RSS

IT Glossary    1_9  A  B  C  D  E  F  G  H  I  J  K  L  M  N  O  P  Q  R  S  T  U  V  W  X  Y  Z  .....  A  Б  В  Г  Д  Ж  З  И  К  Л  М  Н  О  П  Р  С  Т  У  Ф  Х  Ц  Ч

Организация ресурсов локальной сети

Настройка FTP-сервера

Как ни крути, а FTP-сервер нам просто необходим, ведь с помощью этого сервиса можно организовать быстрый, удобный и безопасный способ обмена файлами между пользователями сети. Посему - приступим.

Сначала необходимо скачать последнюю версию сервера wu-ftpd отсюда: www.wu-ftpd.org (кстати, весь описанный софт есть и на диске, поэтому качать не обязательно). После этого собираем и устанавливаем:

# tar xzpf wu-ftpd-***.tar.gz; распаковываем

#./configure --disable-dnsretry --enable-quota --enable-pam --disable-newlines --disable-virtual --disable-anonymous --enable-ls

Эти параметры означают следующее (порядок сохранен): при ошибке DNS запроса - забить на него (повышение производительности сервера); включаем поддержку дисковых квот; возможности PAM работы; удаление пустых строк запроса (повышение устойчивости к DoS-атакам); удалим поддержку виртуальных серверов (для нас - лишняя трата ресурсов); запрещаем анонимный доступ (повышение безопасности); использовать встроенную команду “ls” вместо родной системной “ls” (опять же повышение безопасности).

У FTP-сервера компиляция и пост-установочные действия несколько расширены:

Исполняем от root’a:

# make; обычные команды

# make install; установки

# install -m 755 util/xferstats /usr/sbin/; устанавливаем “xferstats”, помогающие следить за работой сервера

# touch /var/log/xferlog; создаем файл регистрации для нее

# chmod 600 /var/log/xferlog; чтение-запись только root’om

# cd /usr/sbin/

# ln -sf in.ftpd /usr/sbin/wu.ftpd ; символические ссылки

# ln -sf in.ftpd /usr/sbin/in.wuftpd ; необходимы для грамотного конфига

# strip /usr/bin/ftpcount ; удаляем всю отладочную инфу

# strip /usr/bin/ftpwho ; из исполняемых файлов

# strip /usr/sbin/in.ftpd

# strip /usr/sbin/ftpshut

# strip /usr/sbin/ckconfig

# strip /usr/sbin/ftprestart

А теперь удалим все исходники:

# cd /var/tmp

# rm -rf wu-ftpd-***/ wu-ftpd-***.tar.gz

И добавим пользователя для работы с фтп-сервером:

# mkdir /home/ftp ; общий для всех пользователей фтп-каталог

# useradd -d /home/ftp/ftpadmin/ -s /dev/null ftpadmin > /dev/null 2>&1

# passwd ftpadmin ; ставим ftpadmin’y пасс для работы

 

Бесплатная консультация специалиста

Loading…
 

Хорошо бы еще позаботиться о защите своего сервера и убрать возможность вызова шелла пользователям фтп. Для этого – просто добавим в /etc/shells строку: /dev/null. Ничего оригинального. Да, и еще - замени в файле /etc/passwd строку для пользователя “ftpadmin”:

ftpadmin:x:502:502::/home/ftp/ftpadmin/:/dev/null

на:

ftpadmin:x:502:502::/home/ftp/./ftpadmin/:/dev/null

Следующим шагом мы организуем файл /etc/ftphosts и добавим в него хосты своей локалки:

allow ftpadmin 192.168.0 ; разрешаем

deny ftpadmin 192.168.5 ; запрещаем

И выставим ему необходимые права:

chmod 600 /etc/ftphosts

Следующий конфигурационный файл: /etc/ftpusers, в нем прописаны пользователи, которым запрещено использовать FTP-сервер. Создаем этот файл (touch /etc/ftpusers) и пропишем в него системных пользователей, например этих:

Root bin daemon adm lp sync shutdown halt mail news uucp operator games nobody

Каждый из пользователей должен быть прописан с новой строки. Опять установим права:

# chmod 600 /etc/ftpusers

Можно также удалить анонимный доступ к фтп, для этого достаточно снести юзера:

# userdel ftp

Чтобы запретить закачку пользовательских файлов в потенциально опасные каталоги, мы малость поправим файл ftpaccess (/etc/ftpaccess), вписав в него следующие строки:

upload /home/ftp/* /dev no

upload /home/ftp/* /etc no

upload /home/ftp/* / no

Все. Теперь необходимо добавить пользователя для гостевого доступа и дать ему пароль, естественно, забрав у него возможность вызова удаленной консоли. Затем следует просто перезапустить сервис и пробовать зайти на фтп-сервер. Только не забудь поправить правила файрвола, разрешив 21 порт для локальной сети.

Файлопомойка aka Samba

Я советую пока взять 2 версию, а не 3. По одной причине – она стабильней, а в 3 заложено много идей “близкого будущего” ;). По безопасности же 2 ни в чем не уступает 3. Все, что нам надо – это привести ее главный конфиг примерно в такой вид:

/etc/samba/smb.conf:

[global]

workgroup = MSHome # Рабочая группа. Должна быть у всех пользователей одинаковая!

Netbios name = Server # NetBIOS имя сервера

hosts allow = 192.168.0. 127. # Разрешенные хосты. Здесь локальная сеть 192.168.0.* и локальный хост

load printers = no # На сервере не должно быть общедоступных принтеров. Ведь сервак локальной, а не корпоративной сети!

Guest account = nobody # Имя Linux пользователя с правами гостя.

invalid users = root # обязательная строка, повышающая защищенность сервера

max log size = 500 # Столько Кб для лог-файла

security = user # Каждый пользователь авторизируется сам по себе.

ecrypt passwords = yes # шифрованные пароли необходимы для работы Windows машин.

Wins support = yes # Samba выполняет функции Wins сервера.

character set = KOI8-R # Эти две строки позволяют правильно

client code page = 866 # использовать кириллицу на сервере

interfaces = eth0 # Локальный интерфейс. С него принимаем запросы на Samb’y

admin users = smb_admin # Администраторы.

#Все основные настройки закончены.

#Сейчас начинается блок, отвечающий за расшаренные ресурсы.

[File_From_All] # Имя ресурса

Comment = FileObmennik # Комментарии к имени, которое будут видеть пользователи ресурса

Path = /var/samba/Fileobmennik # Путь к папке с ресурсом

guest ok = yes # Гость может писать в этот каталог по сети.

Public = yes # ресурс будет доступен всем

writable = yes # Писать тоже можно

printable = no # Печатать нельзя. Это не принт-сервер!

create mask = 0666 # Права на закачиваемые файлы (rw-rw-rw-)

directory mask = 0777 # На каталоги, созданные юзерами (rwxrwxrwx)

После этого, в сети стал доступен каталог с именем “File_From_All”. И прочитать его содержимое может любой, даже неавторизованный пользователь, так же как и удалить его содержимое. Такая политика - самая приемлемая для “файловой помойки”. Именно для этого добавлена учетка гостя. А ограничения на разрешенные сети, введенные глобально, не позволяют инет-общественности загаживать сервак файлами. Но файлопомойка - это далеко не все. Еще необходимо создать шару, куда будет выложен софт и инфа от администратора, куда писать может, соответственно, только он. Чтобы организовать такой ресурс, необходимо добавить в главный конфиг вот эти строки:

[File_From_Admin] # Имя

Comment = Local_Resorce # Соответствующие комментарии

Path = /var/samba/File_From_Admin # папка с ресурсом

browseable = Yes # Отображение ресурса в локальной сети

Printable = no # Печатать нельзя.

Сохраните изменения. Теперь проверьте правильность изменений с помощью:

#testparm

Далее необходимо запустить сервис Самбы: #/samba/sbin/nmbd –D.

Сразу после этого пользователи твоей локалки увидят сервер в сетевом окружении. Но зайти на него они не смогут. Чтобы сервер превратился в полнофункциональный файлообменник, необходимо добавить как минимум двух пользователей: Админа и обычного пользователя. Делается это так:

#/samba/bin/smbpasswd –a user #Это обычный пользователь. Его логин user.

#/samba/bin/smbpasswd –a smb_admin #Логин администратора.

После каждой команды необходимо дважды ввести пароль для учетки. Создав пользователей, надо активировать их для того, чтобы они смогли заходить на сервер:

#/samba/bin/smbpasswd –e user # Активация user’a.

#/samba/bin/smbpasswd –e smb_admin # Позволяем админу подключаться к серверу.

Файлопомойка готова. Для работы надо будет дать каждому пользователю логин User и пароль, какой ты назначишь на учетку. Запретить 139, 137, 138 порты для инета надо однозначно. Иначе твой сервер будут постоянно атаковать свежими эксплойтами злобные хацкеры.

Сервер точного времени

В локальной сети крайне желательно иметь на сервере демон точного времени. Этим ты избавишь себя от необходимости следить за временем, да и пользователи, наконец, смогут отходить ко сну точно по расписанию, не просиживая в ирке лишние часы :). Для подъема сервера точного времени необходимо скачать последнюю его версию вот отсюда: www.ntp.org (у меня это была 4.2.0 от 2003.10.15). После чего следует стандартная процедура сборки и установки, в которой очень помогает инструкция (на английском брать тут: www.eecis.udel.edu/~mills/ntp/html/build.html). Необходимо настроить скомпилированный сервис, что достигается редактированием главного файла /etc/ntp.conf. Вот простой пример такой настройки:

Server time.nist.gov prefer # главный Time-сервер (имеет поле prefer)

server timeserver.example.org # как вариант

server ntp2a.example.net # опрашивать время на них.

driftfile /var/db/ntp.drift # Служебный файл, который не должен модифицироваться другими процессами!

При выборе предпочтительного сервера точного времени (он будет иметь атрибут prefer в конфиг-файле) сначала попингуй каждый и выбери тот, до которого время прохождения пинга минимально, поскольку это повысит точность сервиса. Попробуй запустить сервис и синхронизировать время. Получилось? Тогда разрешай и пользователям использовать локальную синхронизацию. Для инет-общественности можешь этот сервис оставить открытым. Про использование файрвола, думаю, напоминать смысла нет.

Internet
WAN
HTTP
X25 сети
Протоколы
Telnet
Cookies
DNS faq
IRC faq
SOCKS
Inet faq
IP faq
FTP faq
GPRS faq
Ports faq
Протокол SMTP
Протокол IMAP
Mail faq
The BAT faq
Home LAN
Office LAN
Настройка шлюза
Проблемы администратора
Выбор кабеля
Ресурсы локальной сети
LAN faq
WLAN faq
Wi-Fi

seo & website usability inet html os faq hardware faq memory video cpu hdd mainboard faq printer & scaner modem mobiles hackzone


Windows 10 | Registry Windows 10 | Windows7: Общие настройки | Windows7: Реестр | Windows7: Реестр faq | Windows7: Настроки сети | Windows7: Безопасность | Windows7: Брандмауэр | Windows7: Режим совместимости | Windows7: Пароль администратора |  |  |  |  | Память | SDRAM | DDR2 | DDR3 | Quad Band Memory (QBM) | SRAM | FeRAM | Словарь терминов | Video | nVIDIA faq | ATI faq  | Интегрированное видео faq | TV tuners faq | Терминология | Форматы графических файлов | Работа с цифровым видео(faq) | Кодеки faq | DVD faq | DigitalVideo faq | Video faq (Архив) | CPU | HDD & Flash faq | Как уберечь винчестер | HDD faq | Cable faq | SCSI адаптеры & faq | SSD | Mainboard faq | Printer & Scaner | Горячая линия бесплатной юридической консультации | Благотворительность

На главную | Cookie policy | Sitemap

 ©  2004