Autor: Tomasz Surmacz (tsurmacz_at_asic.ict.pwr.wroc.pl)
Data: Thu 20 Apr 1995 - 16:28:22 MET DST
Jacek Piskozub (piskozub_at_ocean.iopan.gda.pl) wrote:
| Wnioski (wielu z was wie ale zawsze sa tacy, ktorzy i tak to
| lekcewaza - jak ja dotad):
| - nie mozna zostawiac zadnych katalogow z prawem zapisu w drzewie
| dostepnym dla anonimeowego ftp. Nasz mial sluzyc naszym pracownikow
| dla wygodnego przekazywania sobie plikow (nie kazdy umie posluzyc
| sie uudecode). Posluzyl w koncu komus innemu. Teraz katalog jest
| pozbawiony praw zapisu (umiescilem tam krotki opis zdarzenia po
| angielsku i polsku - dla przestrogi). Jesli przywrocimy prawa
Mozna temu zaradzic inaczej (przyklad - ftp.ict.pwr.wroc.pl, ftp.pwr.wroc.pl)
Jesli masz serwera Wuarchive, to w pliku konfiguracyjnym ftpaccess umiesc linie:
upload /prg/ftp /incoming yes root daemon 0600 dirs
To powoduje, ze pliki umieszczane na serwerze beda posiadane przez
root-a, z prawami dostepu 600. Dzieki temu plik po umieszczeniu na
serwerze w /incoming moze byc odczytany (i przeniesiony gdzie indziej)
wylacznie przez root-a (albo inna osobe, jesli tak podamy -
musi to byc w kazdym razie ktos inny niz uzytkownik 'ftp').
Mozna takze zmienic na ' root ftp-staff 0660 dirs' - dajac uprawnienia
do czytania, zmiany i kasowania tych plikow grupie ftp-staff, albo
wedlug jeszzce innych wlasnych upodoban.
| zapisu, to tylko z dokladnym logowaniem wszystkiego i wlaczonym
| na przyklad pakietu TCP Wrappers, korzystajacym z protokolu
| ident (ftp://galaxy.uci.agh.edu.pl/pub/security/tcp_wrapper.txt.gz)
| dla rozpoznania loginu uzytkownika anonymous ftp.
A to sie zawsze przydaje... :-)
Poza tym, serwera ftp warto uruchamiac jako 'ftpd -l', wtedy loguje
mnostwo innych rzeczy poprzez syslog-a (z priorytetem daemon.info i
wyzszym). Uwaga tylko na 'golego' in.ftpd w SunOS 4.1.x i Solaris 2.x
chyba tez - potrafi w ten sposob zalogowac hasla PRAWDZIWYCH
uzytkownikow... Jest na to patch, ale lepiej zainstalowac wu-ftpd.
| - radze przejrzec wszystkie takie katalogi na waszych serverach ftp
| (jesli ktos tego nie robi). Nazwy pustych plikow z przechwalkami
| pirata glosily m.in., ze jest to "jego" Server #1. Moze zdarzyl juz
| powstac np. #2. Sa tez na pewno inni o podobnych pomyslach.
Przegladanie najlepiej wykonac przez cd ~ftp; ls -lRa | less
Program less pokaze takze wszystkie katalogi typu ...^H i inne takie...
Do ftpaccess warto tez dopisac (jesli jeszcze tego tam nie ma):
# path-filter...
path-filter anonymous /etc/msg.badpath ^[-A-Za-z0-9_\.]*$ ^\. ^-
path-filter guest /etc/msg.badpath ^[-A-Za-z0-9_\.]*$ ^\. ^-
co nie pozwoli na tworzenie katalogow/plikow o nazwach zaczynajacych sie od '.' lub '-' lub zawierajacych znaki inne niz [-A-Za-z0-9_\.]
I w ogole warto przeczytac Security FAQ na temat anonymous ftp, ktore
pojawia sie dosc regularnie w comp.security.unix
| - Jeszcze jedno ostrzezenie dla administratorow: ograniczcie kopie
| pliku z uzytkownikami dostepna dla anonymous ftp (nie pisze dokladniej bo
| po co dawac komus instrukcje gdzie co i jak) do linii z uzytkownikiem
| ftp. Wlasciwienie ma nic bardzo niebezpiecznego w tym pliku ale
Owszem jest... Niektorzy robia po prostu cp /etc/passwd ~ftp/etc/passwd
i tylko chyba czekaja, az ktos uruchomi crack-a.
| Na koniec prosba (glownie do dziennikarzy czytajacych liste): nie
| robcie wokol tej i podobnych spraw zbyt duzo rozglosu POZA siecia.
| Im mniej ktos wie o tych sprawach tym bardziej wpada na wiesc
| o takich sprawach w panike, co jesli jest decydentem odpowiedzialnym
| za cos moze zaszkodzic nam wszystkim.
Sluszna racja... Tylko ze wszystko to powyzej nie jest jak na moj gust
ZADNYM problemem... Wszystko rozbija sie o wlasciwa konfiguracje
serwera.
Tomasz Surmacz
-- _________ (_ _' __) Tomasz Surmacz * ------------- * tsurmacz_at_asic.ict.pwr.wroc.pl | (__ \ Institute of Technical Cybernetics, * tsurmacz_at_ict.pwr.wroc.pl |__(____/ Technical University of Wroclaw, Poland * ----- * irc: TomekS
To archiwum zostało wygenerowane przez hypermail 2.1.7 : Wed 19 May 2004 - 15:50:50 MET DST