В свое время, в самом начале моих заработков на сайтах был случай когда у меня взломали комп, поперли пароли, взломали ящики и сайты. С тех пор я к безопасности проектов отношусь с изрядной долей паранои. В частности меня раздражают постоянные попытки подбора паролей к FTP в логах. И хоть благодаря генератору паролей KeePass это сделать практически не реально, всё равно раздражает. Оказывается есть простой способ ограничить доступ к FTP с определенного IP.
Этот способ работает у меня на VDS от RuWeb с панелью ISP Manager и ProFTPD. Как в остальных случаях – не знаю. Итак идем в папку /home/account_name/data ( account_name – ваши имена пользователей в ISP Manager ) создаем файлик с именем .ftpaccess . В него прописываем:
1 2 3 |
Order Allow,Deny Allow from 88.888.88.8 Deny from all |
Где 88.888.88.8 ваш IP, или IP с которого нужно разрешить доступ к FTP. Записей Allow from 88.888.88.8 может быть много. Если у Вас динамический IP нужно прописать например вот так Allow from 88.888. ( именно с точкой. В сети встречаются советы писать вида Allow from 88.888.88.0/250 – у меня так не работало, без точки, то есть так Allow from 88.888 тоже не работало )
Если всё настроено правильно, то при попытке прилогиниться к FTP с ненужного IP сервер спрашивает и логин и пароль, но доступа к папкам не дает, даже если ввести их правильно.
Дополнительная защита FTP конечно. Но:
- Всё равно продолжаются попытки подбора пароля.
- Приходится генерить .ftpaccess файликов столько сколько пользователей привязано к VDS. Не очень удобно.
Вобщем способ такой есть, но надо будет посмотреть ещё что получше.
Олег 2011-03-31