Provided by:
manpages-hu_20010119-5_all 
N'EV
ftpd - DARPA Internet File Transfer Protocol szerver
'ATTEKINT'ES
ftpd [ -d ] [ -v ] [ -l ] [ -ttimeout ] [ -Tmaxtimeout ] [ -a ] [ -A ]
[ -L ] [ -i ] [ -o ] [ -pctrlport ] [ -Pdataport ] [ -q ] [ -Q ] [
-rrootdir ] [ -s ] [ -S ] [ -uumask ] [ -w ] [ -W ] [ -X ]
LE'IR'AS
Az ftpd a DARPA Internet File Transfer Protocol szerver procesz. A
szerver a TCP protokollt hasznalja, es az ``ftp'' szerviz-
specifikacioban megadott porton varakozik, lasd services(5).
Ha a -d vagy -v opcio meg van adva, debugging informacio irodik a
syslog-ba.
Ha az -l opcio meg van adva, minden ftp session loggolva lesz a syslog-
ba.
Ha a kliens 15 percig nem csinal semmit, az ftp szerver megszakitja a
kapcsolatot. Ha a -t opcio meg van adva, a varakozasi id timeout
masodpercre allitodik. A kliens szinten kerhet kulonboz varakozasi
idt; a maximalisan megengedett idt timeout masodpercre allitja a -T
opcio. A default hatar 2 ora.
Ha az -a opcio meg van adva, az ftpaccess(5) konfiguracios fajl
hasznalata engedelyezve van.
Ha az -A opcio meg van adva, az ftpaccess(5) konfiguracios fajl
hasznalata nincs engedelyezve. Ez a default.
Ha az -L opcio meg van adva, akkor az ftpd(8) szervernek kuldott
parancsok a syslog-ba irodnak. Az -L opci'o haszn'alat'at fel"ulb'ir'alja az
ftpaccess(5) fajl hasznalata. Ha a -L flag hasznalva van, az osszes
USER parancs loggolva lesz, vagyis ha a felhasznalo veletlenul a
jelszavat irja be a felhasznaloi neve helyett, a jelszava a syslogon
keresztul loggolodik.
Ha az -i opcio meg van adva, az ftpd(8) szerver altal fogadott fajlok
az xferlog(5) -ba loggolodnak. Az -i opci'ot fel"ulb'ir'alja az
ftpaccess(5) fajl hasznalata.
Ha az -o opcio meg van adva, az ftpd(8) szerver altal elkuldott fajlok
az xferlog(5) -ba loggolodnak. Az -o opci'ot fel"ulb'ir'alja az
ftpaccess(5) fajl hasznalata.
Ha az -u opcio meg van adva, a default umask umask lesz
Ha a -W opcio meg van adva, a belepesek nem kerulnek a wtmp fajlba. A
default ( -w ) minden belepes es kilepes feljegyzese.
Az -s es -S opciok "standalone" uzemmodba teszik a demont. (ilyenkor
kozvetlenul figyeli a portot, es nem az inetd demon inditja - a ford.)
Az -S opcio a hatterbe teszi a demont, es a rendszerinicializalos
szkriptekben lehet hasznos (peldaul az rc.local -ban) Az -s opcio az
elterben hagyja a demont, es az init-bol valo futtataskor (peldaul az
/etc/inittab segitsegevel) hasznos.
A -p es -P felulirjak a demon altal hasznalt portszamokat. Normalisan
a demon a portszamokat ugy allapitja meg, hogy az "ftp" es "ftp-data"
bejegyzeseket megnezi az /etc/services fajlban. Ha nincs "ftp-data"
bejegyzes az /etc/services fajlban, es a -P opcio nincs megadva, akkor
a demon a kontroll-kapcsolat portszamat megelz portot hasznalja. A -p
opcio csak a "standalone" demonkent valo futas eseten hasznalhato.
A -q es -Q opciok azt hatarozzak meg, hogy hasznaljon-e PID fajlokat a
demon. Ezeket a fajlokat a limit direktiva hasznalja arra, hogy
meghatarozza az egy eleresi osztalyban lev egyszerre jelenlev
felhasznalok szamat. A PID fajlok letiltasa a felhasznaloi limiteket
is letiltja. A default ( -q ) a PID fajlok hasznalatanak az
engedelyezese. A -Q opciot akkor add meg, ha normalis felhasznalokent
teszteled a szervert, es a PID fajloktol nem lephetsz be. Olyan
nagyforgalmu szajtok eseten, amelyek nem limitaljak az egyszerre
jelenlev felhasznalok szamat, szinten meggondolhatod a PID fajlok
letiltasat.
A -r opcio arra utasitja a demont, hogy a megadott konyvtarba chroot(2)
-oljon, rogton az elindulas utan. Ez annyiban javithatja a rendszer
biztonsagat, hogy koratozza azoknak a fajloknak a szamat, amelyek
karosithatok egy a demonon keresztuli betores eseten. Akarcsak az
anonymous FTP eseten, szukseg van nehany kulon fajlra, a rendszertl
fuggen.
Az ftp szerver jelenleg a kovetkez ftp kereseket tamogatja (nem szamit,
hogy nagybet vagy kisbet):
K'er'es Le'ir'as
ABOR az elz parancs vegrehajtasat szakitsd meg
ACCT account megadasa (figyelmen kivl hagyva)
ALLO foglalj tarolasi helyet
APPE ird egy fajl vegere (append)
CDUP menj eggyel feljebb a konyvtarstrukturaban
CWD valtoztass konyvtarat
DELE torolj egy fajlt
HELP adj segit informaciot
LIST listazd a fajlokat egy konyvtarban (``ls -lgA'')
MKD csinalj egy konyvtarat
MDTM mutasd meg egy fajl utolso modositasanak idejet
MODE specifikalja az adatatvitel modjat
NLST add meg egy konyvtarban lev fajlok neveit
NOOP ne csinalj semmit
PASS ez a jelszavam
PASV szerverrl-szerverre atvitel elkeszitese
PORT ezen a porton menjenek az adatok
PWD ird ki az aktualis konyvtarat
QUIT kilepek
REST kezdd ujra a nem teljes atvitelt
RETR kerek egy fajlt
RMD torolj egy konyvtarat
RNFR atnevezesnel a regi fajlnev
RNTO atnevezesnel az uj fajlnev
SITE nem standard parancsok (lasd alabb)
SIZE mekkora ez a fajl
STAT mi a szerver statusza
STOR tarolj egy fajlt
STOU tarolj egy fajlt egyedi nevvel
STRU az adatatvitel strukt'ur'aj'anak megadasa
SYST mutasd a szerver operacios rendszerenek a tipusat
TYPE az adatatvitel t'ipus'anak a meghatarozasa
USER felhasznaloi nev meghatarozasa
XCUP valts a jelenlegi munkakonyvtar szuljebe (elavult)
XCWD konyvtarvaltas (elavult)
XMKD csinalj egy konyvtarat (elavult)
XPWD ird ki az aktualis munkakonyvtarat (elavult)
XRMD torolj egy konyvtart (elavult)
A kovetkez nem standard vagy UNIX-specifikus parancsokat tamogatja a
SITE keres:
K'er'es Le'ir'as
UMASK umask valtas. Pl.: SITE UMASK 002
IDLE idle-timer beallitasa. Pl.: SITE IDLE 60
CHMOD egy fajlra vonatkozo jogokat valtoztat. Pl.: SITE CHMOD 755 fajlnev
HELP help-et ker valamirl. Pl.: SITE HELP
NEWER egy adott datumnal ujabb fajlokat listazza
MINFO mint a SITE NEWER, de tobb extra informaciot ad
GROUP kulonleges csoporteleres kerese. Pl.: SITE GROUP foo
GPASS kulonleges csoporteleresi jelszo megadasa. Pl.: SITE GPASS bar
EXEC futtass egy programot. Pl.: SITE EXEC program params
A tobbi, az Internet RFC 959-ben specifikalt ftp-kereseket felismeri,
de ezek nincsenek implementalva. MDTM es SIZE nincsenek benne az RFC
959 -ben, de meg fognak jelenni a kovetkez FTP RFC-ben. (Az RFC 2228 a
kovetkez, ami 1997-ben jelent meg - a ford.)
Az ftp szerver csak akkor fog megszakitani egy aktiv fajlatvitelt, ha
az ABOR parancsot megelzi egy Telnet "Interrupt Process" (IP) jel es
egy Telnet "Synch" jel, ahogyan az az Internet RFC 959-ben meg van
irva. Ha adatatvitel kozben kap egy STAT parancsot, amelyet egy Telnet
IP es Synch elz meg, akkor az atvitel statusat kuldi vissza.
Az ftpd a fajlneveket a csh(1) ``globbing'' konvencioi szerint
interpretalja, vagyis a felhasznalok hasznalhatjak a ``*?[]{}~''
metakaraktereket.
Az ftpd a felhasznalokat negy szabaly szerint authentikalja:
1) A felhasznaloi nevnek szerepelni kell az /etc/passwd fajlban,
vagy egyeb, az operacios rendszernek megfelel
jelszoadatbazisban, es a jelszo nem lehet ures. Ilyenkor a
jelszo megadasa eltt semmilyen fajlmveletet nem lehet
vegrehajtani.
2) A felhasznaloi nevnek nem szabad az /etc/ftpusers fajlban
szerepelnie.
3) A felhasznalonak kell legyen egy alapertelmezett
parancsertelmezje, amit a getusershell(3) ad vissza.
4) Ha a felhasznaloi nev is ``anonymous'' vagy ``ftp'', egy
anonymous ftp account kell legyen a jelszo fajlban (``ftp''
felhasznalo). Ebben az esetben a felhasznalo barmilyen
jelszoval belephet (a konvencio szerint ez a kliens gep neve).
(ez itt egy eleg regi manpage-reszlet lehet - mint tudjuk, az
email cimet szoktak kerni manapsag -- a ford. megjegyzese)
Az utolso esetben az ftpd kulonleges intezkedeseket tesz, hogy a kliens
hozzaferesi lehetsegeit korlatozza. A szerver egy chroot(2)
rendszerhivast hajt vegre az ``ftp'' felhasznalo home konyvtaraba. A
rendszer biztonsaganak erdekeben az ``ftp'' al-fat gondosan kell
felepiteni, a kovetkez szabalyok betartasa ajanlott:
~ftp) Tedd a home konyvtarat a root tulajdonaba, es masok altal nem
irhatova.
~ftp/bin)
Tedd ezt a konyvtarat a root tulajdonaba, es masok altal nem
irhatova. Az ls(1) programnak jelen kell lennie, hogy a list
parancsot tamogassa. Ennek a programnak a jogai legyenek 111-re
allitva.
~ftp/etc)
Tedd ezt a konyvtarat a root tulajdonaba, es masok altal nem
irhatova. A passwd(5) es group(5) fajloknak jelen kell lennie,
hogy az ls parancs neveket, es ne szamokat tudjon kiirni. Az
operacios rendszertl fuggen mas fajlokra is szukseg lehet. Nezd
meg a getpwent(3) konyvtari hivas kezikonyvlapjat. A jelszo mez
a passwd fajlban nincs hasznalva, es nem ajanlott igazi
titkositott jelszavakat tenni oda. Ezek a fajlok legyenek 444
joggal ellatva, es a root tulajdonaban. Ne hasznald a rendszer
/etc/passwd fajljat jelszo fajlkent, vagy a rendszer /etc/group
fajljat group fajlkent az ~ftp/etc konyvtarban.
~ftp/pub)
Csinalj egy ~ftp/pub alkonyvtarat 733 vagy 777 joggal, attol
fuggen, hogy meg akarod-e engedni a normal felhasznaloknak, hogy
fajlokat toltesenelk fel.
EGY CSAK A BSD/OS RENDSZEREKEN HASZN'ALT AUTHENTIK'ACI'OS MECHANIZMUS
Az ftpd altal hasznalt authentikacios mechenizmust az /etc/login.conf
fajlban talalhato ``auth-ftp'' bejegyzes hatarozza meg. (lasd
login.conf(5)) amely illeszkedik a felhasznaloi osztalyra. Ha nincs az
adott osztalynak megfelel ``auth-ftp'' bejegyzes, akkor a normal
``auth'' bejegyzes kerul felhasznalasra. Egy alternativ authentikacios
mechanizmust is meg lehet adni egy kettspont (``:'') utan, peldaul:
``joe:skey''.
'ALTAL'ANOS FTP KITERJESZT'ESEK
Van nehany kiterjesztese az FTP szervernek, peldaul ha a felhasznalo
egy fajlnevet ad meg (a RETRIEVE parancs hasznalatakor):
Igazi fajlnev Megadott fajlnev Ami tortenik
------------- ------------------ -----------------------------------
<fajlnev>.Z <fajlnev> Kitomoriti a fajlt kuldes eltt
<fajlnev> <fajlnev>.Z Tomoriti a fajlt kuldes eltt
<fajlnev> <fajlnev>.tar Tar (becsomagolja) a fajlt kuldes eltt
<fajlnev> <fajlnev>.tar.Z Tar (becsomagolja) es tomoriti a fajlt kuldes eltt
(a ford. megjegyzese: ma mar a compress helyett inkabb a gzip
a szokasos fajltomoritesi eljaras, .Z helyett .gz kiterjesztessel)
Ezenkivul az ftp szerver megprobalja az email cimet ellenrizni, es
megszidja a felhasznalot, ha nem megy at a teszten. (Mivel altalaban
egy email cimrl csak akkor lehet biztosan tudni, hogy ervenyes, ha egy
levelet kuldunk oda es nem jon vissza, nem tul nehez atverni az ftp
szervert - a ford. megjegyzese) Azok a felhasznalok, akiknek az ftp-
kliense kiakad a tobbsoros valaszoktol, adjanak meg egy kotjelet a
jelszavuk els karakterekent, ez le fogja tiltani a szerver lreply()
fuggvenyenek a hasznalatat.
Az FTP szerver kepes az osszes fajlatvitelt loggolni, megrizve a
kovetez informaciokat:
Mon Dec 3 18:52:41 1990 1 wuarchive.wustl.edu 568881 /files.lst.Z a _ o a chris@wugate.wustl.edu ftp 0 *
%.24s %d %s %d %s %c %s %c %c %s %s %d %s
1 2 3 4 5 6 7 8 9 10 11 12 13
1 aktualis id NNN HHH nn oo:pp:mm EEEE alakban
2 az adatatviteli id masodpercekben
3 a tavoli gep neve
4 fajlmeret bajtokban
5 fajl neve
6 atvitel tipusa (a>scii, b>inary)
7 kulonleges flag-ek (osszefuzve):
C a fajl compress-el ossze volt tomoritve
U a fajl ki volt tomoritva
T a fajl tar-olva volt
_ semmi kulonleges nem tortent
8 a fajl kiment a felhasznalonak (o>utgoing) vagy tle erkezett
(i>ncoming)
9 anonymous-kent elerve(r>eal, a>nonymous, g>uest)
10 lokalis felhasznaloi nev, vagy guest eseten a megadott nev
(anonymous FTP jelszo)
11 szerviz nev ('ftp', other)
12 authentikacios modszer (bitmaszk)
0 semmi
1 RFC931 authentikacio
13 authentikalt user id (ha elerhet, '*' egyebkent)
L'ASD M'EG
ftp(1), getusershell(3), syslogd(8), ftpaccess(5), xferlog(5), umask(2)
HIB'AK
Az anonymous account termeszetenel fogva veszelyes, es elkerulend,
amikor csak lehetseges.
A szervernek root-kent kell futnia, hogy privilegizalt portokon
hozhasson letre socketeket. A belepett felhasznalo effektiv
felhasznaloi id-jet hasznalja, es csak addig root, amig a cimeket
osszekoti (bind) a port-szamokkal. A lehetseges biztonsagi lyukakat
rendkivuli elvigyazatossaggal tomkodtek be, de nem biztos, hogy mind
sikerult.
MAGYAR FORD'IT'AS
Balazs-Csiki Laszlo <bcsl@elender.hu>