Administrace komentářů

Prestoze mi nikdo neporadil, prisle jsem na to po pul roce sam Zde je reseni virtual users pro Debian, VSFTPD a PAM.

1.) Nastavime si ve vsftpd.conf tyto hodnoty:
#povolit lokalni uzivatele
local_enable=YES
#povolit anonymni uzivatele
anonymous_enable=YES
#zadrzet lokalni uzivatele v pridelenem homu (nesmi vys) chroot_local_user=YES
#zavest seznam uzivatelu kterych se predchozi pravidlo netyka
chroot_list_enable=NO
#a tady je cesta na ten seznam (plaintext jmena na radcich)
chroot_list_file=/etc/vsftpd.chroot_list
#home pro anonymni uzivatele
anon_root=/other/data
#povolit virtualni uzivatele
guest_enable=YES
#v systemu pro ne zavedeme jednoho uzivatele
guest_username=virtual
#a pro autentifikaci budeme pouzivat tuto sadu pravidel
pam_service_name=vsftpd

2.) Vytvorime uzivatele virtual

# adduser --home /home/ftp --system --group virtual
Cestu /home/ftp nahradte klidne za jinou, kde budete mit spolecny adresar pro virtualni uzivatele. Vytvorit pro kazdeho uzivatel zvlastni adresar patrne nelze (alespon ne bez vytvoreni uctu v systemu pro kazdeho uzivatele zvlast). Zajistete aby dany adresar existoval a mel vlastnictvi nastavene na virtual:virtual. Uzivatele virtual pridejte do skupiny virtual

# adduser virtual virtual

a pro jistotu jeste zkontrolujte /etc/passwd a /etc/group, ze je vse tak jak ma (shell musi byt nastaven /bin/false).

3.) nakonfigurujeme PAM autentifikaci & autorizaci

soubor /etc/pam.d/vsftp upravte takto:

#zakazat pristup lidem v seznamu /etc/ftpusers
auth required pam_listfile.so item=user sense=deny file=/etc/ftpusers onerr=succeed
#lokalnim uzivatelum staci znat sve jmeno/heslo do unixu
auth sufficient pam_unix.so
#cizi virtualni uzivatele musi projit kontrolou proti
/etc/vsftpd_login
auth required /lib/security/pam_userdb.so db=/etc/vsftpd_login
account required /lib/security/pam_userdb.so db=/etc/vsftpd_login

Ostatni polozky zakomentujte. Predevsim vsechny includy!

4.) Do souboru /etc/ftps users muzete napsat uzivatele, kteri pres PAM nesmi projit, napr. root, ftp, anonymous atd. Pripadne uzivatele, ktere chcete docasne deaktivovat.

5.) Vytvorime Berkeley db3 databazi do souboru /etc/vsftpd_login. Nejprve vytvorime seznam uzivatelu a jejich hesel (napr. do souboru /root/vsftpd.logins):

uzivatel1
heslo1
uzivatel2
heslo2
...

Pak vytvorime prislusnou databazi:

# db3_load -T -t hash -f /root/vsftpd.logins /etc/vsftpd_login.db
Souborum nastavte prava tak aby knim mel pristup pouze root! Hesla zde nejsou zasifrovana!

6.) Hotovo, staci retartovat inetd, pripadne vsftpd a melo by to fungovat.

Poznamky: Vsichni virtualni uzivatele maji spolecny adresar. Z lokalnich uzivatelu se pri pouziti PAM autorizxace stavaji take virtualni uzivatele a tudiz spadaji do tehoz adresare! Anonymni uzivatele maji svuj spolecny adresar jinde. Autorizaci vuci Berkley db3 lze nahradit za autorizaci proti LDAP serveru, ale to az nekdy jindy, az to vykoumam.