VSFTPD

http://www.tachec.org/howto/vsftpd/virtual_users/

VSFTPD

Virtuální uživatelé

Podpora virtuálních uživatelů je v serveru VSFTPD realizována za pomoci PAM (Pluggable Authentication Modules) modulů. Jména virtuálních uživatelů a jejich hesla lze ukládat buď do textových souborů podobných .htaccess souborům serveru Apache (PAM modul pam_pwdfile) nebo do některé z relačních databází (Berkeley DB, MySQL, PostgreSQL, …). Virtuální uživatelé jsou vždy mapováni na jednoho systémového uživatele.

pam_pwdfile

Modul pam_pwdfile využívá pro ukládání virtuálních uživatelů a jejich hesel stejný formát souboru jako server Apache (.htaccess, .htpasswd).

Výhodou tohoto řešení je snadná správa souboru s virtuálními uživateli a hesly (při malém počtu těchto uživatelů) a možnost sdílet tyto uživatele s uživateli Apache. Formát tohoto souboru je následující:

username:password_crypt

Pro někoho může být jednou z nevýhod tohoto řešení to, že modul pam_pwdfile není standardní součástí distribuce CentOS a nenalezl jsem jej ani v žádném z neoficiálních repozitářů pro CentOS.

Zdrojový balíček pro modul pam_pwdfile však lze stáhnout například z těchto stránek: http://www.invoca.ch/pub/packages/pam_pwdfile/.

Při základní znalosti vytváření binárních balíčků z balíčků zdrojových nebo po přečtení článku o Buildování RPM balíčků asi nebude pro nikoho problém si případně upravit SPEC soubor a daný binární RPM balíček si vytvořit.

Jak jsem již předeslal výše, virtuální uživatelé musí být mapováni přes nějakého konkrétního systémového uživatele, který nemusí mít validní shell. Tohoto uživatele si založím následujícím způsobem (více informací o jednotlivých volbách příkazu useradd se dozvíte v článku, který se týká příkazů pro správu uživatelských účtů):

useradd virtualftp -m -c "Virtual FTP user" -d /data/virtualftp -s /sbin/nologin

Defaultně je v konfiguračním souboru /etc/vsftpd/vsftpd.conf nastavena volba pam_service_name=vsftpd, tzn. při autentizaci se budou využívat direktivy definované v PAM souboru, který leží v /etc/pam.d/vsftpd. Tento soubor musíme upravit pro naše potřeby virtuálních uživatelů. Buď budeme upravovat stávající soubor /etc/pam.d/vsftpd nebo si jej pomocí direktivy pam_service_name předefinujeme na jiný a ten si vytvoříme. Já zvolím třeba druhou variantu a vytvořím si nový soubor /etc/pam.d/ftp a v souboru /etc/vsftpd/vsftpd.conf si nastavím direktivu pam_service_name=ftp.

Obsah souboru /etc/pam.d/ftp bude vypadat následovně:

auth      required pam_pwdfile.so   pwdfile /etc/vsftpd/passwd 
account required pam_permit.so

Pro autentizaci uživatelů použijeme modul pam_pwdfile a ten bude uživatelské účty hledat v souboru /etc/vsftpd/passwd. Prostředek account, který slouží například k dočasnému zablokování účtů není dostupný z modulu pam_pwdfile, tak jej nadefinujeme pomocí modulu pam_permit, který vždy vrací PAM_SUCCESS.

Teď si již můžeme do souboru /etc/vsftpd/passwd nadefinovat nějaké virtuální uživatele. S výhodou můžeme použít program htpasswd (při prvním spuštění s parametrem -c, aby nám vytvořil soubor s účty), který je distribuován společně se serverem Apache.

htpasswd -c /etc/vsftpd/passwd tachec
htpasswd /etc/vsftpd/passwd ondra

Pozor, pokud budeme chtít hesla šifrovat pomocí MD5, tak jsem zjistil, že modul pam_pwdfile neakceptuje Apache variantu MD5, takže pak je zapotřebí využít jiný program než htpasswd, např. openssl (openssl passwd -1 tachec).

Nezapomeneme na bezpečně nastavená práva na souboru s hesly:

chmod 600 /etc/vsftpd/passwd

Zbývá nám poslední krok konfigurace a tím je nadefinování virtuálních uživatelů v konfiguračním souboru serveru VSFTPD, tedy v souboru /etc/vsftpd/vsftpd.conf:

anonymous_enable=NO
local_enable=YES

guest_enable=YES
guest_username=virtualftp
chroot_local_user=YES

pam_service_name=ftp

local_root=/data/virtualftp/$USER
user_sub_token=$USER

Volbou anonymous_enable=NO jsem vypnul podporu anonymních uživatelů a volbou local_enable=YES jsem zapnul podporu lokálních uživatelů, protože ta musí být v případě konfigurace virtuálních uživatelů povolena.

Volba guest_enable=YES mapuje všechna neanonymní přihlášení na „guest“ přihlášení, kde jsem „guest“ přihlášení pomocí direktivy guest_username=virtualftp namapoval na dříve vytvořeného systémového uživatele virtualftp.

Volbou chroot_local_user=YES jsem virtuální uživatele omezil pouze na pohyb v jejich adresáři a zamezil jim v pohybu po jiných (např. systémových) adresářích.

Volba local_root=/data/virtualftp/$USER definuje, kde budou ležet adresáře virtuálních uživatelů. Pozor, tyto adresáře je zapotřebí pro každého virtuálního uživatele ručně vytvořit a přiřadit jim příslušného vlastníka (v mém případě virtualftp) a příslušná práva. Pokud některému virtuálnímu uživateli zapomeneme tento adresář vytvořit, tak pokus o přihlášení tohoto uživatele skončí s následující chybou:

500 OOPS: cannot change directory:/data/virtualftp/ondra

Adresář pro daného virtuálního uživatele vytvoříme například takto:

mkdir /data/virtualftp/ondra
chown virtualftp:virtualftp /data/virtualftp/ondra
chmod 750 /data/virtualftp/ondra

Poslední volba user_sub_token=$USER slouží k nahrazení proměnné $USER za daného konkrétního virtuálního uživatele pod kterým se přihlašujeme, což je například využito při generování cest domovských adresářů, viz volba local_root=/data/virtualftp/$USER. Bez této volby by pokus o přihlášení na FTP server skončil s touto chybou:

500 OOPS: cannot change directory:/data/virtualftp/$USER

Pokud chceme virtuálním uživatelům povolit zápis do jejich adresáře, tak povolíme volbu write_enable=YES a anon_upload_enable=YES a případně přenastavíme masku nově vytvářených adresářů a souborů: anon_umask=0022. Vytváření adresářů povolíme pomocí volby anon_mkdir_write_enable=YES. Mazání souborů a adresářů můžeme povolit pomocí volby anon_other_write_enable=YES.

pam_userdb

Tento PAM modul slouží k autentizování uživatelů a hesel uložených v Berkeley databázi a je standardní součástí balíčku pam. Knihovny Berkeley databáze nalezneme v balíčku db4 a nástroje pro její správu v balíčku db4-utils. Tyto balíčky jsou obvykle součástí systému, takže je pravděpodobně nebude potřeba instalovat.

Nejprve si vytvoříme klasický textový soubor do kterého uložíme uživatelská jména a hesla. Textovým editorem vytvořím soubor, např. s názvem db.txt s tímto obsahem:

tachec
dsjkJHDS83
ondra
OfdjIUJeqrei6

Liché řádky v souboru obsahují uživatelská jména a sudé řádky potom jejich hesla, takže uživatel tachec má heslo dsjkJHDS83 a uživatel ondra má heslo OfdjIUJeqrei6.

Z výše uvedeného souboru vytvoříme databázi pomocí následujícího příkazu:

db_load -T -t hash -f db.txt /etc/vsftpd/passwd.db

Hesla v tomto souboru nejsou nijak zašifrována, tak nesmíme zapomenout na nastavení přístupových práv tak, aby tento soubor mohl číst pouze uživatel root.

chmod 600 /etc/vsftpd/passwd.db

Dalším krokem bude vytvoření PAM souboru díky kterému bude zajištěna autentizace uživatele. Využijeme PAM modul pam_userdb, který bude číst data o uživatelích (jméno a heslo) z námi dříve vytvořeného DB souboru /etc/vsftpd/passwd.db. Konfiguraci uložím do souboru /etc/pam.d/ftp a v souboru /etc/vsftpd/vsftpd.conf si nastavím direktivu pam_service_name=ftp. Obsah souboru /etc/pam.d/ftp bude vypadat následovně:

auth required /lib/security/pam_userdb.so db=/etc/vsftpd/passwd
account required /lib/security/pam_userdb.so db=/etc/vsftpd/passwd

Stejně jako v předchozí konfiguraci (modul pam_pwdfile), tak i při použití modulu pam_userdb jsou virtuální uživatelé mapováni na systémového uživatele. Tzn. pokud tohoto uživatele ještě nemáme vytvořeného, tak jej vytvoříme následujícím příkazem:

useradd virtualftp -m -c "Virtual FTP user" -d /data/virtualftp -s /sbin/nologin

Ve finále zbývá už jen upravit konfigurační soubor VSFTPD démona /etc/vsftpd/vsftpd.conf. Abych se s konfigurací pořád neopakoval, tak tentokrát nebudu vytvářet pro každého uživatele jeho vlastní adresář ve kterém bude uzavřen (chrootován), ale vytvořím jeden společný adresář (/data/virtualftp) pro všechny virtuální uživatele pouze s podporou čtení.

anonymous_enable=NO
local_enable=YES

guest_enable=YES
guest_username=virtualftp
chroot_local_user=YES

pam_service_name=ftp

write_enable=NO
anon_upload_enable=NO
anon_mkdir_write_enable=NO
anon_other_write_enable=NO

VSFTP

Česky okomentovaný příklad konfiguračního souboru:

# VSFTPD CONFIG FILE /etc/vsftpd.conf

#anonymous_enable=YES
# Určuje zda je povoleno anonymmní přihlášení či nikoliv. Pokud je povoleno, obě uživatelská
# jména ftp i anonymous jsou identifikovány jako anonymní.
# Defaultně: YES

#userlist_enable=YES
# Pokud je zapnuta (YES), vsftpd bude načítat sezam uživatelů ze souboru uvedeného v userlist_file.
# Pokud se uživatel pokouší přihlásit jménem uvedeným v tomto seznamu, jeho pokus bude zamítnut
# bez dotazu na heslo. To může být užitečné jako ochrana před zasláním prázdného hesla. Další funkce
# k zapnutému userlis_enable viz také userlist_deny.
# Defaultně: NO

#userlist_file=/etc/vsftpd.user_list
# Tato hodnota je jméno souboru načteného, pokud userlist_enable volba je zapnuta.
# Defaultně: /etc/vsftpd.user_list

#userlist_deny=YES
# Tato funkce zkoumá jestli je zapnuta volba userlist_enable. Pokud tuto volbu vypnete
# nastavením NO, pak bude uživatelům přihlášení bez jasného uvedení v seznamu userlist_file
# odmítnuto. Když je přihlášení zamítnuto, výsledkem odmítnutí je dotaz na uživatelské heslo.
# Defaultně: YES

l#ocal_enable=YES
# Určuje zda jsou povoleny lokální přihlášení či nikoliv. Aktivací umožníte použít
# k přihlášení běžný uživatelský účet uvedený v /etc/passwd.
# Defaultně: YES

#write_enable=YES
# Určuje zda něktrý z FTP příkazů, který mění souborový systém je povolen či nikoliv.
# Těmito příkazy jsou: STOR, DELE, RNFR, RNTO, MKD, RMD, APPE a SITE.
# Defaultně: YES

# local_umask=022
# Hodnota na kterou se nastaví práva u souborů vytvořených lokálním uživatelem.
# POZNÁMKA! Pokud chcete zadávat osmičková čísla nezapomínejte na prefix „0“
# jinak se hodnota upraví jako desítkové číslo (as a base 10 integer)!
# Defaultně: 077

#chroot_list_enable=YES
# Aktivací máte možnost vytvořit seznam lokálních uživatelů, kteří se po přihlášení chrootem()
# omezí pouze na vlastní domovský adresář. Tato volba má trošku jiné účinky než
# chroot_local_user. Tento případ vytváří seznam uživatelů, kteří NEjsou omezeni chrootem().
# Defaultně je soubor obsahující seznam umístěn v /etc/vsftpd.chroot_list, ale máte možnost
# umístění změnit nastavením chroot_list_file .
# Defaultně: NO

# chroot_list_file=/etc/vsftpd.chroot_list
# Tato hodnota je jméno souboru obsahujícího seznam lokálních uživatelů, kteří budou omezeni
# chrootem() na vlastní domovský adresář. Volba je relevantní při současném povolení volby
# chroot_list_enable. Pokud je zapnuta volba chroot_local_user, pak seznam obsahuje seznam
# uživatelů, které NEbudou postiženi omezením.
# Defaultně: /etc/vsftpd.chroot_list

# anon_upload_enable=NO
# Nastavením YES povolíte anonymním uživatelům za určitých podmínek provádět upload dat.
# Aby tato volba fungovala, musí být zapnuta volba write_enable a anonymmní ftp uživatel
# musí mít právo zápisu do požadovaného upload adresáře.
#Defaultně: NO

#anon_mkdir_write_enable=NO
# Nastavením YES povolíte anonymním uživatelům za určitých podmínek vytvářet nové adresáře.
# Aby tato volba fungovala, musí být zapnuta volba write_enable a anonymmní ftp uživatel musí
# mít právo zápisu do nadřazeného adresáře.
# Defaultně: NO

#dirmessage_enable=YES
# Aktivací této volby mohou uživatelé FTP serveru obdržet zprávu při prvním vstupu do nového
# adresáře. Defaultně je adresář prohledán na výskyt souboru .message, avšak tento máte možnost
# nastavit pomocí message_file.
# Defaultně: NO (ale ukázkový konfigurační soubor tuto volbu aktivuje)

#xferlog_file=/var/log/xferlog
# Tato hodnota je jméno souboru, do kterého se zapíše log přenosů stylem wu-ftpd. Log přenosů
# je vytvořen pouze, pokud xferlog_enable je zapnut spolu s xferlog_std_format. Případně je
# vytvořen, pokud jste zapnuly volbu dual_log_enable.
# Defaultně: /var/log/xferlog

#xferlog_enable=YES
# Pokud je zapnuta, log soubor bude obsahovat detailní záznamy o uploadu a downloadu
# (nahrávání a stahování). Defaultně se tento soubor nachází v /var/log/vsftpd.log,
# ale toto umístění můžete změnit konfigurací volby vsftpd_log_file.
# Defaultně: NO (ale ukázkový konfigurační soubor tuto volbu aktivuje) #

##vsftpd_log_file=/var/log/vsftpd.log
# Tato hodnota je jméno souboru, do kterého se zapíše log stylem vsftpd. Tento log je vytvořen
# pouze, pokud volba xferlog_enable je zapnuta a xferlog_std_format NENÍ. Případně je vytvořen,
# pokud jste zapnuly volbu dual_log_enable. Menší komplikace – když máte zaplý syslog_enable,
# pak tento soubor není vytvořen a výstup je místo toho poslán systémovému logu.
# Defaultně: /var/log/vsftpd.log

# xferlog_std_format=YES
# Pokud je aktivována, soubor s logováním přenosů bude zapsán v xferlog formátu, jaký používá
# wu-ftpd. To je užitečné, protože můžete použít běžné generátory statistik přenosů. Ačkoli
# defaultní formát je přehlednější. Přednastavené umístění pro tento styl fomátu logu je
# /var/log/xferlog, ale můžete jej změnit pomocí volby xferlog_file.
# Defaultně: NO

#connect_from_port_20=YES
# Tato volba určuje „data PORT připojení“ používat na serveru port 20 (ftp-data). Z
# bezpečnostních důvodů nekteří klienti mohou klást důraz na tuto volbu. Naopak zrušení této
# volby umožní provozovat vsftpd s trochou méně pravidly.
# Defaultně: NO (ale ukázkový konfigurační soubor tuto volbu aktivuje)

#chown_uploads=NO
# Aktivací se všem anonymně uploadnutým souborům přidělí vlastnická práva definovaná v
# nastavení chown_username. To je užitečné z hlediska administrace a možná i z bezpečnostních
# důvodů.
# Defaultně: NO
# Note! Using „root“ for uploaded files is not recommended!

#chown_username=whoever
# Tato hodnota obsahuje jméno uživatele, kterého vlastnictví se použije pro anonymně
# uploadnuté soubory. Volba je relevantní pouze při současném nastavení hodnoty chown_uploads.
# Defaultně: nekdo

#idle_session_timeout=600
# Časový limit, ve vteřinách, který je maximální možná prodleva mezi FTP příkazy. Jestliže
# uplyne časový limit uživatel je odpojen.
# Defaultně: 300

#data_connection_timeout=600
# Časový limit, ve vteřinách, zhruba maximální doba, kterou čekáme před ukončením datového
# přenosu, pokud se zastavil. Jestliže uplyne časový limit uživatel je odpojen.
# Defaultně: 300

#nopriv_user=
# Toto je jméno uživatele, kterého chceme mít při práci s vsftpd naprosto bez práv. # Poznamenejme, že by to měl být určitý uživetel, raději než nobody. Uživatel nobody poslouží # více k mnoha důležitějším věcem na většině strojů.
# Defaultně: nobody (raději ne!)

#async_abor_enable=YES
# Aktivací povolíte speciální FTP příkaz „async ABOR“. Pouze špatně navržení FTP klienti budou
# tento příkaz používat. Navíc je špatně ovladatelný, proto je defaultně tato volba
# deaktivována. Bohužel nekteří FTP klienti se odpojí, pokud není tato funkce dostupná,
# takže by jste mohli mít potřebu ho povolit.
# Defaultně: NO

#ascii_upload_enable=NO
# Aktivací povolíte při uploadu přenosy v ASCII módu.
# Defaultně: NO
# By default the server will pretend to allow ASCII mode but in fact ignore
# the request. Turn on the below options to have the server actually do ASCII
# mangling on files when in ASCII mode.
# Beware that turning on ascii_download_enable enables malicious remote parties
# to consume your I/O resources, by issuing the command „SIZE /big/file“ in
# ASCII mode.
# These ASCII options are split into upload and download because you may wish
# to enable ASCII uploads (to prevent uploaded scripts etc. from breaking),
# without the DoS risk of SIZE and ASCII downloads. ASCII mangling should be
# on the client anyway..

#ascii_download_enable=NO
# Aktivací povolíte při stahování přenosy v ASCII módu.
# Defaultně: NO

# ftpd_banner=Vítejte na FTP serveru
# Tato hondota „řetězec“ vám umožní nastavit uvítací banner (zprávu), kterou vsftpd zobrazí na # začátku spojení. # Defaultně: (nic – je zobrazen #defaultní vsftpd banner)

#deny_email_enable=NO
# Aktivací máte možnost vytvořit seznam anonymních hesel tedy e-mailů, kterým bude odmítnuto
# přihlášení. Defaultně je soubor obsahující seznam umístěn v /etc/vsftpd.banned_emails, ale
# máte možnost umístění změnit nastavením banned_email_file .
# Defaultně: NO
# Apparently useful for combatting certain DoS attacks.
# (default follows)

#banned_email_file=/etc/vsftpd.banned_emails
# Tato hodnota odkazuje na soubor, který obsahuje seznam anonymních heles e-mailů,
# které nejsou povoleny. Volba si ověřuje zda je aktivní deny_email_enable.
# Defaultně: /etc/vsftpd.banned_emails

#ls_recurse_enable=NO
# Aktivací této volby umožníte použití „ls -R“. Což je menší bezpečnostní risk, protože
# ls -R zadaný v horní části adresářové struktury může spotřebovat hodně zdrojů (paměti).
# Defaultně: NO

#pam_service_name=vsftpd
# Tento řetězec je jméno PAM služby, kterou vsftpd použije.
# Defaultně: ftp

l#isten=YES
#enable for standalone mode.
# Aktivací nastavíte pro vsftpd samostatný režim (standalone mode). To znamená, že vsftpd
# nesmí být spuštěn z inetd jakéhokoliv druhu. Místo toho je vsftpd spustitelný pouze přímo.
# vsftpd pak sám bude očekávat a obsluhovat příchozí spojení.
# (vsftpd itself will then take care of listening for and handling incoming connections.)
# Defaultně: NO

t#cp_wrappers=YES
# Aktivací této volby a pokud vsftpd bylo kompilováno s podporou tcp_wrappers, budou příchozí
# spojení hlídány pomocí tcp_wrappers kontroly přihlášení. Krom toho existuje způsob
# konfigurace pro každou jednu IP. Pokud tcp_wrappers má argument VSFTPD_LOAD_CONF prostředí,
# pak vsftpd relace bude zkoušet načítat vsftpd konfigurační soubor uvedený v této proměnné.
# Defaultně: NO

# DOPLNKY NASTAVENI
#allow_anon_ssl=NO # Použít lze pouze pokud je zapnuto ssl_enable. Nastavením YES povolíte anonymním uživatelům # zabezpečené SSL připojení. #anon_other_write_enable # Nastavením YES povolíte anonymním uživatelům provádět zápis nejen uploadem a vytváření # adresářů, ale také mazání a přejmenování. Což se příliš nedoporučuje, ale je nutné pro # plné právo zápisu.

#anon_world_readable_only
# Aktivací povolíte anonymním uživatelům stahovat pouze soubory s právem čtení pro všechny.
# To je zjištění, že ftp uživatel může vlastnit soubory, zvláště v případě uploadu.
# (This is recognising that the ftp user may own files, especially in the presence of uploads.)
# Defaultně: YES

#background
# Aktivací a spuštěním vsftpd v „listen“ módu vsftpd poběží na pozadí tzn.,
# že bude okamžitě vrácen shellu, který vsftpd spustil.
# Defaultně: NO

#check_shell
# Upozornění! Tato volba funguje pouze v případě „non-PAM“ instalace vsftpd. Pokud je vypnuta,
# vsftpd nebude kontrolovat /etc/shells zda má uživatel zřízený lokální účet a povolený login.
# Defaultně: YES

#chmod_enable
# Aktivací povolíte použítí příkazu SITE CHMOD. Upozornění! Toto se týká pouze lokálních
# uživatelů. Anonymmní uživatelé nikdy nemohou použít SITE CHMOD.
# Defaultně: YES

chroot_local_user=YES
# Aktivací omezíte lokální uživatele (defaultně) chrootem() na vlastní domovský adresář.
# Upozornění: Tato volba má bezpečnostní aspekt, zvláště pokud mají uživatelé povolen upload
# nebo shellový účet. Aktivujte pouze pokud víte co děláte. Poznámka: tato bezpečnostní
# pojistka není výsadou vsftpd. Je aplikována u všech FTP démonů, kteří mají možnost omezit
# chrootem() lokální uživatele.
# Defaultně: NO

#
# Pokud z toho chceme nekoho vyjmout, zadame jejich jmena do souboru /etc/vsftpd/chroot_list
# (v samostatnych radcich) a pote vlozime do konfiguracniho souboru dva nasledujici radky (pozor,jiz obsazeny vyse):
## chroot_list_enable=YES
## chroot_list_file=/etc/vsftpd/chroot_list
# Uvedene zmeny maji opacny vyznam(urcovat uzivatele, kt. budou mit pristup jen k domacimu
# adresari) pokud zmenime hodnotu volby chroot_local_user na NO.
# Zadani zvlastni konfigurace pro kazdeho uzivatele:
# Do konfiguracniho souboru pridame volbu user_config_dir a zadame nazev adresare
# v nemz budou uchovavany konfiguracni soubory uzivatelu. Do nej muzeme umistit
# soubory se stejnymi nazvy jako jsou jmena uzivatelu, kteri se pripojuji na server.
# Syntaxe je stejna jako u hl. konf. souboru. Odpovidajici soubor bude nacten v okamziku,
# kdy se dany uzivatel pripojuje na server – po dobu trvani jeho relace budou pouzivany
# volby urcene v tomto souboru. Ne vsechny volby vsak maji smysl v pripade konfigurace
# specificke pro urciteho uzivatele. Kdybychom umistili do konf. souboru uzivatele
# volby jako listen_address ci max_per_ip nebo max_clients – nijak se to neprojevi.

#dirlist_enable
# Nastavením NO u této volby při zadání příkazu na výpis obsahu adresáře přijde „není
# povoleno“ (permission denied).
# Defaultně: YES

#download_enable
# Nastavením NO u této volby na všechny požadavky o download přijde „není povoleno“
# (permission denied).
# Defaultně: YES

#dual_log_enable
# Aktivací umožníte paralelní vytvoření dvou log souborů, které se defaultně zapíší do
# /var/log/xferlog a /var/log/vsftpd.log. Logování přenosů je ve stylu wu-ftpd,
# analyzovatelný standardními nástroji. Druhý je ve vlastním vsftpd stylu logování.
# Defaultně: NO

#force_dot_files
# Aktivací této volby soubory a adresáře začínající . budou zobrazeny ve výpisu adresáře,
# aniž by byl klientem zadán parametr „a“. Toto neplatí při zadání „.“ či „..“ .
# Defaultně: NO

#force_local_data_ssl
# Použitelné pouze pokud ssl_enable je zapnuto. Aktivací této volby budou všechna neanonymní
# připojení vždy používat SSL spojení při přenosu dat tam i zpět.
# Defaultně: YES

#force_local_logins_ssl
# Použitelné pouze pokud ssl_enable je zapnuto. Aktivací této volby budou všechna neanonymní
# připojení vždy používat SSL spojení při zadávání hesla.
# Defaultně: YES

#guest_enable
# Aktivací budou všechna anonymní připojení brána jako „guest“ připojení. Guest (host)
# připojení je přesměrováno na uživatele definovaného volbou guest_username .
# Defaultně: NO

#hide_ids
# Aktivací změníte zobrazení informace o uživately a skupině všech souborů na „ftp“.
# Defaultně: NO

#listen_ipv6
# Jako volba listen, ovšem vsftpd bude očekávat IPv6 sockety místo IPv4. Tato volba spolu s
# volbou listen jsou vzájemně výlučné. (This parameter and the listen parameter are mutually
# exclusive.)
# Defaultně: NO

#log_ftp_protocol
# Aktivací této volby se budou všechny požadavky a odpovědi logovat, pokud není aktivní volba
# xferlog_std_format. Užitečné pro analyzování-hledání chyb (debugging).
# Defaultně: NO

#no_anon_password
# Aktivací této volby zrušíte dotaz na heslo u anonymních připojení – anonymní uživatelé budou
# přihlášeni přímo.
# Defaultně: NO

#no_log_lock
# Aktivací této volby zrušíte zamknutí souboru, do kterého vsftpd právě loguje. To se určitě
# nedoporučuje. Je zde hned několik operačních systémů se souborovým systémem (kombinací)
# Solaris / Veritas, které občas ukázkově spadnou při pokusu o zamknutí log souboru. (.. which
# has been observed to sometimes exhibit hangs trying to lock log files.)
# Defaultně: NO

#one_process_model
# Pokud máte jádro řady 2.4, je možné použít bezpečnostní nastavení, které používá jeden proces
# na každé jedno připojení. Není to zrovna bezpečná volba, ale zvyšuje použitelnost. Použijte
# totu volbu pouze, pokud zcela jistě víte co děláte a váš server zvládne obrovské množství
# současně připojených uživatelů.
# Defaultně: NO

#passwd_chroot_enable
# Pokud je aktivní spolu s chroot_local_user , pak chroot() omezení může být specifikováno
# každému uživateli zvlášt. Uživatelské omezení je převzato z jeho domovského adresáře
# uvedeného v /etc/passwd. Výskyt /./ v zápisu domovského adresáře znamená, že omezení je
# stanoveno pevně touto cestou.
# Defaultně: NO

#pasv_enable
# Nastavte NO, pokud nechcete u připojení povolit použití PASV metody.
# Defaultně: YES

#pasv_promiscuous
# Nastavte YES, jestliže chcete zrušit bezpečnostní kontrolu PASV, která zodpovídá za ověření
# shodné IP u datového spojení. Použijte pouze, pokud víte co děláte! Jediný legitimní důvod
# pro použití této volby je určitá forma zabezpečeného druhu tunelování nebo snad ulehčit FXP
# podpoře.
# Defaultně: NO

#port_enable
# Nastavte NO, pokud nechcete u připojení povolit použití PORT metody.
# Defaultně: YES

#port_promiscuous
# Nastavte YES, jestliže chcete zrušit bezpečnostní kontrolu PORT, která zodpovídá za zasílání
# odchozích dat pouze klientu. Použijte pouze, pokud víte co děláte!
# Defaultně: NO

#run_as_launching_user
# Nastavte YES, jestliže chcete, aby vsftpd běželo jako uživatel, který jej spustil. To je
# užitečné, pokud není povoleno root přihlášení. DŮLEŽITÉ UPOZORNĚNÍ! Neaktivujte tuto volbu
# pokud si nejste jisti tím co děláte, jelikož špatné použítí může způsobit velké bezpečnostní
# problémy. Specifikum je, že vsftpd nemůže / neumí použít chroot techniku pro rozlišení
# přístupových práv pokud je tato volba aktivována (ikdyž je spuštěn rootem). Slabou náhradou
# může být použití volby deny_file například {/*,*..*}, ale spolehlivostí nemůže konkurovat
# příkazu chroot a nemůže být usnadněním (.. and should not be relied on). Použití této volby
# působí mnoho potíží u nastavení ostatních voleb. Například voleb týkajících se neanonymního
# připojení, upload změn vlastnictví, spojení na portu 20 a naslouchání pod 1024 jsou tak
# nefunkční. Také další volby může ovlivnit.
# Defaultně: NO

#secure_email_list_enable
# Nastavte YES, jestliže chcete vytvořit seznam hesel e-mailů pro anonymní uživatele, která
# budou přijata. To je užitečné jako bezproblémové rozlišení práv u ne příliš tajného obsahu
# bez potřeby virtuálních uživatelů. Při použití je anonymní přihlášení umožněno na základě
# hesla uvedeného v souboru nastaveném volbou email_password_file . Formát zápisu je co řádek
# to heslo, žádné extra mezery. Defaultně se jedná o soubor /etc/vsftpd.email_passwords.
# Defaultně: NO

#session_support
# Určuje zda vsftpd udržuje spojení. Jestliže vsftpd udržuje spojení snaží se obnovit utmp a
# wtmp. Dále spustí pam_připojení, pokud používá PAM autentifikaci a ukončí ji pouze po logoutu
# (odhlášení). Možná nebudete chtít aktivovat tuto volbu, jestliže nepotřebujete logovat
# spojení a chcete vsftpd provozovat s méně procesy a / nebo bez upřednostnění. POZNÁMKA – utmp
# a wtmp podpora je možná pouze s funkčním PAM.
# Defaultně: NO

#setproctitle_enable
# Aktivací této volby bude vsftpd zkoušet a vypisovat status session ve výpisu procesů. Jinými
# slovy, vypsané jméno session bude reflektovat to co vsftpd právě dělá (stojí, stahuje atd.)
# Přavděpodobně necháte volbu neaktivní z bezpečnostních důvodů.
# Defaultně: NO

#ssl_enable
# Aktivací této volby a pokud vsftpd bylo kompilováno s podporou OpenSSL, vsftpd umožní
# zabezpečené spojení pomocí SSL. To se vztahuje na správu přihlášení (login) i na přenos dat.
# Také budete potřebovat klienta s podporou SSL. POZNÁMKA!! Opatrně s aktivací této volby a
# použijte pouze pokud ji potřebujete. vsftpd nemůže ručit za bezpečnost OpenSSL knihoven.
# Aktivací této volby přijímáte odpovědnost za věrohodnost vámi používaných OpenSSL knihoven.
# Defaultně: NO

#ssl_sslv2
# Použitelné pouze, pokud je zapnuto ssl_enable . Aktivací této volby povolíte spojení pomocí
# protokolu SSL v2. Je preferováno TLS v1 spojení.
# Defaultně: NO

#ssl_sslv3
# Použitelné pouze, pokud je zapnuto ssl_enable . Aktivací této volby povolíte spojení pomocí
# protokolu SSL v3. Je preferováno TLS v1 spojení.
# Defaultně: NO

#ssl_tlsv1
# Použitelné pouze, pokud je zapnuto ssl_enable . Aktivací této volby povolíte spojení pomocí
# protokolu TLS v1. Je preferováno TLS v1 spojení.
# Defaultně: YES

#syslog_enable
# Aktivací této volby veškeré logování, které by mělo jít do /var/log/OCvsftpd.log půjde místo
# toho do systémového logu. Logování probíhá jako záznam FTPD.
# Defaultně: NO

#text_userdb_names
# Defaultně jsou číselné ID vypisovány v „uživatel“ a „skupina“ polích výpisu adresáře.
# Aktivací této volby můžete dostávat textová jména. Což je defaultně vypnuto z důvodu úspory
# zdrojů.
# Defaultně: NO

#tilde_user_enable
# Aktivací této volby bude vsftpd rozlišovat název cesty jako je ~chris/pics tj. vlnka
# následovaná uživatelským jménem. Vězte, že vsftpd bude vždy směrovat cesty jako
# ~ a ~/něco (v tomto případě ~ přesměruje do výchozího adreaáře po přihlášení). A to pouze
# pokud je soubor /etc/passwd dostupný i přes aktuální omezení příkazem chroot().
# Defaultně: NO

#use_localtime
# Aktivací této volby se čas ve výpisu adresáře bude řídit vaším lokálním časem. Defaultně je
# nastaven fotmát GMT. Casy vrácené příkazem MDTM FTP jsou také dotčeny tímto nastavením.
# Defaultně: NO

#use_sendfile
# Vnitřní nastavení používané pro testování relativního využití sytémového volání sendfile() na
# vaší platformě.
# Defaultně: YES

#virtual_use_local_privs
# Pokud je aktivována, virtuální uživatelé budou mít stjná práva jako lokální uživatelé.
# Defaultně mají virtuální uživatelé práva jako uživatelé anonymní, kteří jsou více pod
# dohledem (zvláště v otázce práv zápisu).
# Defaultně: NO

# ČÍSELNÉ HODNOTY
# Dále je seznam číselných voleb. Číselné hodnoty musí být nastaveny jako nezáporné.
# Osmičkový zápis je podporován pro pohodlí stanovení „umask“ voleb. Při zadávání osmičkových
# čísel použijte 0 jako předčíslo (.. use 0 as the first digit of the number).

#accept_timeout
# Časový limit, ve vteřinách, pro vzdálené klienty na ustavení spojení u PASV typu datového
# spojení.
# Defaultně: 60

#anon_max_rate=10000
# Maximální limit přenosu dat, v bajtech za vteřinu, pro anonymní uživatele.
# Defaultně: 0 (neomezeno)

#anon_umask
# Hodnota na kterou se změní číselné vyjádření přístupových práv k souboru, který vytvořil
# anonymní uživatel. POZNÁMKA! Pokud chcete zadávat osmičková čísla nezapommínejte na prefix
# „0“ jinak se hodnota upraví jako desítkové číslo (as a base 10 integer)!
# Defaultně: 077

#connect_timeout
# Časový limit, ve vteřinách, pro vzdálené klienty pro odpověd na naše datové spojení typu PORT.
# Defaultně: 60

#file_open_mode
# Práva která mají soubory vytvořeny uploadem. Tato hodnota stanovuje hodnotu práv, na které se
# změní. Máte možnost jí změnit na 0777, jestliže chcete, aby tyto soubory byly spustitelné.
# Defaultně: 0666

#ftp_data_port
# Port na kterém vzniká datové spojení typu PORT (ikdyž je zvláštně pojmenovaná hodnota
# connect_from_port_20 zapnuta).
# Defaultně: 20

listen_port=21
# Pokud je vsftpd spuštěn v samostaném módu, toto je port, na kterém očekává FTP připojení.
# Defaultně: 21

local_max_rate=O
# Maximální limit přenosu dat, v bajtech za vteřinu, pro lokální uživatele.
# Defaultně: 0 (neomezeno)

max_clients=0
# Maximální pocet soucasne pripojenych uzivatelu. Pokud je vsftpd spuštěn v samostaném módu,
# toto je maximální dovolený počet připojených
# uživatelů. Další klienti žádající o spojení dostanou chybové hlášení.
# Defaultně: 0 (neomezeno)

max_per_ip=10
# Maximální pocet soucasne pripojenych uzivatelu z jedne IP.
# Pokud je vsftpd spuštěn v samostaném módu, toto je maximální dovolený počet uživatelů
# připojených ze stejné IP adresy. Klient obdrží chybové hlášení, pokud se pokusí překročit
# limit.
# Defaultně: 0 (neomezeno)

#pasv_max_port
# Nejvyšší port pro alokaci datového spojení typu PASV. Možno použít k nastavení omezeného
# výběru portů pro soulad s firewallem.
# Defaultně: 0 (jakýkoliv port)
pasv_max_port=21000

#pasv_min_port
# Nejnižší port pro alokaci datového spojení typu PASV. Možno použít k nastavení omezeného
# výběru portů pro soulad s firewallem.
# Defaultně: 0 (jakýkoliv port)
pasv_min_port=21000

#trans_chunk_size
# Pravděpodobně nebudete chtít tuto hodnotu měnit, ale zkuste ji změnit na něco kolem 8192 pro
# vyváženější obsáhleší omezovač.
# Defaultně: 0 (nechat vsftpd vybrat rozumné nastavení)

# ODKAZOVÉ (STRING) HODNOTY
# Dále je seznam odkazových (string) hodnot.

#anon_root
# Tato volba představuje adresář, do kterého se vsftpd pokusí nasměrovat po anonymním
# přihlášení. Neúspěch je tiše ignorován.
# Defaultně: (žádný)

#banner_file
# Tato hodnota odkazuje na soubor obsahující text, který se zobrazí uživateli po přihlášení k
# serveru. Pokud je zadán, přepíše banner tvořený hodnotou ftpd_banner.
# Defaultně: (žádný)

#cmds_allowed
# Tato hodnota je seznam, čárkou odělených, povolených FTP příkazů (post login. USER, PASS a
# QUIT jsou vždy povoleny na konkrétní login (pre-login)). Ostatní příkazy jsou odmítnuty. To
# je opravdu dobrý způsob jak uzavřít FTP server. Například: cmds_allowed=PASV,RETR,QUIT
# Defaultně: (žádný)

#deny_file
# Tuto hodnotu můžete použít pro nastavení předlohy pro názvy souborů (a názvy adresářů atd.),
# které nesmí být v žádném případě přístupné. Dotčené položky nejsou skryté, ale všechny pokusy
# o práci s nimi (download, přemístění do adresáře, ovlivnit něco uvnitř adresáře atd.) budou
# zamítnuty. Tato volba je velmi prostá a něměla by být použita pro opravdovou kontrolu
# přístupu – upřednostnit by jste měli přístupová pravidla vlatního souborového systému.
# Nicméně, tato volba může být užitečná při jistém použití virtuálních uživatelů. Pokud je
# známo, že soubor je přístupný pod více jmény (například formou symbolických linků či přímých
# linků), pak musíte být pozorní při zákazu přístupu ke všem těmto jménům. Přístup bude
# odmítnut u položek, pokud je jejich jméno uvedeno ve volbě hide_file, nebo pokud v této
# hodnotě je uveden odpovídající výraz. Poznamenejme, že u vsftpd je odpovídajícím výrazem
# přímá implementace, která je podskupinou plné funkčnosti správného označení. Díky tomu budete
# muset opatrně a důkladně testovat veškeré nastavení této volby. Doporučením v případě potřeby
# vysokého zabezpečení je použití přístupových práv souborového systému pro jeho vysokou
# spolehlivost. Například: deny_file={*.mp3,*.mov,.private}
# Defaultně: (žádný)

#dsa_cert_file
# Tato volba udává umístění DSA certifikátu pro použití SSL kódovaného spojení.
# Default: (žádné – RSA certifikát postačuje)

#email_password_file
# Tato volba může být použita pro poskytnutí alternativního souboru při použítí volby
# secure_email_list_enable.
# Defaultně: /etc/vsftpd.email_passwords

#ftp_username
# Toto je jméno uživatele, kterému jsme přidělili status anonymního uživatele FTP. Domovský
# adresář tohoto uživatele je kořenovým adresářem anonymní FTP oblasti.
# Defaultně: ftp

#guest_username
# Viz booleanovské volby guest_enable pro vysvětlení podstaty guest loginu. Tato hodnota udává
# skutečné uživatelské jméno, ke kterému se guest uživatelé (hosté) přiřazují.
# Defaultně: ftp

#hide_file
# Tato volba může být použita pro nastavení vzoru pro názvy souborů (i názvy adresářů atd.),
# které mají být skryté při výpisu adresáře. Navzdory jejich skrytí jsou soubory / adresáře
# atd. plně dostupné pro uživatele, pokud zná aktuální název. Prvky budou skryty, pokud jejich
# jména obsahují řetězce dány hide_file, nebo obsahuje jejich odpovídající regulární vyjádření.
# Poznamenejme, že u vsftpd je odpovídajícím výrazem přímá implementace, která je podskupinou
# plné funkčnosti správného označení. Například: hide_file={*.mp3,.hidden,hide*,h?}
# Defaultně: (žádný)

#listen_address
# Pokud je vsftpd spuštěn v samostatném režimu (standalone mode) defaultní adresa (všech
# lokálních rozhraní), kde server naslouchá, může být touto volbou změněna. Obsahuje číselnou
# IP adresu.
# Defaultně: (žádná)

#listen_address6
# Stejně jako listen_adress, ale udává defaultní adresu pro IPv6 poslech (který je použit,
# pokud je aktivován listen_ipv6). Formát je standardní IPv6 zápis.
# Defaultně: (žádná)

#local_root
# Tato hodnota představuje adresář, do kterého se vsftpd pokusí přesměrovat po spojení u
# lokálního (tj. neanoynmního) uživatele. Selhání je tiše ignorováno.
# Defaultně: (žádný)

#message_file
# Tato hodnota obsahuje jméno souboru, který se vyhledá po vstupu do nového adresáře. Obsah je
# zobrazen vzdálenému uživateli. Tato hodnota se užije, pokud je zapnuta volba
# dirmessage_enable.
#Defaultně: .message

#pasv_address
# Použijte tuto hodnotu k přepsání IP adresy, kterou vsftpd bude prezentovat v odpovědích na
# PASV příkaz. Obsahuje číselnou IP adresu.
# Defaultně: (žádná – adresa je převzata ze socketu příchozího spojení)
#pasv_address=82.99.130.104

#rsa_cert_file
# Tato volba udává umístění RSA certifikátu pro použití SSL kódovaného spojení.
# Defaultně: /usr/share/ssl/certs/vsftpd.pem

#secure_chroot_dir
# Tato hodnota by mela být adresář, který je prázdný. Dále by ftp uživatel neměl mít právo
# zapisovat do něj. Tento adresář je použit jako bezpečnostní chroot() omezení ve chvíli, kdy
# vsftpd nevyžaduje oprávnění souborového systému.
# Defaultně: /usr/share/empty

#ssl_ciphers
# Tato volba se může použít pro výběr SSL šifry, kterou vsftpd povolí pro šifrované spojení.
# Viz ciphers manuálové stránky pro další informace. Poznamenejme, že omezení šifer je užitečné
# bezpečnostní opatření jako prevence před zneužitím chyb v šifrách ze strany vzdálených
# útočníků.
# Defaultně: DES-CBC3-SHA

#user_config_dir
# Tato mocná volba dovoluje změnit jakékoliv konfigurační nastavení uvedené v manuálu, které se
# vztahuje na jednotlivého uživatele (on a per-user basis). Použití je snadné, a nejlépe to
# ukážeme na konkrétním případu. Jestliže nastavíte user_config_dir na /etc/vsftpd_user_conf a
# poté se nalogujete jako uživatel „chris“, pak vsftpd použije nastavení v souboru /etc/
# vsftpd_user_conf/chris po čas připojení. Formát tohoto souboru je detailně popsán v tomto
# manuálu! UPOZORNĚNÍ: ne všechny volby jsou použitelné pro konktrétní uživatele. Zde jsou
# příklady voleb a nastavení, které neovlivní chování u konkrétních uživatelů: listen_address,
# banner_file, max_per_ip, max_clients, xferlog_file, atd.
# Defaultně: (žádný)

#user_sub_token
# Tato volba je užitečná v kombinaci s použitím virtuálních uživatelů. Používá se k
# automatickému generování domovského adresáře každého virtuálního uživatele s použitím vzoru
# (template). Například, jestliže adresář skutečného uživatele uvedeného v guest_username je
# /home/virtual/$USER, a user_sub_token je nastaveno na $USER, pak se virtuální uživatel fred
# po nalogování nedostane než do adresáře (bude pro něj kořenovým) /home/virtual/fred. Tato
# volba také funguje, pokud local_root obsahuje user_sub_token.
# Defaultně: (žádný)

Tato kategorie je momentálně prázdná

Nový Nový…

  • CentOS 1 ( 1 položek )

     Česká Wikipedie uvádí , že CentOS (Community ENTerprise Operaging System) je Enterprise-class Linuxová distribuce odvozená ze zdrojů, které jsou volně poskytnuté severoamerickým producentem Red Hat, na rozdíl od Red Hat Enterprise Linuxu je CentOS zdarma, takže se jeví jako jeho vhodná náhrada v případě snahy o minimalizaci nákladů. V takovém případě je však nutné počítat s absencí některých přídavných služeb, které jsou k dispozici u placených verzí Red Hatu.

    CentOS se plně přispůsobuje prodávaným distribucím a je s nimi 100% binárně kompatibilní. Je vyvíjen malým, ale rostoucím týmem vývojářů, dále je podporován aktivní uživatelskou komunitou. Nová verze je vždy vydávána v krátkém čase po vydání nové verze Red Hatu.

  • CentOS 5 ( 41 položek )

     Česká Wikipedie uvádí, že CentOS (Community ENTerprise Operaging System) je Enterprise-class Linuxová distribuce odvozená ze zdrojů, které jsou volně poskytnuté severoamerickým producentem Red Hat, na rozdíl od Red Hat Enterprise Linuxu je CentOS zdarma, takže se jeví jako jeho vhodná náhrada v případě snahy o minimalizaci nákladů. V takovém případě je však nutné počítat s absencí některých přídavných služeb, které jsou k dispozici u placených verzí Red Hatu.

    CentOS se plně přispůsobuje prodávaným distribucím a je s nimi 100% binárně kompatibilní. Je vyvíjen malým, ale rostoucím týmem vývojářů, dále je podporován aktivní uživatelskou komunitou. Nová verze je vždy vydávána v krátkém čase po vydání nové verze Red Hatu.

    Verze 5 byla rozšířena o virtualizaci na bázi Xenu a akcelerovaný desktop a dále o nové verze software (Apache-2.2, php-5.1.6, kernel-2.6.18, Gnome-2.16, KDE-3.5, OpenOffice.org-2.0, Evolution-2.8, Firefox-1.5, Thunderbird-1.5, MySQL-5.0, PostgreSQL-8.1 a další).

     

    Jako obvykle tzv. malé aktualizce v rámci čísla verze (5.0 -> 5.1 -> 5.2..) probíhají automaticky prostřednictvím Yum.

    Verze 5.1 přináší velké zlepšení v oblasti virtualizace. Verze 5.2 také… atd.

     


    Oficiální stránky projektu

    Zrcadla pro stažení
    Repozitáře
    CentOS Wiki

  • DHCP ( 1 položek )
  • SAMBA ( 12 položek )
  • NFS ( 4 položek )
  • DNS ( 1 položek )
  • Antispam ( 2 položek )

  • NIS ( 6 položek )
  • Instalace ( 1 položek )
    Popis, zdroj, stažení, rozdělení disku, RAID, základní instalace (textová, grafická)
  • Qmail ( 8 položek )

    Odkazy:

    http://cr.yp.to/mail.html
    http://cr.yp.to/qmail.html
    http://cr.yp.to/qmail/faq.html
    http://cr.yp.to/qmail/faq/admin.html#multilog
    http://www.flounder.net/qmail/qmail-howto.html

    http://www.root.cz/clanky/stavime-mailserver/
    http://www.root.cz/clanky/stavime-mailserver-ii/
    http://www.root.cz/clanky/stavime-mailserver-3/

    http://www.inter7.com/index.php?page=qmail

    http://web.infoave.net/~dsill/lwq.html
    http://qmail.palomine.net/top.html#200112200
    http://www.die.net/doc/linux/man/man8/qmail-send.8.html

    *************************
    Qmail-Scanner -patch

    Qmail – český návod

     

  • Konfigurace ( 4 položek )

    YUM (proxy, aktualizace)
    DNS, HCP, NFS, NTP, SAMBA, CIFS na stnicích…

  • Rozšíření ( 8 položek )
  • Rozšíření ( 4 položek )

    SPAMASSASSIN / DSPAM

    NTPD
    SAMBA
    LDAP
    KERBEROS
    POSTFIX
    QMAIL
    POP
    IMAP / IMAPS
    WEBMAIL
    NFS
    WEB
    FTP / FTPS
    GROUPWARE
    FAXSERVER
    OPENVPN
    SSH, VNC,
    LTS
    VIRTUALIZACE (XEN, VBOX)

    DMZ
    VoIP
    přístup k vnitřní síti

     

  • Zálohování ( 1 položek )
  • RAID ( 1 položek )
  • Grub ( 3 položek )
    Zvolte položku v menu.
  • WebDAV ( 2 položek )
  • Squid ( 1 položek )

    SQUID proxy server – ukázky konfiguračních souborů

    • Povoleno vše:
      http_port 3128 #icp_port 3130
      icp_port 0
      htcp_port 4827: 0

      dns_nameservers ipadresa.vaseho.dns.serveru
      visible_hostname jmennypreklad.vaseho.pocitace
      acl all src 0.0.0.0/0.0.0.0
      http_access allow all

    • Ukázka sofiistikovanějšího nastavení – inspirace:
      http_port 3128
      # icp_port 1080

      #######################################################
      # OPTIONS WHICH AFFECT THE NEIGHBOR SELECTION ALGORITHM
      hierarchy_stoplist cgi-bin ?
      acl QUERY urlpath_regex cgi-bin \?
      no_cache deny QUERY
      #####################################

      # OPTIONS WHICH AFFECT THE CACHE SIZE
      cache_mem 8 MB
      cache_swap_low 90
      cache_swap_high 95
      maximum_object_size 8192 KB
      ipcache_size 1024
      ipcache_low 90
      ipcache_high 95
      fqdncache_size 1024
      minimum_object_size 0 KB
      maximum_object_size_in_memory 8 KB
      cache_replacement_policy lru
      memory_replacement_policy lru

      #########################################
      # LOGFILE PATHNAMES AND CACHE DIRECTORIES
      cache_dir ufs /var/spool/squid 100 16 256
      cache_access_log /var/log/squid/access.log
      cache_log /var/log/squid/cache.log
      cache_store_log none
      emulate_httpd_log off
      debug_options ALL,1
      client_netmask 255.255.255.0

      #######################################
      # OPTIONS FOR EXTERNAL SUPPORT PROGRAMS
      ftp_user Squid@
      # ftp_list_width 50 – pokud je toto nastaveni male – zvetsit
      ftp_list_width 50
      # unlinkd_program /usr/lib/squid/unlinkd – není nutné
      unlinkd_program /usr/lib/squid/unlinkd

      ###############################
      # OPTIONS FOR TUNING THE CACHE
      quick_abort_pct 75
      negative_ttl 5 minutes
      positive_dns_ttl 6 hours
      negative_dns_ttl 5 minutes
      request_body_max_size 1 MB

      #############
      # TIMEOUTS
      connect_timeout 120 seconds
      request_timeout 30 seconds
      client_lifetime 1 day
      half_closed_clients on
      pconn_timeout 120 seconds
      ident_timeout 10 seconds
      shutdown_lifetime 30 seconds

      ######## ACCESS CONTROLS#########
      # howto: nejprve se vytvoří a pojmenuje pravidlo a definuje se čeho se pravidlo týká.
      # potom se na konci této sekce (v oddilu # INSERT YOUR OWN RULE(S)… pravidlo povolí / zakáže.. ###############################

      acl all src 0.0.0.0/0.0.0.0
      acl manager proto cache_object

      ######################################################
      #zde jsou ip adresy pc (nebo rozsah), teré BUDOU mít přístup k internetu
      acl localnet src 192.168.1.10 192.168.1.11-192.168.1.20 192.168.1.30-192.168.1.255 #acl localnet src 192.168.1.2-192.168.1.255 ########################################## #zde se povolují bezpečné porty a pc atd.. acl localhost src 127.0.0.1 acl https_port port 443 acl SSL_ports port 443 563 acl icq_gaim_port port 5190 src 192.168.1.1-192.168.1.255 acl Safe_ports port 80 21 563 70 210 1025-5189 5191-65535 acl purge method PURGE acl CONNECT method CONNECT ############################################################### ####################################### # DENY destinations – zakazané stránky: acl CHATS dstdomain www.seznam.cz www.pokec.sk pokec.azet.sk www.onlinehry.sk www.doodie.com www.pokemon.sk www.atlantis.sk www.oddych.sk acl CHATS_REGEXP url_regex -i chat\. acl MILIONAR dst 212.71.156.26/255.255.255.255 #################################################### # DENY work days = zakázané pracovní dny (a hodiny):
      acl day1 time M 5:00-22:00
      acl day2 time T 5:00-22:00
      acl day3 time W 5:00-22:00
      acl day4 time H 5:00-22:00
      acl day5 time F 5:00-22:00

      #############################################################
      # DENY workstations – pc stanice (rozsah ip adres), kterých se výše uvedená omezení týkají:
      # acl labs src 192.168.1.1-192.168.1.9
      acl labs src 192.168.1.2-192.168.1.9 192.168.1.21-192.168.1.23 192.168.1.25-192.168.1.29
      # identifikace administrátora – e mail, na který mu je možné psát

      ##############################################################
      # INSERT YOUR OWN RULE(S) HERE TO ALLOW ACCESS FROM YOUR ACL DEFINITIONS http_access allow manager localhost
      http_access deny manager

      http_access allow purge localhost
      http_access deny purge

      http_access allow https_port
      #http_access deny !Safe_ports
      http_access allow !Safe_ports
      http_access allow icq_gaim_port
      http_access deny CONNECT !SSL_ports

      # XXX: doesn’t work with 1 day rule!!! Pro každé pravidlo zvlášt…
      http_access deny CHATS labs day1
      http_access deny CHATS labs day2
      http_access deny CHATS labs day3
      http_access deny CHATS labs day4
      http_access deny CHATS labs day5

      # XXX: doesn’t work with 1 day rule!!!
      http_access deny CHATS_REGEXP labs day1
      http_access deny CHATS_REGEXP labs day2
      http_access deny CHATS_REGEXP labs day3
      http_access deny CHATS_REGEXP labs day4
      http_access deny CHATS_REGEXP labs day5

      # XXX: doesn’t work with 1 day rule!!!
      http_access deny MILIONAR labs day1
      http_access deny MILIONAR labs day2
      http_access deny MILIONAR labs day3
      http_access deny MILIONAR labs day4
      http_access deny MILIONAR labs day5

      # XXX: doesn’t work with 1 day rule!!!
      http_access deny labs day1
      http_access deny labs day2
      http_access deny labs day3
      http_access deny labs day4
      http_access deny labs day5

      #####################################################
      # INSERT YOUR OWN RULE(S) HERE TO ALLOW ACCESS FROM YOUR CLIENTS
      #http_access allow localnet
      http_access allow labs
      http_access deny all

      # pokud se používá icp port:
      # icp_access allow all
      # miss_access allow all3128

      ############################
      # ADMINISTRATIVE PARAMETERS
      cache_mgr admin

      ################
      # MISCELLANEOUS
      # dns_testnames www.infovek.sk www.sanet.sk www.debian.org
      logfile_rotate 10

      # HowTo zákaz: Nejprve definujeme pravidla pro různé druhy zákazů (různé zákazy).
      # Pak dny,
      # kterých se to týká, # pak PC, kterých se to týká. Potom zakážeme / povolíme 3x
      # pro každé pravidlo …

VSFTPD