如何建立安全的ProFTPD应用经验谈

核心提示： ProFTPD可以加入嵌入式认证模块，成为PAM－aware的FTP服务器，如何建立安全的ProFTPD应用经验谈(7)，PAM全称：Pluggable Authentication Module（嵌入式认证模块），它最初有SUN公司开发；很快被Linux社区的接受，见表－1、表－2:表－1 P

ProFTPD可以加入嵌入式认证模块，成为PAM－aware的FTP服务器。PAM全称：Pluggable Authentication Module（嵌入式认证模块）。

它最初有SUN公司开发；很快被Linux社区的接受，并且开发了更多的模块。其目标是提供一套可用于验证用户身份的函数库，从而将认证从应用程序开发中独立出来。PAM工作原理见用SRP建立安全的Linux Telnet服务器（链接：http://tech.ccidnet.com/art/302/20050915/333529_1.html ）一文。

下面手工建立一个/etc/pam.d/ftp文件包括以下内容：

%PAM-1.0 auth required
/lib/security/pam_listfile.so
item=user sense=deny
file=/etc/ftpusers
onerr=succeed auth required
/lib/security/pam_stack.so
service=system-auth auth
required /lib/security/
pam_shells.so account required
/lib/security/pam_stack.so
service=system-auth session
required /lib/security/pam_stack.so
service=system-auth

每一行包括以下内容：

module-type（模块类型） control-flag（控制字） module-path(模块路径) module-args(模块参数）。以上四个选项我们主要介绍module-type（模块类型）和control-flag（控制字），见表－1、表－2:

表－1 PAM模块类型

（3）对FTP用户使用chroot

ProFTPD服务器要限制普通FTP用户可以访问的目录，配置很简单，如果限制skate组的skate用户登录时不能切换到其他目录，修改配置文件加入一行：

DefaultRoot ~ skate,skate