iT邦幫忙

0

Proftpd 限制user綁定IP登入詢問

各位先進大家好
我目前是用Centos安裝Proftpd做為與客戶交換資料用,
user帳號\IP為:
test1 \ 192.168.3.1
test2 \ 192.168.3.2
test3 \ 192.168.3.3
修改/etc/proftpd.conf
且使用LoadModule mod_ifsession.c 來做每個使用者只能用一個帳號配合一組IP能成功登入,寫法如下:

   # Allow users to overwrite files and change permissions
  AllowOverwrite                yes
  <Limit ALL SITE_CHMOD>
    AllowAll
  </Limit>
DeferWelcome on
RootLogin off
</Global>

** <Class test1-ip>
    From 192.168.3.1
  </Class>
  <IfUser test1>
    <Limit LOGIN>
      AllowClass test1-ip
      DenyAll
    </Limit>
  </IfUser>

 <Class test2-ip>
    From 192.168.3.2
  </Class>
  <IfUser test2>
    <Limit LOGIN>
      AllowClass test2-ip
      DenyAll
    </Limit>
  </IfUser>**

# A basic anonymous configuration, with an upload directory
# Enable this with PROFTPD_OPTIONS=-DANONYMOUS_FTP in /etc/sysconfig/proftpd


故意只填入user帳號test1、test2,不填入test3,
此時test1和test2可成功將帳號與IP綁定,
但問題來了,因為test3沒加入Class內就會變成只要知道帳號密碼就能從任何IP端做登入,相對降低了安全性,查過proftpd的文檔後沒發現有相關解決的方式,請問有經驗的大大能提供方式讓test3無法登入嗎?(PS:請不要告訴我將test3帳號disabled,因原由就是要防範誤增帳號或其他原因造成的漏洞)
謝謝大家幫忙!

hon2006 iT邦大師 1 級 ‧ 2017-03-09 08:46:39 檢舉
<Limit LOGIN>

# single ip address example
# Allow from 192.168.0.1

# multiple ip addresses example
# Allow from 192.168.0.1 10.30.124.6

# subnet example
# Allow from 192.168.0.0/16

# hostname example
# Allow from example.net

Allow from192.168.3.1
Allow from192.168.3.2
Allow from192.168.3.3

DenyAll

</Limit>
msnman iT邦研究生 3 級 ‧ 2017-03-09 09:14:50 檢舉
用iptables 限制 INPUT 的port 和 IP 無法達到要求嗎?
ds7859 iT邦新手 5 級 ‧ 2017-03-09 15:09:14 檢舉
Dear hon2006
我會使用Class方式就是要將
test1只能在192.168.3.1的IP做登入
test2只能在192.168.3.2的IP做登入
若造您的寫法
Allow from192.168.3.1
Allow from192.168.3.2
Allow from192.168.3.3
所有帳號都能透過以上IP登入並不是我要的,謝謝

1 個回答

0
wonton
iT邦高手 6 級 ‧ 2017-03-09 10:22:59

如果是這樣呢?

<IfUser AND !test1,!test2>
    <Limit LOGIN>
        DenyAll
    </Limit>
</IfUser>
ds7859 iT邦新手 5 級 ‧ 2017-03-09 15:43:53 檢舉

之前也有想過用這種方式,確實可行
但感覺有點多此一舉,希望能簡單一點,一勞永逸的方法
但還是很感謝您的回答

我要發表回答

立即登入回答