Михаил Флёнов - Linux глазами хакера

□ greeting параметр— определяет, какую информацию выдавать пользователю о системе после отображения баннера. Это текстовая строка, которая может выглядеть следующим образом: "220 flenovm.ru FTP server (Version wu-2.6.2-5) ready.". Как мы уже говорили ранее ( см. разд. 10.1 ), эта строка отображается до авторизации, и в ней содержится информация о системе и версии используемого FTP-сервера. Это лишнее, злоумышленник не должен видеть этого, лучше выводить минимум полезного или даже что-то запутывающее. В качестве параметра можно использовать одно из следующих значений:

• full— полная информация, включая имена хоста и программы и версия;

• brief— отображать сокращенную информацию, включающую только имя хоста;

• terse— только сообщение о готовности системы к работе;

• text— собственное сообщение.

Больше всего мне нравится последний параметр. При его использовании через пробел нужно указать текст, который будет отображен пользователю, например:

greeting text строка

На собственных серверах я использую сообщения именно этого типа (одно из двух):

greeting text flenovm.ru FTP Server (MS IIS 4.1.0) ready

или

greeting text flenovm.ru FTP Server (cd-ftpd 2.1.9) ready

Увидев любое из этих сообщений, хакер не сможет определить, какой FTP-сервер реально установлен. В первом случае он подумает, что имеет дело с IIS (Internet Information Services, информационные сервисы Интернета) разработки Microsoft, который может работать только в среде Windows. Это может сбить с толку любого, даже опытного хакера. Но, проверив сервер специальными утилитами, он увидит, что реально используется Linux (точную версию такие утилиты, чаще всего, не могут определить) и догадается, что его просто кидают.

Во втором случае я вообще подставляю имя несуществующего сервера. Взломщик, не зная такого сервера и не найдя нужной программы для проникновения, будет искать другие пути или вообще может уйти восвояси.

Можно притвориться, что у вас установлен сервер ProFTP, который реально существует и тоже достаточно часто используется администраторами Linux;

□ hostname имя— параметр определяет имя локального хоста по умолчанию;

□ email адрес— это адрес электронной почты администратора;

□ message файл тип— содержимое указанного текстового файла, отображается пользователю в следующих случаях:

• при входе в систему, если в качестве типа задано слово LOGIN;

• при смене директории, если в качестве типа указано CWD=каталоги пользователь вошел в указанный каталог.

Некоторые администраторы фиксируют только действия анонимных и гостевых пользователей. Это обосновывается тем, что реальные пользователи системы не будут портить сервер, который им нужен для работы или обмена файлами. В корне неверное мышление, потому что достаточно много взломов совершается именно real-пользователями, да и злоумышленники, чаще всего, используют их.

Навредить серверу через гостевую или анонимную учетную запись слишком сложно, а при правильном распределении прав невозможно (только если есть ошибка в программе сервера). В большинстве случаев злоумышленник стремится заполучить доступ к авторизованной учетной записи и использовать ее.

Если произошло что-то неординарное, то, используя журналы, вы должны получить максимальную информацию о происшедшем и сделать все необходимое, чтобы это не повторилось (к вопросу журналирования мы еще вернемся в гл. 12 ).

По умолчанию wu-ftp для хранения журнала, который содержит последние записи FTP-сервера, использует файл /var/log/xferlog. История за предыдущие дни может быть просмотрена в файлах /var/log/xferlog.X, где X — это число от 0 до 5.

Давайте посмотрим, что можно регистрировать в журналах wu-ftp-сервера:

□ log commands список— сохранять все команды клиента. В качестве списка можно указать одно из следующих значений: anonymous, guestили real;

□ log transfers список направление— писать файлы, которые получает или отправляет пользователь. Последний параметр может содержать одно из двух значений inboard(входящий) и outboard(исходящий);

□ log security список— регистрировать все нарушения безопасности, попытки выполнить запрещенные команды и др.;

□ log syslog— использовать системный журнал syslog;

□ log syslog+xferlog— использовать журналы syslog и xferlog одновременно.

Поддержка виртуальных серверов для FTP — очень мощная вещь. Когда на компьютере крутится 20 виртуальных Web-серверов и ими управляют разные люди, то вполне логичным будет для каждого из них поставить в соответствие свой FTP-сервер. В этом случае любому сайту могут быть назначены свои правила.

Мы не будем сильно заострять внимание на виртуальных серверах, потому что это выходит за рамки нашей книги. Если вы хотите узнать о их параметрах, то можете обратиться к документации ( man ftpaccess), или для создания воспользоваться графической утилитой управления FTP-сервером.

Если честно, то мне не очень нравятся возможности wu-ftp по работе с виртуальными серверами. Если вам действительно нужно несколько серверов на одном компьютере, то советую обратить внимание на сервер ProFTP, который, на мой взгляд, больше приспособлен для решения данной задачи. Неудобство настройки wu-ftp заключается в разбросе конфигурационных файлов.

Определение всех виртуальных FTP-серверов происходит в конфигурационном файле ftpservers. Описание выполнено в виде строк, каждая из них содержит IP-адрес виртуального сервера и каталог, в котором находятся его файлы настройки (дублирующие все указанные ранее файлы wu-ftp-сервера). Если один из них отсутствует, то будет использоваться соответствующий конфигурационный файл из каталога /etc.

Пока что мы рассматривали только файл ftpaccess. Но мы уже знаем, что для конфигурации wu-ftp-сервера используется намного больше файлов. Давайте посмотрим, что еще нам доступно для настроек.

Так как сервер wu-ftp работает с учетными записями ОС, которые расположены в файле /etc/passwd, то любой пользователь автоматически сможет работать с FTP-сервером, используя свой аккаунт и права доступа. Но далеко не всем это необходимо.

Чтобы запретить доступ уже существующему пользователю, его имя нужно добавить в файл /etc/ftpusers. Содержимое этого файла по умолчанию можно увидеть в листинге 10.3. В зависимости от дистрибутива текст может изменяться.

# The ftpusers file is deprecated.

# Use deny-uid/deny-gid in ftpaccess.

root