开通博客赚积分
发布资源赚积分
分类

源码开发语言/平台
当前位置:首页 > 源码/资料 > Internet/网络编程 > Ftp客户端 > 查看源码
upload.configuration.HOWTO
资源名称:wu-ftpd-2.6.0.tar.gz [点击查看]
上传用户:zibowangxu
上传日期:2007-01-04
资源大小:331k
文件大小:18k
源码类别:

Ftp客户端

开发平台:

Unix_Linux

upload.configuration.HOWTO:源码内容
  1.  
  2.   Copyright (c) 1999 WU-FTPD Development Group.  
  3.   All rights reserved.
  4.   
  5.   Portions Copyright (c) 1980, 1985, 1988, 1989, 1990, 1991, 1993, 1994
  6.     The Regents of the University of California.
  7.   Portions Copyright (c) 1993, 1994 Washington University in Saint Louis.
  8.   Portions Copyright (c) 1996, 1998 Berkeley Software Design, Inc.
  9.   Portions Copyright (c) 1989 Massachusetts Institute of Technology.
  10.   Portions Copyright (c) 1998 Sendmail, Inc.
  11.   Portions Copyright (c) 1983, 1995, 1996, 1997 Eric P.  Allman.
  12.   Portions Copyright (c) 1997 Stan Barber.
  13.   Portions Copyright (c) 1997 Kent Landfield.
  14.   Portions Copyright (c) 1991, 1992, 1993, 1994, 1995, 1996, 1997
  15.     Free Software Foundation, Inc.  
  16.  
  17.   Use and distribution of this software and its source code are governed 
  18.   by the terms and conditions of the WU-FTPD Software License ("LICENSE").
  19.  
  20.   If you did not receive a copy of the license, it may be obtained online
  21.   at http://www.wu-ftpd.org/license.html.
  22.  
  23.   $Id: upload.configuration.HOWTO,v 1.1 1999/09/20 02:02:17 wuftpd Exp $
  24.  
  27.                            Upload Configuration
  28.                                   HOW-TO
  30. This document is available on-line at:
  31.   ftp://ftp.wu-ftpd.org/pub/wu-ftpd/upload.configuration.HOWTO
  33. One of the more powerfull, yet most often misused, features of WU-FTPD is
  34. the upload clause.  Historically, the problems with the upload clause stem
  35. from unclear documentation and poor implementation.  This document is an
  36. attempt to address these issues.  The features discussed in this document
  37. apply to WU-FTPD Version 2.6.0.  If you are not running 2.6.0, you are
  38. strongly encouraged to upgrade; it includes a number of corrections, new
  39. features and security enhancements not available with earlier versions of
  40. WU-FTPD.
  44. Upload restrictions for anonymous FTP users
  45. -------------------------------------------
  46. For this example, we'll assume your system /etc/passwd file contains an
  47. entry for the anonymous FTP user as follows:
  49. ftp:*:95:95::/home/ftp:
  51. If your /etc/passwd file does not contain an entry for the user 'ftp' your
  52. site will not allow anonymous FTP.  In addition, if the usernames 'ftp' or
  53. 'anonymous' appear in the /etc/ftpusers file, anonymous FTP will not be
  54. allowed.
  56. In /etc/ftpaccess, we need a class which allows anonymous access.  The
  57. following allows anonymous FTP from anywhere:
  59. class anonftp anonymous *
  61. To prevent anonymous FTP users attempting a Denial of Service (DoS) attack
  62. against your system, you should create a special filesystem to receive
  63. their uploads.  This separate filesystem protects your server by limiting
  64. the total size of all uploaded files while preventing those files from
  65. consuming all available space on the server.  For this example, mount the
  66. filesystem on /home/ftp/incoming
  68. By default, the server will not allow uploads from anonymous FTP users.
  69. Just to be safe, and so we don't forget, let's add a clause saying that:
  71. upload /home/ftp * no
  73. What this says is, "For any user whose home directory is the anonymous FTP
  74. area, /home/ftp, do not allow any uploads."  As I said, this is the
  75. default, but put it in anyway so you don't forget.
  77. Now, we want to allow uploads into the incoming filesystem.  We MUST add a
  78. clause granting that privilege to anonymous users.  Right now we don't want
  79. to let anonymous users create directories.  (I recommend NEVER allowing them
  80. to do it, but I'll show you how in a bit.)  We want to ensure, however,
  81. the server is safe and cannot be used as a way-point for software pirates
  82. (warez traders).  So we'll set the directory permissions for the incoming
  83. area to prevent anyone seeing what's there and make the area write-only for
  84. anonymous users.
  86. First, we need an FTP site administrator, someone who owns the files, but
  87. isn't the root user or the anonymous user.  Something like the following
  88. /etc/passwd entry will do:
  90. ftpadmin:*:96:96::/home/ftp:
  92. Set the incoming area permissions and ownership to safe values.  I
  93. recommend the following:
  95. chown ftpadmin /home/ftp/incoming
  96. chgrp ftpadmin /home/ftp/incoming
  97. chmod 3773 /home/ftp/incoming
  99. Actually, ftpadmin should own more of the site, but I'm only talking about
  100. uploads right now.
  102. Finally, before we get into allowing uploads, one last thing.  Whether you
  103. allow on-the-fly tar'ing of directories or not, you should make sure an
  104. end-run cannot be made and the incoming area downloaded using tar.  To do
  105. so, create the special file '.notar' in both the FTP directory and the
  106. incoming area:
  108. touch /home/ftp/.notar
  109. chmod 0 /home/ftp/.notar
  110. touch /home/ftp/incoming/.notar
  111. chmod 0 /home/ftp/incoming/.notar
  113. The zero-length .notar file can confuse some web clients and FTP proxies,
  114. so let's mark it unretrievable.
  116. noretrieve .notar
  118. Time to allow uploads, put the following in /etc/ftpaccess:
  120. upload /home/ftp /incoming yes ftpadmin ftpadmin 0440 nodirs
  122. Notice the target directory for the uploads is relative to the view the
  123. user will have during the FTP session.
  125. What this says is, "For any user whose home directory is the anonymous FTP
  126. area, /home/ftp, allow uploads into the directory /incoming but do not
  127. allow the creation of new directories.  Make all files uploaded owned by
  128. the FTP administrator, mark them read-only so we don't allow them to be
  129. downloaded."  If uploaded files are to be made available for downloading,
  130. the safest thing to do is to tell the FTP administrator to move them into a
  131. public area and modify the permissions after validating and approving them.
  132. I know this seems draconian but, in the long run, it's best.
  134. Some FTP sites like to live dangerously and allow anonymous users to create
  135. directories.  I don't recommend this; it cannot be done with absolute
  136. safety.  If you insist, however, you can at least limit it to a single
  137. directory level.  For example, replace the upload clause just added with
  138. the following:
  140. upload /home/ftp /incoming   yes ftpadmin ftpadmin 0440 dirs 3773
  141. upload /home/ftp /incoming/* yes ftpadmin ftpadmin 0440 nodirs
  143. The first line allows directories to be created in the incoming area and
  144. enforces the use of safe permissions on them.  The second prevents creation
  145. of deeper sub-directories.  Notice one of the problems with allowing
  146. directory creation is there is no way to automatically create a '.notar' in
  147. the new directory, so a crafty user may be able to make an end-run and
  148. download it anyway using on-the-fly tar'ing.
  150. One last thing: since the incoming area shouldn't allow downloads, and
  151. since it's a file system, there will be a lost+found area; you will want to
  152. add the following clause to make SURE no downloads occur:
  154. noretrieve /home/ftp/incoming
  156. or, at least, add the following to prevent downloading of the lost+found
  157. files:
  159. noretrieve /home/ftp/incoming/lost+found
  163. Upload restrictions for guest users
  164. -----------------------------------
  165. Setting up the FTP server for guest users is covered in the Guest HOWTO.
  166. It is not my purpose here to cover how to set up for guest access.  If you
  167. have not yet done so, review the information in that document at:
  169.   ftp://ftp.fni.com/pub/wu-ftpd/guest-howto
  171. For this example, I'll assume you have entries similar to the following in
  172. your system /etc/passwd file:
  174. dick:*:1010:1010::/home/users/./dick:/bin/sh
  175. jane:*:1011:1011::/home/users/./jane:/bin/sh
  177. By default, the WU-FTPD server will grant upload privileges to all guest
  178. users.  The example users are chroot'd to /home/users and cannot access any
  179. area of the filesystem outside that directory structure.  What we're
  180. interested in, then, is simply protecting the areas in the chroot directory
  181. structure we want to keep the users out of.
  183. In a minimal installation, there will be bin, etc and dev, subdirectories
  184. in the /home/users directory.  Other files and subdirectories may exist
  185. depending upon the requirements of your operating system.  We don't want
  186. users being able to upload into these areas.  In case something happens to
  187. the permissions on them (you did set the permissions to safe values, didn't
  188. you?), you should deny upload privileges in your ftpaccess file.  In our
  189. case, we'll say the following:
  191. upload /home/users/* /    no
  192. upload /home/users/* /bin no
  193. upload /home/users/* /etc no
  194. upload /home/users/* /dev no
  196. While we're at it, we'll prevent downloads with noretrieve.  Don't forget
  197. to prevent end-runs by also creating .notar files in each directory.
  199. noretrieve /home/users/bin
  200. noretrieve /home/users/etc
  201. noretrieve /home/users/dev
  205. Upload restrictions for real users
  206. ----------------------------------
  207. First off, let me say you shouldn't have any real users in your FTP site.
  208. Or, being more realistic, the only real user should be the site
  209. administrator.  That being said, real users should be restricted to
  210. uploading only into specific areas.  Let's start with a real user in
  211. /etc/passwd:
  213. ftpadmin:*:109:109::/home/users/ftpadmin:/bin/sh
  215. Again, by default, the server will grant upload privileges everywhere, so
  216. we have to start by revoking them and only allowing what we want to:
  218. upload /home/users/ftpadmin *                      no
  219. upload /home/users/ftpadmin /tmp                   yes nodirs
  220. upload /home/users/ftpadmin /home/users/ftpadmin   yes
  221. upload /home/users/ftpadmin /home/users/ftpadmin/* yes
  222. upload /home/users/ftpadmin /home/ftp/incoming     yes ftpadmin ftpadmin 0440 nodirs
  226. About matching rules
  227. --------------------
  228. Use extreme care when forming wildcard matching rules.  It may be tempting
  229. to say, for instance:
  231. upload /home/users/ftpadmin /home/users/ftpadmin* yes
  233. But, if you do, there will be unintended consequences.  In the example,
  234. we're trying to restrict upload privileges to just the ftpadmin's home
  235. directory.  Consider, though, this will match all of the following
  236. directories:
  238. /home/users/ftpadmin
  239. /home/users/ftpadmin/mirrors
  240. /home/users/ftpadministration
  242. This last directory isn't wanted.  Instead use:
  244. upload /home/users/ftpadmin /home/users/ftpadmin   yes
  246. to match the ftpadmin's home directory itself, then use:
  248. upload /home/users/ftpadmin /home/users/ftpadmin/* yes
  250. to match all subdirectories under the ftpadmin's home.
  254. umasks for guest and real users
  255. -------------------------------
  256. In most cases you will want to allow guest and real users to control the
  257. permissions on their own files and directories.  As in the examples shown,
  258. if there are no specific permissions given on upload clauses, any new files
  259. or directories created will have all permissions set.  umasks can be used
  260. to reduce these permissions.
  262. The daemon has a command-line option (-u) to set the default umask for all
  263. users.  Follow the -u option with an octal permissions mask.  Bits in this
  264. mask are permissions to turn off whenever the daemon creates a new file or
  265. directory.  The manpage for ftpd documents the -u option.
  267. Often times, the global -u option is not sufficient.  In the ftpaccess
  268. file, you can control umasks by class by using the defumask clause.  If no
  269. class is given, defumask overrides the -u umask from the command line.  If
  270. the current user is a member of the named class, defumask overrides the
  271. umask setting for this user only.
  273. For example, assume there are several classes of users
  275. class admin  real       10.0.0.0/8 127.0.0.0/8
  276. class local  guest      10.0.0.0/8 127.0.0.0/8
  277. class remote guest      *
  278. class anon   anonymous  *
  280. ( Notice, by the way, in this example, real users will not be allowed
  281. access unless from the local network since they are not in any class when
  282. coming from an outside IP address.  Since the daemon gives no clue to the
  283. remote user in this case, to outside addresses it will appear as if the
  284. admin users do not exist on the server.  The specific cause for their login
  285. failure will appear in your system logs. )
  287. We can control the umask by class for these users.  For example, we might
  288. say:
  290. defumask 0377
  291. defumask 0177 admin
  292. defumask 0133 local remote
  294. The first clause applies whenever another defumask clause does not match
  295. the current user's class.  This is the same as adding '-u 0377' to the
  296. command line for the FTP daemon.  In this case, the clause applies only to
  297. anonymous users since all other classes have specific default umasks given.
  299. The second turns off execute permissions, as well as group- and world- read
  300. and write permissions, for all files and directories created by real users
  301. (users in the admin class).
  303. The last rule turns off execute permissions and group- and world-write
  304. permissions for files and directories created by guests (in the local and
  305. remote classes).
  307. Remember: umasks apply to ALL files and directories created EXCEPT those
  308. where an upload clause applies AND the upload clause gives specific
  309. permissions.  Disabling execute permissions will cause problems using newly
  310. created directories; leaving them enabled is unsafe because all files
  311. uploaded will have execute permission and could, therefore, be used in
  312. attempts to break into the server.
  314. I recommend disabling all execute permissions and instructing your users to
  315. use the chmod command to add execute permissions to directories or to
  316. change the umask before creating directories.  This may be a bit more work
  317. for your users, but it is safer than having a Trojan Horse program marked
  318. executable just waiting for someone, possibly root, to try running it.
  322. umask and chmod command restrictions
  323. ------------------------------------
  324. As just mentioned, users have the ability to change the current umask and
  325. modify the permissions on files and directories.
  327. Obviously, you will want to disable this feature for anonymous users.  You
  328. may also want to control who may use these features for your guest and real
  329. users.  The defaults should be acceptable for most sites.  The default
  330. settings are equivalent to the following (which you may want to add to your
  331. ftpaccess file so you don't forget):
  333. chmod no  anonymous
  334. chmod yes real,guest
  336. umask no  anonymous
  337. umask yes real,guest
  339. If, for example, you wanted to disable these commands for guests accessing
  340. the server from outside the local network, you could add the following:
  342. chmod no  class=remote
  343. umask no  class=remote
  345. Be sure to insert these _before_ the 'yes' clauses.  Order is important;
  346. the daemon will apply the first matching rule it finds.   If you do
  347. something like this, it is probably safer to rewrite the clauses to deny
  348. everything but what you allow.  For example:
  350. chmod yes real,class=local
  351. umask yes real,class=local
  352. chmod no  guest,anonymous
  353. umask no  guest,anonymous
  357. Delete, overwrite, rename restrictions
  358. --------------------------------------
  359. The daemon also provides control over the user's ability to delete, over-
  360. write and rename files.  Again, the defaults are probably acceptable in
  361. most cases.  These are:
  363. delete no  anonymous
  364. delete yes real,guest
  366. rename no  anonymous
  367. rename yes real,guest
  369. overwrite no  anonymous
  370. overwrite yes real,guest
  372. As with the chmod and umask clauses, you can control these by class as
  373. well.  Continuing the above example, restricting these to local users only,
  374. we could instead say:
  376. delete    yes real,class=local
  377. rename    yes real,class=local
  378. overwrite yes real,class=local
  379. delete    no  guest,anonymous
  380. rename    no  guest,anonymous
  381. overwrite no  guest,anonymous
  385. Per-class upload clauses
  386. ------------------------
  387. Just as we can restrict the ability to change permissions, delete files,
  388. etc., we can also define upload clauses which apply only to specific
  389. classes of users.  For instance, with the classes from the above examples,
  390. we can revoke upload rights for remote guests.
  392. For example, we can deny all uploads the remote guests except to their
  393. personal tmp directories:
  395. upload class=remote /home/users/* *      no
  396. upload class=remote /home/users/* /*/tmp yes nodirs
  400. Private incoming areas
  401. ----------------------
  402. Often times, users would like to have private areas in the FTP site.
  403. Sometimes, it is usefull to also have incoming areas in those private
  404. areas.  Examples of the permissions for private areas can be found in the
  405. layout at ftp://ftp.wu-ftpd.org/pub/wu-ftpd/examples/ and, other than
  406. ownership, are no different than the public incoming area, so I'll simply
  407. present the upload clauses here.
  409. For this example, we'll allow anonymous uploads into all private incoming
  410. areas:
  412. upload /home/ftp            /private/*/incoming          yes * * 0440 nodirs
  413. upload /home/users/ftpadmin /home/ftp/private/*/incoming yes * * 0440 nodirs
  415. The assumption here is Unix shell users have private areas in the anonymous
  416. site.  Those areas are owned by the appropriate user, and incoming files
  417. are to be owned by that user.  The wildcard match on directory allows
  418. anonymous uploading to any private incoming directory.  The wildcard for
  419. owning user and group instructs the daemon to set the file's ownership to
  420. that of the directory receiving it.
  422. Don't forget, if you allow private incoming areas, they are open for
  423. anonymous access and you should take care to ensure a DoS attempt to fill
  424. the file system cannot take out your entire server.  Create a separate
  425. filesystem for the private incoming areas or put them inside the public
  426. incoming area.
  430. Differences from earlier versions
  431. ---------------------------------
  432. This HOWTO was written for  version 2.6.0 of the WU-FTPD server.  Earlier
  433. versions used different rules for the upload clause.
  435. Some versions of the daemon required the first parameter to be the name of
  436. the root directory for the chroot.  This allowed upload control by area,
  437. but did not provide for different rules on a per-user basis.
  439. Some versions of the daemon required the first parameter to be lexically
  440. identical to the user's home directory entry.  This was non-obvious and the
  441. '/./' was often forgotten.
  443. Some versions of the daemon got totally confused, attempted to apply both
  444. these methods at once, and ended up ignoring all your upload rules.  If you
  445. were smart, you had your permissions set properly and didn't notice.
  447. Early versions of the VR upgrades, and all earlier versions of the daemon,
  448. allowed file system modification as the default for all users.  The current
  449. version does not allow any modification commands (ie., upload, delete,
  450. rename) by anonymous users unless specifically granted in the ftpaccess
  451. file.
  453. Early versions of the VR upgrades, and all earlier versions of the dameon,
  454. had no method for specifying the permissions for a newly created directory.
  455. Also, they required exact matches for the first parameter (no globbing) and
  456. exact user and group names or numbers for ownership file files and
  457. directories.
  459. -- 
  461. Gregory A Lundberg              WU-FTPD Development Group
  462. 1441 Elmdale Drive              lundberg@wu-ftpd.org
  463. Kettering, OH 45409-1615 USA    1-800-809-2195