会社の公開FTPサーバ。
何故かFTPユーザーにもbashが付与されており、さらに外部業者とのやり取りはインターネットを介して行われる為、パケットキャプチャされたらユーザー名とパスワードがバレバレな状況で稼動していました。
ディスクも8GBの物を使用していた為、ディスク増設を期にセキュリティを上げる事にします。
外部からの接続は、FTPからSFTPに。
さらに事業部毎でデータ容量が違うので、quotaを設けます。
・quota使用の宣言
fstab内の、容量制限を行なうパーティション欄に”usrquota”を追記する。
今回は、/homeに対してquotaを掛ける。
vi /etc/fstab
LABEL=/home /home ext3 defaults,usrquota 1 2
・/homeの再マウント
quota使用する為、パーティションの再マウントを行なう。
mount -o remount /home
・quota設定のデータベース作成
quotacheck -cumv /home/
・ユーザ毎のquota設定
edquota hogehoge
Disk quotas for user hogehoge (uid 501):
Filesystem blocks soft hard inodes soft hard
/dev/hda5 36 9961472 10485760 8 0 0
quotaの設定は、容量(blocks)と、ファイル数(inodes)に変われており、それぞれ警告表示(soft)と物理境界線(hard)に分類される。
今回は、容量を10GBまでと設定するので、blocksのsoftに9.5GB分、hardに10GB分の数値をキロバイトで入力。
ここまで完了したら、再起動を行なう。
再起動後、quotaが有効になる。
ためしに、ファイル数のhardを12とし、13個以上ファイルのアップロードを行なおうとしたら、
200 PORT command successful. Consider using PASV.
553 Could not create file.
とエラーが表示され、アップロード出来なかった。
さて、問題はココから。
社内から通常のFTPアクセスを行なわせ、社外からはSFTPにて接続させたと思っている。
その際の接続制限の方法が見当たらない。
単純に、/etc/hosts.allowに、
in.ftpd: 127.0.0.1 192.168.0. 192.168.1.
と記述しても、FTPの処理を行なうのはFTPデーモンになるので、ネットワークレベルの規制は無理なんじゃないか?
デーモンレベルでアクセスを制限する方法しか知らんので、別の制限方法を探して見るか。
・・・2007/07/28 追記・・・
どうも、SFTPはSSHポートのみしか使わないらしい。
つーことは、/etc/hosts.allowでの制限でいけるんじゃない?w
と思って、設定。
あれ?
制限が掛かんない。hosts.allowの設定が反映されない・・・。
おかしい!と思ってググってると、どうも記述フォーマットが変更されたらしい。
ftpd: 127.0.0.1 192.168.0. 192.168.1.
と、”in”を外したら上手く制限できましたw
定期的に勉強しないと過去覚えた事も、すぐに古くなって使えなくなるから困ったものだ。