Рекомендации по настройке пользователей и групп proftp с помощью mod_sql
Я запускаю proftp и не знаю, как правильно настроить пользователя и группы.
В моем proftpd.conf я настроил:
# Set the user and group that the server runs as
User proftp
Group proftp
Это повлияет на пользователя системы, служба proftpd работает .
В mod_sql есть такие же параметры, которые, кажется, удваиваются для меня:
# The SQLDefaultGID directive configures the default GID for users.
# This value must be greater than any configured SQLMinUserGID. Default: 65533
SQLDefaultGID xxxx
# The SQLDefaultUID directive configures the default UID for users.
# This value must be greater than any configured SQLMinUserUID. Default: 65533
SQLDefaultUID xxxx
Есть также службы proftpd, которые запускают этого пользователя, поскольку я могу использовать top .
Есть ли лучший способ установить эти значения для обеспечения максимальной безопасности?
Эти настройки не имеют прямого отношения, кроме того, оба могут вызвать появление процессов proftpd, запущенных от имени этого пользователя.
Первые определяют, какой идентификатор пользователя будет переключать главный процесс после инициализации с полным root-привилегии, чтобы иметь возможность получить все необходимые привилегии.
Другие (SQL) настройки - это значения по умолчанию, которые вступают в игру только в том случае, если пользователи аутентифицированы с помощью mod_sql, и запросы, используемые для этого, не возвращают эту информацию. Так что от вашей настройки SQL зависит, используются ли они вообще. Если они применяются к таким пользователям с аутентификацией sql, то процессы, обрабатывающие сеансы для пользователей, будут работать с этим UID / GID - и используются операционной системой для проверки разрешений файловой системы и в качестве владельца / группы по умолчанию для вновь созданных файлов. и папки.
То, как вы хотите настроить любую несистемную аутентификацию, такую как SQL, зависит от ваших потребностей.
Если все пользователи в базе данных привязаны к некоторому отдельному каталогу и не являются пользователями Shell или им подобными, это может быть хорошо и удобно, если они используют один User-ID / Group-ID, который вы, вероятно, также определили бы как операционная система-пользователь / -группа, чтобы файлы и процессы, перечисленные в оболочке с некоторым известным именем. То же самое может применяться к некоторым совместно используемым директориям только для записи, только для чтения или даже для чтения-записи, назначенных пользователю, если это нормально или нужно, чтобы все пользователи имели одинаковые права доступа.
Если вы хотите поделиться какой-либо датой между пользователей, или если они или некоторые из них будут получать доступ к файлам, для которых у них есть разрешения, через FTP, также из оболочки и т. д. Вы можете иметь уникальные идентификаторы пользователя и некоторые группы, которым пользователи назначаются индивидуально или обычно. Но в этом случае вам необходимо дополнительно создать пользователей в качестве пользователей системы или указать системе, чтобы она также использовала базу данных пользователя SQL, или вам необходимо иметь дело с различными числовыми идентификаторами, назначенными на уровне операционной системы. Также можно было бы использовать UID как некую первичную группу, чтобы пользователи с похожими или одинаковыми разрешениями использовали один UID.
В конце концов, это действительно зависит только от того, каким вы хотите быть в результате - и как пользователи (кроме root) получить доступ к системе. И от того, есть ли у вас уже какие-то настройки по умолчанию, которые вы хотите использовать вместо того, чтобы постоянно менять их без реальной необходимости.