MicroServer N54L

[MicroServer G7 N54L] vsftpd 상위 디렉토리로의 이동 제한

FTP를 운영하다 보면 사용자가 홈 디렉토리에서 상위 디렉토리(root)로 이동 할 수 있습니다.

아래 사진 처럼 굳이 관리자가 아닌 이상 root까지 볼 필요가 없겠지요?

그래서 사용자의 상위 디렉토리로의 이동을 제한합니다.

 /etc/vsftpd 안에 vsftpd.conf 파일을 열어서 편집합니다.

그전에 저처럼 반드시 혹시 모를 상황에 대비해서 vsftpd.conf를 백업합니다.(vsftpd.conf.bak)

파일을 열어서 /chroot로 검색합니다.

그리고 아래 빨간 테두리 부분을 수정합니다.

chroot_local_user=YES

chroot_list_enable=YES

chrot_list_file=/etc/vsftpd/chroot_list

이 부분에 주석을 제거 합니다.

그리고 저장하고 나옵니다.

chroot_list에 상위 디렉토리로 이동 가능하게 할 계정명을 입력합니다.

저는 chroot_list 파일이 없어서 user_list 파일을 chroot_list 파일로 복사하고

상위 디렉토리로 이동 가능하게 할 계정명을 입력했습니다.

지금은 테스트라 계정을 두개만 생성했습니다.

1. qual

2. user1

그중에 qual 계정만 상위 디렉토리로 이동하기 위해 qual을 입력합니다.

이제 vsftp에 접속합니다.

아래 사진은 qual 계정이 접속한 사진입니다.

왼쪽에 보면 /home/qual 이 보입니다.

이번엔 user1이 접속한 화면입니다.

/ 밖에 보이지 않습니다.

이상 특정 계정만 상위 디렉토리로 이동 가능하게 하는 방법을 마칩니다.

[Micro Server G7 N54L] VSFTP 설정

# Allow anonymous FTP? (Beware - allowed by default if you comment this out).
anonymous_enable=YES

anonymous_enable=YES     => anonymous(익명) 로그인 허용

NO로 변경합니다.

접속유저가 상위디렉토리로 가는것 제한을 합니다.

vsftp 기본 설정에 모든 사용자가 상위 디렉토리로 이동할 수 있게 되어있습니다.

유저들이 상위 디렉토리로 접근해 리눅스 커널파일/ 중요한 파일들을 삭제해버리면 어떻게 될까요? 그러므로 상위 디렉토리로 올라가는 것을 막아주어야 합니다.

그런데 막는건 간단하지만 특정 유저에게는 허용해주고 싶다면 어떻게 하는가?

--------------------------------------------------------------------------

vi /etc/vsftpd/vsftpd.conf

# You may specify an explicit list of local users to chroot() to their home
# directory. If chroot_local_user is YES, then this list becomes a list of
# users to NOT chroot().
chroot_local_user=YES    => 주석을 제거합니다.
chroot_list_enable=YES    => 주석을 제거합니다.
# (default follows)
chroot_list_file=/etc/vsftpd/chroot_list    => 주석을 제거합니다.

chroot_list 파일을 생성하고 상위 폴더로 가고 싶은 user명을 씁니다.

그러면 chroot_list 파일에 있는 user만 상위 폴더로 이동이 가능합니다.

- xferlog_enable=YES : FTP 접속자들의 업/다운로드 상황 로그파일 저장 여부 설정
# Activate logging of uploads/downloads.
xferlog_enable=YES

- xferlog_file=/var/log/vsftpd.log : 로그파일 경로 설정
# You may override where the log file goes if you like. The default is shown
# below.
xferlog_file=/var/log/vsftpd.log

# You may specify an explicit list of local users to chroot() to their home
# directory. If chroot_local_user is YES, then this list becomes a list of
# users to NOT chroot().

- chroot_local_user=YES : 홈 디렉토리 위로 이동 제한 여부 설정(기본값 NO)5

chroot_local_user=YES

- chroot_list_enable=YES : chroot에서 제외할 사용자 목록 파일 사용 여부 설정(기본값 NO)chroot_list_enable=YES

[MicroServer G7 N54L] ftp 접속 중인 사용자 계정 확인 방법

- netstat -a |grep ftp |grep ESTABLISHED | wc -l 명령어를 이용하면 접속 사용자 수 를 확인 할 수 있습니다.

[root@localhost qual]# netstat -a |grep ftp |grep ESTABLISHED | wc -l
1
[root@localhost qual]#

- netstat -a |grep ftp |grep ESTABLISHED 명령어를 이용하면 접속 IP를 확인 할 수 있습니다.

[root@localhost qual]# netstat -a |grep ftp |grep ESTABLISHED
tcp        0      0 192.168.219.154:ftp         192.168.219.1:4713          ESTABLISHED
[root@localhost qual]#

- who 명령어를 이용하면 사용자/ 시간/ 접속 IP를 확인 할 수 있습니다.

[root@localhost qual]# who
qual     pts/1        2014-08-13 20:54 (192.168.219.1)
[root@localhost qual]#

w 명령어로 알 수 있는 정보

 - 서버 현재 시간

 - 서버가 부팅한 후 현재까지의 작동 시간

 - 서버의 접속자의 총 수

 - 접속자별 서버 평균 부하율 정보

 - 접속자별 서버 접속 계정명

 - 접속자별 접속 TTY명

 - 접속자별 접속한 IP주소

 - 접속자별 로그인 시간

 - 접속자별 CPU 사용정보(JCPU, PCPU)

 - 접속자별 현재 사용 명령어

[root@localhost /]# w
 22:54:27 up  3:38,  1 user,  load average: 0.00, 0.03, 0.04
USER     TTY      FROM              LOGIN@   IDLE   JCPU   PCPU WHAT
qual     pts/0    192.168.219.1    22:37    0.00s  0.37s  0.22s sshd: qual [priv]
[root@localhost /]#

- 접속된 사용자 죽이기(who 명령어로 pts를 확인 하고 사용가능)

위 who 명령어에서 pts/1을 이용

[root@localhost qual]# skill -KILL -v pts/1