Техническая поддержка форумов vBulletin
  форум vBSupport.ru > vBSupport.ru > Requests > Кандидатская кухня

[Админам] ftpaccess - защищаем ftp

Register Меню vBsupport Изображения Files Manager О рекламе Today's Posts Search
  • Родная гавань
  • Блок РКН снят
  • Premoderation
  • For English speaking users
  • Каталог Фрилансеров
  • If you want to buy some product or script
  • Администраторам
VBsupport перешел с домена .ORG на родной .RU Ура! Пожалуйста, обновите свои закладки - VBsupport.ru
Блок РКН снят, форум доступен на всей территории России, включая новые терртории, без VPN
На форуме введена премодерация ВСЕХ новых пользователей

Почта с временных сервисов, типа mailinator.com, gawab.com и/или прочих, которые предоставляют временный почтовый ящик без регистрации и/или почтовый ящик для рассылки спама, отслеживается и блокируется, а так же заносится в спам-блок форума, аккаунты удаляются
for English speaking users:
You may be surprised with restriction of access to the attachments of the forum. The reason is the recent change in vbsupport.org strategy:

- users with reputation < 10 belong to "simple_users" users' group
- if your reputation > 10 then administrator (kerk, Luvilla) can decide to move you into an "improved" group, but only manually

Main idea is to increase motivation of community members to share their ideas and willingness to support to each other. You may write an article for the subject where you are good enough, you may answer questions, you may share vbulletin.com/org content with vbsupport.org users, receiving "thanks" equal your reputation points. We should not only consume, we should produce something.

- you may:
* increase your reputation (doing something useful for another members of community) and being improved
* purchase temporary access to the improved category:
10 $ for 3 months. - this group can download attachments, reputation/posts do not matter.
20 $ for 3 months. - this group can download attachments, reputation/posts do not matter + adds eliminated + Inbox capacity increased + files manager increased permissions.

Please contact kerk or Luvilla regarding payments.

Important!:
- if your reputation will become less then 0, you will be moved into "simple_users" users' group automatically.*
*for temporary groups (pre-paid for 3 months) reputation/posts do not matter.
Уважаемые пользователи!

На форуме открыт новый раздел "Каталог фрилансеров"

и отдельный раздел для платных заказов "Куплю/Закажу"

Если вы хотите приобрести какой то скрипт/продукт/хак из каталогов перечисленных ниже:
Каталог модулей/хаков
Ещё раз обращаем Ваше внимание: всё, что Вы скачиваете и устанавливаете на свой форум, Вы устанавливаете исключительно на свой страх и риск.
Сообщество vBSupport'а физически не в состоянии проверять все стили, хаки и нули, выкладываемые пользователями.
Помните: безопасность Вашего проекта - Ваша забота.
Убедительная просьба: при обнаружении уязвимостей или сомнительных кодов обязательно отписывайтесь в теме хака/стиля
Спасибо за понимание
 
Page 1 of 2 1 2
 
 
 
Smalesh
В Черном списке
Default ftpaccess - защищаем ftp
13
Точно так же, как apache может управляться пользователем при помощи файла .htaccess, точно так же ftp-сервер может управляться при помощи .ftpaccess (если конечно это не отключено хостером). .ftpaccess управляет доступом к ftp-серверу.

FTP-сервер хостера должен поддерживать обработку ftpaccess: ProFTPD, Pure-FTP понимают ftpaccess, vsFTPd c ftpaccess работать не умеет.

Обратите внимание, что любую директиву .ftpaccess можно запретить глобально на уровне сервера. Если что-то не работает или работает не так как ожидается - обращайтесь к хостеру.

Действие .ftpaccess: если .ftpaccess ложится в корень сайта, то его директивы распространяются на весь сайт. Если .ftpaccess ложится в определенную директорию - его действие распространяется на текущую и все вложенные директории и файлы. Это позволяет достаточно гибко настраивать доступ к ftp-серверу.

Синтаксис файла предельно прост - это обычный текстовый файл, каждый контейнер начинается с <Limit blah_blah>, а заканчивается соответственно </Limit>

Code:
<Limit команда>
...
тело контейнера
...
</Limit>
Директивы контейнера


Директивы у контейнера могут быть либо групповые либо использоваться команды ftp:
  • ALL - все ftp команды
  • DIRS - ftp команды: CDUP, CWD, LIST, MDTM, NLST, PWD, RNFR, STAT, XCUP, XCWD, XPWD
  • LOGIN - ftp логин
  • READ - ftp команды: RETR, SIZE
  • WRITE - ftp команды: APPE, DELE, MKD, RMD, RNTO, STOR, STOU, XMKD, XRMD

Можно вписывать несколько директив/команд, разделяя их пробелами, к примеру:

Code:
<Limit DIRS READ>
...
тело контейнера
...
</Limit>
Тело контейнера


Тело контейнера по синтаксису очень напоминает уже знакомый .htaccess.

Директивы, используемые в теле контейнера:
  • Allow/Deny - разрешить/запретить
  • Order - задает последовательность выполнения директив Allow/Deny.
  • AllowAll/DenyAll - разрешить все/запретить все
  • DeleteAbortedStores on/off- запрет удаления файлов, которые загружены не до конца, да/нет
  • ListOptions - опции показа директорий, ListOptions "+a" скрывает все файлы, начинающихся с точки
  • AllowOverwrite on/off - запрещает перезаписывать файлы
  • AllowUser/DenyUser - разрешить/запретить пользователя(ей), список пользователей перечисляется через запятую
  • AllowGroup/DenyGroup - разрешить/запретить группы пользователей, список групп перечисляется через запятую

Синим цветом показаны значения по умолчанию.

Allow/Deny использую опции from all | none | хост | сеть

Order может принимать два значения:
  • allow,deny: проверяются директивы Allow, если совпадение найдено, то доступ разрешается, иначе проверяются директивы Deny и если совпадение найдено, то доступ запрещается, иначе доступ предоставляется;
  • deny,allow: проверяются директивы Deny и если совпадение найдено, то доступ запрещается, иначе проверяются директивы Allow и если совпадение найдено, то доступ предоставляется


Примеры


Запретить доступ к ftp (не рубите сук, на котором сидите - убедитесь, что сможете отредактировать файл через панель управления хостингом)
Code:
<Limit ALL>
Deny from all
</Limit>
Запретить доступ всем ip, кроме 192.168.0.1
Code:
<Limit ALL>
Allow from 192.168.0.1
Deny from all
</Limit>
Запретить доступ всем ip, кроме блока ip 10.0.0.0/16
Code:
<Limit ALL>
Allow from 10.0.0.0/16
Deny from all
</Limit>
Запретить доступ всем ip, кроме нескольких
Code:
<Limit ALL>
Allow from 1.2.3.1
Allow from 1.2.3.2
Allow from 1.2.3.3
Allow from 1.2.3.4
Deny from all
</Limit>
Запретить доступ всем, кроме пользователя user
Code:
<Limit ALL>
AllowUser user
Deny from all
</Limit>
Запретить запись всем, кроме пользователя user
Code:
<Limit WRITE>
AllowUser user
Deny from all
</Limit>
Запретить пользователю user листинг директории и чтение файлов
Code:
<Limit DIRS READ>
DenyUser  user
Allow from all
</Limit>
Last edited by Smalesh : 04-05-2012 at 03:31 PM.
Bot
Yandex Bot Yandex Bot is online now
 
Join Date: 05.05.2005
Реклама на форуме А что у нас тут интересного? =)
 
 
Nevil
Знаток
 
Nevil's Avatar
Default
0
очень познавательно. Не могли бы вы написать пример, как включить несколько разных IP, а остальные запретить.
 
 
Smalesh
В Черном списке
Default
0
Quote:
Originally Posted by NevilRO View Post
как включить несколько разных IP, а остальные запретить.
Элементарно:

Code:
<Limit ALL>
Allow from 1.2.3.1
Allow from 1.2.3.2
Allow from 1.2.3.3
Allow from 1.2.3.4
Deny from all
</Limit>
 
 
OldEr
Специалист
Master
 
OldEr's Avatar
Default
2
Также, стоить добавить, что при установленных панельках хостинга, например, таких как ISPManager, cPanel и другие, данные манипуляции производятся через web-интерфейс, а обработка файлов .ftpaccess, созданных ftp-пользователями, отключена.
 
 
Smalesh
В Черном списке
Default
0
Quote:
Originally Posted by OldEr View Post
Также, стоить добавить, что при установленных панельках хостинга, например, таких как ISPManager, cPanel и другие, данные манипуляции производятся через web-интерфейс, а обработка файлов .ftpaccess, созданных ftp-пользователями, отключена.
Можно пруф? Не знаю, как работает cPanel, но в ispmanager + proftpd работает превосходно, да еще и рекомендуется саппортом. Другой вопрос, что далеко не все ftp-серверы поддерживают .ftpaccess, например vsftpd не поддерживает обработку .ftpaccess - это да, надо добавить.
 
 
OldEr
Специалист
Master
 
OldEr's Avatar
Default
1
Smalesh, какой здесь пруф. Разумеется все зависит от настроек сервера и политики хостера. Но, на большинстве серверов, что весьма логично, напрямую обработка этих файлов отключена (при установленных вышеуказанных панельках).
 
 
Smalesh
В Черном списке
Default
0
Quote:
Originally Posted by OldEr View Post
Но, на большинстве серверов, что весьма логично, напрямую обработка этих файлов отключена (при установленных вышеуказанных панельках).
Могу заверить, что в случае с ipsmanager дело обстоит как раз наоборот. Не буду говорить за другие панели (прочем в конфиг ftp-сервера глянуть несложно), но в ispmanager в случае использования proftpd ftpaccess исправно работает на благо родины, если ее не отключить особо, что указанная панель не производит. А так как эта панелька является достаточно популярной у нас на хостингах, то есть весьма неплохие шансы использовать ftaccess в своих благородных целях. Правда ispmanager умеет еще работать с vsFTPd, где про ftaccess нам только мечтать и в свете не столь давних проблем с proftpd можно попасть на хостинг с vsftpd.

PS: обработка и поддержка ftpaccess лежит не на панели, она лежит на самом ftp-сервере. Все что может панель, за исключением аудита и управления учетной записью ftp-сервера, это править конфиг сервера ну и собсно сам ftpaccess (только в тех панелях, где это предусмотрено). Равно как и в апаче - включение/выключение htaccess физически производится конфигом апача, а не напрямую панелью, задача панели - внести изменения в конфиг.

PSS: иногда возможности ftpaccess (штатные по своей сути) преподносятся хостером как дополнительный профит

PSSS: мне кажется, что все же статья имеет право на жизнь. Но вопрос о примечаниях относительно панели - честно говоря, я не уверен. ;)
 
 
OldEr
Специалист
Master
 
OldEr's Avatar
Default
1
Quote:
Originally Posted by Smalesh View Post
PS: обработка и поддержка ftpaccess лежит не на панели, она лежит на самом ftp-сервере. Все что может панель, за исключением аудита и управления учетной записью ftp-сервера, это править конфиг сервера ну и собсно сам ftpaccess (только в тех панелях, где это предусмотрено). Равно как и в апаче - включение/выключение htaccess физически производится конфигом апача, а не напрямую панелью, задача панели - внести изменения в конфиг.
Это само собой. Я имел ввиду, что при установленных панелях, в которых визуально можно настроить фильтрацию айпи для доступа к фтп, отключают обработку ftpaccess напрямую.

Quote:
Originally Posted by Smalesh View Post
PSSS: мне кажется, что все же статья имеет право на жизнь. Но вопрос о примечаниях относительно панели - честно говоря, я не уверен. ;)
Статья конечно имеет право на жизнь - хорошо расписали. Я ж не настаиваю, в любом случае найдутся те, у кого "не работаит", и не работает как раз по причине, указанной выше. = )
 
 
Smalesh
В Черном списке
Default
0
Quote:
Originally Posted by OldEr View Post
Я имел ввиду, что при установленных панелях, в которых визуально можно настроить фильтрацию айпи для доступа к фтп, отключают обработку ftpaccess напрямую.
Можно примеры таких панелей, если не сложно?
 
 
OldEr
Специалист
Master
 
OldEr's Avatar
Default
1
Smalesh, я же писал выше: ISP, cPanel. Дело ж не в панели, а в политике хостера (опять повторяюсь). = )

OldEr добавил 06.04.2012 в 01:21
С cPanel все же погорячился, у нее нет такой функции.
Last edited by OldEr : 04-06-2012 at 02:21 AM. Reason: Добавлено сообщение
 
Page 1 of 2 1 2

Tags
ftpaccess

« Previous Thread | Next Thread »

Posting Rules
You may not post new threads
You may not post replies
You may not post attachments
You may not edit your posts
BB code is On
Smilies are On
[IMG] code is On
HTML code is Off



All times are GMT +4. The time now is 06:38 AM.

Contact Us - vBSupport.ru - Top

Powered by vBulletin® Version 3.8.2
Copyright ©2000 - 2025, Jelsoft Enterprises Ltd.