľov. Vy môžete použiť reťazec, ktorý bude len jednom riadku. Tiež môžeš použiť tri špeciálne symboly (%h, %i, %v). Symbol %h je nahradený menom servera, %i je nahradené jeho IP adresou a %v zobrazí číslo verzie bftpd.

Poznámka: Ak použijete symbol "%h" a vy inicializujete vlastný CHROOT, potom musíte /etc/hosts a /etc/host.conf súbory skopírovať do CHROOT umiestnenia.

Hodnoty:
"bftpd %v at %i ready." - vychodiskové (Zobrazí verziu a IP adresu servera)
"Welcome to bftpd at %h" - Zobrazi uvítaciu spávu so serverovým menom.


Meno: AUTO_CHDIR

Popis: Táto voľba povie bftpd serveru, v ktorom adresáry by mal štartovať. Cesta k adresáru je relatívna k chroot umiestneniu.

Hodnoty:
"/" - (default) ide do root priečinku v aktuálnom prostredí .
"/ftp" - start v ftp priečinku


Meno: AUTH

Popis: Toto nastavenie hovorí bftpd, aký typ hesla má na autorizáciu použiť. Aktuálne sú PAM a štandarné hesla využíte.

Hodnoty:
"PASSWD" - (vychodiskové) používa zakladné kľuče na overenie.
"PAM" - používa PAM overenie.


Meno: FILE_AUTH

Popis: Táto voľba, ak je nastavená, hovorí bftpd, že má ignorovať premenu AUTH a používať pre príhlasenie úživateľov čistý textový súbor. Hodnota by mala ukazovať na umiestnenie textového súboru, čitateľného pre bftpd. Pozri časť hodnoty pre format súboru. bftpd bude prehľadávať textový súbor podľa priradeného uživateľského mena. Ak ho najde, porovná heslo podľa hesla v súbore.
Upozornenie:Táto voľba by sa mala použivať veľmi opatrne a len v situaciách, kde si prajete obísť vaše bezpečnostné zabezpečenie.

Hodnoty:
Text by mal mať nasledujúcu formu:
uživateľ heslo skupina domovský_priečinok

Kde učastnícke meno a heslo musí byť poslané účastníkovi na porovnanie. Inak bude príhlasenie odmietnuté. Skupina by mala byť pre uživateľa regulérna a domovský priečinok je pre účastnika chroot.
john secret users /home/john
jane mypassword users /home/jane/ftp


Meno: RESOLVE_CLIENT_IP

Popis: Zápnite túto voľbu, ak chcete učastnikovú IP adresu previesť na hostname. Poznamka: Zvíši to mimoriadne systemové nároky a nemôže pracovať, ak váš DNS server nebol spávne nainštalovaný. Účastníci bez platnej DNS názvu mu bude dlho trvať, kým sa pripojení.

Hodnoty:
"no" - predvolené a odporučané
"yes" - zmeni klienta na host name, ak je to možné


Meno: MOTD_GLOBAL

Popis: Táto voľba bftpd hovorí, kde je "správa dňa" uložená. Obsah tohto súboru (ak existuje) sa pošle klientovi predtým, než sa prihlasí.

Hodnoty: "/etc/ftpmotd" - vychodiskové


Meno: MOTD_USER

Popis:Cesta k súboru "správa dňa". Obsah tohto súboru (ak existuje) sa pošle klientovi po úspešnom prihlasí. Táto cesta je relatívna k uživateľskému root priečinku.

Hodnoty:
"/.ftpmotd" - vychodiskové


Meno: RESOLVE_UIDS

Popis: Ak je táto voľba aktívna, použivatelia a mená skupin su zobrazené vo výpisoch priečinkov, miesto čistých uživateľských/skupinových ID čisiel. Táto voľba môže spomaliť veľké výpisy priečinkov.

Hodnoty:
"yes" - (vychodiskové) zobrazí uživateľské a skupinové meno.
"no" - zobrazí uživateľské a skupinové čislo.


Meno: DO_CHROOT

Popis: Ak je táto voľba aktívna ("yes"), klient nemôže prístupovať k nejakému priečinku mimo chroot umiestnenia. Zablokovanie týmto reťazcom ("no") sa pokladá za serioznu bezpečnostnú dieru.

Hodnoty:
"yes" - (vychodiskové) odporúčané, spristupní iba domovské priečinky uživateľov.
"no" - (not recommended) toto nastavenie spristupní ostatným uživateľom hocijaký adresár na serveri.


Meno: LOG_WTMP

Popis: Zapnutím povolíte zalogovať každé príhlasenie do wtmp. Toto môže byť užitočné pre kontrolné bezpečnostné vypisy.

Hodnoty:
"yes" - (vychodiskové) Odošle prihlasovácie informácie do wtmp.
"no" - Neloguje do wtmp.


Meno: BIND_TO_ADDR

Popis: Ak by ste radi bftpd spojili do jedného špecifického sieťového rozhrania, hodnotou je IP adresa. Požitím hodnoty "any" použije prvé využité sieťové rozhranie. Táto voľba pracuje iba v deamon móde.

Hodnoty:
"any" - (vychodiskové) Použije prvé využité sieťové rozhranie.
"tvoja IP adresa" - skúsi sa spojiť k špecifickej adrese.


Meno: PATH_FTPUSERS

Popis: Toto nastavenie udáva cestu k súboru (ftpusers), ktorý obsahuje zoznam uživateľov, ktorý sa nemôžu prihlásiť k serveru. Ak chcete, aby sa mohol ktokoľvek prihlásiť, zadávajte tu názov neexistujúceho súboru.

Hodnoty:
"/etc/ftpusers" - vychodiskové


Meno: AUTH_ETCSHELLS

Popis: Zapnútim zakážete uživateľa, ktorý ma shell, ktorý nie je uvedený v /etc/shells.

Hodnoty:
"no" - (vychodiskové) dovoliť hocikomu sa prihlásiť
"yes" - zakážete uživateľa, ktorýho shell, nenájde v /etc/shells


Meno: ALLOWCOMMAND_

Popis: S položkou ALLOWCOMMAND_XXXX môžete vypnúť príkaz XXXX. Napríklad, ak chcete zakázať uživateľom vymazanie súborov, urobíte ALLOWCOMMAND_DELE="no" Vy môžete taktiež vypnúť príkaz pre špecifických uživateľov napisaním potrebných riadkov do použivateľskej štruktúre na konci konfiguračného zoznamu. Prosím, pozri si časť hodnoty pre niektoré príklady.

Hodnoty:
ALLOWCOMMAND_DELE="no" - zabráni uživateľom vymazanie alebo prepísanie súboru
ALLOWCOMMAND_STOR="yes" - dovolí uživateľom ukládať súbory na server
ALLOWCOMMAND_SITE="yes" - dovolí uživateľom príkaz pre umiestnenie
ALLOWCOMMAND_RETR="no" - zabráni uživateľom sťahovanie súborov


Meno: HIDE_GROUP

Popis: Súbory, ktoré patria týmto skupinam (čiarkou oddelené) sú skryté v zoznáme LIST/NLST. Ténto príkaz vám pomôže s bezpečnosťou na systémoch, kde bftpd má prístup k systemovým súborom.

Hodnoty:
"" - (prázny reťazec) vychodiskové. Neskrýva žiaden súbor.
"root" - skryje všetky súbory patriace skupine root.


Meno: QUIT_MSG

Popis: Ak uživateľ pošle príkaz "quit", tak táto správa sa mu pošle.

Hodnoty:
"See you later..." - vychodiskové.
Hocijaká správa môže byť v uvodzovkách, pokiaľ je na jednom riadku v konfiguračnom súbore.


Meno: USERLIMIT_GLOBAL
Popis: Počet uživateľov, koľky môžu byť naraz prihlasený. Ak je nastavené na 0, môže sa pripojiť nekonečný počet uživateľov. Toto nie je odporučané, pre vytvorenie Dos útokov, aj keď sú účastnici zabytí po krátkom čase.

Hodnoty:
"0" - (nula) vychodiskové. Toto nie je odporučané.
Na väčšine malých serverov, by mal byť pod dvadsať ("20"), ale viac ako päť (5).


Meno: USERLIMIT_SINGLEUSER

Popis:
Táto premenna kontroluje, koľko krát môže byť prihlasený jeden uživateľ v jednom čase. Toto vám dovolí mať veľký počet pripojení limit ( pozri hore) a napriek tomu zabráni jedným uživateľom mať veľa pripojení.

Hodnoty:
"0" - (nula) vychodiskové. Dovoľuje nekonečný počet pripojený od uživateľa.


Meno: USERLIMIT_HOST

Popis: Táto premená určuje, koľko použivateľov sa smú prípojiť z tej istej IP adresy. Táto voľba zabráni jednému uživateľovi (alebo stroji) brebrať všetky voľné pripojenia. Ak chcete dovoliť nelimitujúce pripojenia, nastav túto voľbu ako "0".

Hodnoty:
"0" - (zero) je vychodiskové, dovolí nelimitujúce pripojenia z tej istej IP adresy.


Meno: GZ_UPLOAD

Popis: Táto voľba donúti súbory priebežne kompromitovať v priebehu nahravania na server. A ".gz" príponu bude mať v zozname. Toto je obyčajne vypnuté ("no"),ale môže byť užitočné pre servery s menším uložním priestorom. Nastavením na "yes" zaktivuješ túto voľbu.

NA použie tejto voľby, musí býť bftpd na toto použitie nakonfigurovaný
"./configure --enable-libz" miesto spustenia "make".

Hodnoty:
"no" - vychodiskové (odporučané vo väčšine nastavení)
"yes" - donúti súborý priebežne kompromitovať v priebehu nahravania na server.


Meno: GZ_DOWNLOAD

Popis: Táto voľba donúti súborý priebežne dekompromitovať v priebehu stahovania zo serveru. A ".gz" koncovka bude mať v zozname. Súbory s koncovkou ".gz" sa budú rozbaľovať, keď sa budú posielať k uživateľovi. Táto voľba by mala byť obyčajne vypnuté ("no"),ale môže byť užitočné pre servery s množstvom kompromitovaných suborov. Nastavením na "yes" aktivuješ túto voľbu.

NA použie tejto voľby, musí býť bftpd na toto použitie nakonfigurovaný
"./configure --enable-libz" miesto spústenia "make".

Hodnoty:
"no" - vychodiskové (odporučané vo väčšine nastavení)
"yes" - Donúti súborý priebežne dekompromitovať v priebehu stahovania zo serveru.





Dalšie Predchadzajúce Obsah