ftp:our_domain.firma.ru

В вышеприведенном листинге доступ к ftp разрешен только нашему домену our_domain.firma.ru. В файл hosts.deny рекомендуется добавить запись, запрещающую доступ к FTP соседям (другому отделу) или же абсолютно всем (ftp:ALL) Раз уж мы заговорили о FTP-сервере, нельзя не сказать, что все приведенные выше операции можно было реализовать средствами самого сервера, но я не вижу смысла загружать сервер лишней работой, если все это можно сделать на более низком уровне. Но для полноты обзора все же рассмотрим директиву Limit, ограничивающую доступ к серверу:

<Limit LOGIN>

    DenyAll

    AllowUser pupkin

    MaxClients 5

    Deny from 153.111.171.137

    Deny from 192.168.2.

</Limit>

Первая директива в блоке Limit запрещает регистрацию (LOGIN) всем пользователям, вторая разрешает только регистрацию пользователя pupkin, третья – задает максимальное число клиентов (5). Последние две директивы запрещают регистрацию с узла 153.111.171.137, а также из подсети 192.168.2. Кроме директив DenyAll и AllowUser существуют противоположные им по действию – AllowAll и DenyUser соответственно. Данный блок Limit нужно указать в файле конфигурации сервера ProFTPD – /etc/proftpd.conf.

Теперь, когда пользователи других подсетей не смогут использовать наши ресурсы, немного ограничим своих родных пользователей. Для ограничения локальных пользователей используются файлы:

n  access.conf

n  console.perms

n  limits.conf

Эти файлы расположены в каталоге /etc/security. Первый файл – это таблица доступа пользователей. Когда кто-то регистрируется в системе (удаленно или локально), в этой таблице система ищет запись, содержащую имя пользователя и предоставляет соответствующий этому пользователю доступ или вообще запрещает его. Если имя пользователя не найдено, но может регистрироваться со всех терминалов (для локальной регистрации) или со всех узлов (для удаленной регистрации).

Формат файла access.conf такой: Разрешение:Пользователи:Доступ. Первое поле может содержать либо символ «+», который означает, что доступ разрешен, или символ «-», запрещающий доступ. Поле Пользователи содержит список имен пользователей, разделенных пробелами. Можно указывать имя пользователя в формате user@host. Такая запись описывает пользователя user, который регистрируется из машины host. Для обозначения всех пользователей можно указать ALL в качестве значения второго поля.

Третье поле (Доступ) может содержать список терминалов, из которых разрешена (или запрещена – в зависимости от значения первого поля) регистрация пользователей (для локальной регистрации). Если вас интересует регистрация по сети, вы можете указать здесь имя узла, IP-адрес узла, адрес сети (заканчивается точкой), имена доменов или имена узлов локальной сети (не содержат точки). Для обозначения всех узлов локальной сети можно использовать модификатор LOCAL. Можно также использовать модификатор EXCEPT (кроме) для исключения некоторых элементов списка (во втором и в третьем полях).