BIND (serwer nazw) – konfiguracja Generalnie prosto jest skonfigurować własny serwer DNS. Serwery DNS najłatwiej mówiąc są odpowiedzialne za zmianę nazwy domeny (np.nith.pl ( np.nith.pl)) na adresy IP (np. 187.33.179.116). Maszynom o wiele prościej jest posługiwać się liczbami, natomiast ludziom napisami. Ktoś musi to zadanie wykonać. Najpopularniejszym Najpopularniejszym serwerem DNS jest BIND ( nazywany czasem named). Generalnie sami musimy zadbać o zabezpieczenie binda Bind Pierwsze co musimy zrobić, aby posiadać własny serwer DNS to go zainstalować. W Debianie wystarczy wydać komendę: Dobrym sposobem jest wydzielenie dla niego jail'a. # apt-get install bind9 Konfiguracja W katalogu konfiguracyjnym (/etc/bind/) znajdują się 2 pliki, które będą nas interesowały: * /etc/bind/named.conf.options – konfiguracja usługi * /etc/bind/named.conf /etc/bind/named.conf.local .local – konfiguracja konfiguracja stref (domen), które obsługujemy obsługujemy Mój plik named.conf.options wygląda następująco: options { version "nith-kula DNS"; directory "/var/cache/bind"; "/var/cache/bind"; forwarders { XXX.XX.XX.XX; }; auth-nxdomain auth-nxdomain no; listen-on { YYY.YYY.YYY.YY; 127.0.0.1; }; allow-recursion allow-recursion { 127.0.0.1; }; }; Znaczenie poszczególnych opcji: - Ze względów bezpieczeństwa dobrze było by podać w version cokolwiek - Opcja directory to katalog roboczy BIND-a - forwarders – każdorazowe odpytywanie odpytywanie się Root Servers może okazać się mało wydajne, jeśli chcemy przyspieszyć ten proces wpiszmy tutaj adresy IP serwerów DNS naszego ISP, do którego wpięty jest serwer (droga zapytań będzie o wiele krótsza) - auth-nxdomain jako parametry przyjmuje yes/no, ustawia czy negatywne odpowiedzi zbuforowane przez serwer mają być traktowane jako autorytatywne autorytatywne - listen-on zawiera listę adresów IP, na których ma nasłuchiwać serwer nazw. Możemy wydzielić poszczególne IP (j.w) lub wpisać any;, wtedy będzie słuchał na wszelkich dostępnych - allow-recursion po wpisaniu 127.0.0.1 nasz serwer DNS będzie zamknięty na cykliczne zapytania. Jeśli ma to być Open DNS usuńmy zupełnie tą linijkę Aby zacząć przygodę z domenami utwórzmy jeszcze 2 katalogi. Osobny dla domen, dla których będziemy serwerem podstawowym, osobno dla zapasowych:
mkdir /etc/bind/M mkdir /etc/bind/S W pliku named.conf.local definiujemy jakie strefy (domeny) chcemy obsługiwać przez nasz serwer DNS. Jeśli nasz BIND ma być serwerem podstawowym (primary) dla domeny domena.pl powinniśmy dodać we wspomnianym pliku: zone "domena.pl" { type master; file "/etc/bind/M/domena.pl"; notify yes; allow-transfer { XXX.XXX.XXX.XX; }; }; Definicja strefy jest bardzo prosta: * zone „domena.pl” – nazwa strefy * type master – rodzaj serwera (master – primary, slave – secondary) * file „/etc/bind/M/domena.pl” – nazwa pliku z konfiguracją naszej strefy * notify yes – bardzo przydatna opcja, włącza automatyczne powiadamianie zapasowego serwera DNS o zmianach w strefie * allow-transfer { XXX.XXX.XXX.XX; } – adres serwera, który ma możliwość transferu całej strefy, powinny znaleźć się tutaj wyłącznie adresy IP zapasowych serwerów nazw W następnej kolejności dla domena.pl musimy utworzyć wspomniany plik strefy. Przykładowy plik strefy: $TTL 86400 $ORIGIN domena.pl. @ IN SOA dns1.domena.pl. root.domena.pl. ( 2010111801 ;; serial 2H ;; refresh 1H ;; retry 7D ;; expire 1D ;; TTL ) @ IN NS dns1.domena.pl. @ IN NS dns2.domena.pl. @
IN
MX
10 mail.domena.pl.
@ dns1 dns2
IN IN IN
A A A
www mail ftp
IN CNAME @ IN CNAME @ IN CNAME www
XXX.XX.XX.X XXX.XX.XX.X YYY.YY.YY.Y
Plik strefy dzieli się na 3 sekcje: nazwa domeny i okres ważności wpisów, kto zarządza domeną oraz zawartość. Kiedyś wszelkie czasy podawane był w sekundach, dzisiaj możemy tworzyć
„skróty” podając 1D (Day) lub 2H (Hours).Komentarze oznaczamy podwójnym średnikiem (;;). Zauważyliście powyżej zapewne kropki podawane na końcach domen – dns1.domena.pl., gdyby zabrakło kropki BIND automatycznie dokleiłby domenę z $ORIGIN. Wtedy z dns1.domena.pl zrobiłoby się dns1.domena.pl.domena.pl. I ostatnia sprawa: @ jest pewnego rodzaju zmienną, która przechowuje nazwę domeny. Omówmy powyższy przykład: * $TTL 86400 – czas ważności rekordów w domenie (jednostka – sekundy) * $ORIGIN domena.pl. – nazwa domeny, którą plik strefy opisuje * @ IN SOA dns1.domena.pl. root.domena.pl. – rekord typu Start Of Authority (SOA), informuje jaki jest adres serwera primary DNS (dns1.domena.pl) oraz kto zarządza domeną (
[email protected]). W adresie e-mail należy pamiętać, że @ zamieniamy na kropkę (.). Dodatkowo rekord SOA posiada własną strukturę: o 2010111801 ;; serial - numer seryjny domeny, przyjęło się że jego format to YYYYMMDDnn (rok – miesiąc – dzień – kolejny numer); po każdorazowej zmianie w tym pliku powinniśmy podbić numer o 2H ;; refresh – jak często serwery slave mają sprawdzać czy dane domeny nie zmieniły się na primary DNS (wg RFC 1035 wartość powinna być z przedziału 1200-43200 sekund) o 1H;; retry – czas, po którym secondary DNS na ponowić próbę kontaktu, gdy wcześniej się nie powiedzie (zalecana wartość 120-7200 sekund) o 14D ;; expire – po jakim czasie dane domeny mają zostać uznane za nieaktualny, gdy serwer secondary DNS nie będzie mógł skontaktować się z primary (zalecana wartość 12096002419200 sekund, czyli 2-4 tygodni) o 1D ;; TTL – Time To Live, długość ważności rekordu, czyli jak długo dane pobrane przez dany serwer DNS są ważne (zalecana wartość 86400-432000 sekund, czyli 1-5 dni) * @ IN NS dns1.domena.pl. – definicja serwerów DNS, które obsługują domenę domena.pl; jest to pole wymagane, bez tego nasza domena nie będzie działać. Minimalnie musimy podać 2 serwery. Jeśli ich adresy są w ramach naszej domeny (czyli wcześniej nie pełniły roli serwerów DNS) musimy podać ich adresy IP poprzez rekord IN A. Reszta pliku strefy jest dowolna, ale omówimy co znaczą poszczególne wpisy. Jak wspomniałem każda domena, musi mieć zdefiniowane swoje serwery DNS: @ @
IN IN
NS NS
dns1.domena.pl. dns2.domena.pl.
Mogą to być oczywiście serwery spoza naszej domeny, np.: @ @
IN IN
NS NS
dns1.example.com. dns2.example.com.
Jeśli jest to definicja serwerów nazw, które sami obsługujemy musimy rozwiązać nazwę dns1.domena.pl na adres IP: @ dns1 dns2
IN IN IN
A A A
XXX.XX.XX.X XXX.XX.XX.X YYY.YY.YY.Y
W ten oto sposób powiedzieliśmy światu, że domena.pl obsługuje maszyna o IP XXX.XX.XX.X, ma primary DNS na XXX.XX.XX.X, a secondary na YYY.YY.YY.Y. Gdybyśmy musieli „podpiąć”
inne IP-ki pod domeną posługujemy się właśnie wpisami IN A. Jeśli chcemy ustawić serwer poczty dla naszej domeny musimy posłużyć się rekordem IN MX: @ IN MX 10 mail.domena.pl. Wpis ten mówi, że wszelka poczta kierowana na @domena.pl ma być kierowana na serwer pocztowy mail.domena.pl o priorytecie 10. Priorytet przydaje się nam wtedy, gdy podamy kilka serwerów pocztowych. Z naszego przykładu zostały nam jeszcze wpisy IN CNAME. www mail ftp
IN CNAME @ IN CNAME @ IN CNAME www
Najprościej mówiąc IN CNAME to alias, który tworzy sub-domenę. Najlepiej wskazywać na rekord IN A, niż inny IN CNAME. Po wszystkim należy ponownie uruchomić usługę bind: # /etc/init.d/bind9 restart Secondary DNS Dla naszego zapasowego serwera DNS konfiguracja usługi (named.conf.options) wygląda dokładnie tak samo (ew. zmieńmy IP). W tym wypadku nie tworzymy pliku strefy DNS, ponieważ będzie on ściągany z primary DNS. Jedyne co należy zrobić to w pliku named.conf.local zdefiniować strefy, które obsługujemy. Dla przykładu domena.pl: zone "domena.pl" { type slave; file "/etc/bind/S/domena.pl"; masters { ZZZ.ZZZ.ZZZ.ZZ; }; }; Jak zapewne zauważyliście nie ma wpisu dotyczącego notify oraz allow-transfer, natomiast pojawia się opcja masters. Masters wskazuje nam na podstawowy serwer nazw naszej domeny. To wszystko. Po przeładowaniu BIND: # /etc/init.d/bind9 reload powinna pojawić się definicja strefy domena.pl w katalogu /etc/bind/S. Sprawdzanie pliku ze strefą Na początku naszej przygody z definiowaniem stref DNS na pewno przyda nam się program named-checkzone (paczka bind9utils), który służy do sprawdzenia poprawności naszego pliku strefy. Wywołanie jest bardzo proste.: # named-checkzone domena.pl /etc/bind/M/domena.pl Jako pierwszy parametr podajemy nazwę domeny, natomiast po nim ścieżkę do pliku strefy tej domeny.
PS: Warto spojrzeć na rozwiązania konkurencji, np. PowerDNS. Uzupełnienie: Trzy podstawowe sposoby zabezpieczeń 1. chroot – trudny do zrobienia przy bind'zie w najnowszej wersji. 2. widoki (internal , external) – opisane powyzje 3. allow-transfer -opsiane powyzej SSH Najpierw zainstaluj serwer i klienta OpenSSH. apt-get update && apt-get install ssh apt-get --yes install openssh-server Zeby skonfugurować ssh, trzeba edytować plik /etc/ssh/sshd_config Kod: vi /etc/ssh/sshd_config Opcje SSH: Zmiana portu: Port 222 #ustawia ssh by sluchalo na porcie 222 Zablokowanie logowania na root-a PermitRootLogin no Pozwalanie na logowanie się danego usera AllowUsers
Gdzie za wstawiamy naszą nazwę użytkownika Blokowanie innych adresów IP - edytujemy vi lub vim /etc/hosts.deny dodajemy : sshd: ALL EXCEPT localhost gdzie odpowiada adresowi IP, któremu chcemy zezwolić na logowanie się, np. 172.16.118.20 Główne pliki konfiguracyjne to: •
•
/etc/ssh/ssh_config: Ustawienia domyślne klienta SSH. - Host: Ogranicza następujące po nim deklaracje ( aż do następnego wystąpienia Host) jedynie do komputerów pasujących do wzorca podanego po danym słowie kluczowym. Protocol: Określa wersje protokołu SSH. Domyślnie to "2,1". - PreferredAuthentications: Określa metodę identyfikacji klienta SSH2. Domyślna wartość to "hostbased,publickkey,keyboard-interactive,password". - PasswordAuthentication: Jeśli chcesz logować się używając hasła, upewnij się, że pole to nie jest ustawione na "no". ForwardX11: Domyślnie wyłączone. Nadrzędna wobec tego ustawienia jest opcja wiersza poleceń "-X". /etc/ssh/sshd_config: Domyślne ustawienia serwera SSH. - ListenAddress: określa lokalny adres, na którym "sshd" powinien nasłuchiwać. Dozwolona
jest więcej niż jedna opcja. - AllowTcpForwarding: Domyślnie wyłączone. X11Forwarding: Domyślnie wyłączone. $HOME/.ssh/authorized_keys: lista domyślnych kluczy publicznych, które zostały użyte przez klientów do połączenia na dane konto na tym komputerze. $HOME/.ssh/identity: Zobacz ssh-add(1) oraz ssh-agent(1). Rozpoczęcie połączenia przez klienta "ssh". •
•
Przekierowywanie portów dla tuneli SMTP/POP3 Aby utworzyć potok łączący port 25 komputera (zdalny-serwer) i port 4025 na komputerze lokalnym, oraz potok łączący port 110 komputera (zdalny-serwer) z portem 4110 lokalnej maszyny, poprzez "ssh", wykonaj na lokalnej maszynie: # ssh -q -L 4025:zdalny-serwer:25 4110:zdalny-serwer:110 \użytkownik@zdalny-serwer Jest to bezpieczny sposób na nawiązywanie połączenia z serwerami SMTP/POP3 w Internecie. Ustaw "AllowTcpForwarding" na "yes" w pliku "/etc/ssh/sshd_config" zdalnego komputera. Bezpieczniej jest chronić swój klucz SSH hasłem. Jeśli nie zostało ono ustawione, użyj polecenia "ssh-keygen -p" aby to zmienić. Jeśli masz problemy, sprawdź prawa dostępu do plików konfiguracyjnych i uruchom "ssh" z opcją "-v". Użyj parametru "-P" jeśli jesteś rootem i masz problem z firewallem; pozwala to uniknąć korzystania z portów 1-1023. Jeśli zdalne połączenie "ssh" nagle przestaje działać, może być to spowodowane działaniami administratora, a najbardziej, prawdopodobną zmianą w "host_key". Po upewnieniu się, że nie jest to jednak sprytna próba włamania poprzez podszywanie się za zdalnej maszyny, możesz odzyskać połączenie usuwając pozycje "host_key" z "$HOME/.ssh/known_hosts" na lokalnej maszynie. Uzupełnienie:
Najlepsze sposoby zabezpieczenia openssh servera: 1. Usuń openssh jeśli nie potrzebujesz z niego korzystać, na stacjach roboczych na pewno nie potrzebujesz ssh apt-get remove openssh-server
2. Używaj SSH Protocol w wersji 2 Pierwsza wersja jest podatna na ataki man-in-the-middle i ogólnie dosyć dziurawa. Otwórz sshd_config i upewnij się ze zawiera linie : Protocol 2
3: Ogranicz uzytkowników którzy mają dostęp do SSH Standardowo wszyscy użytkownicy maja dostęp do systemu przez SSH. Nawet konta UNIX/Linux dla użytkowników korzystających tylko z ftp czy email mogą mieć dostęp do ssh. Jest to sporym zagrożeniem gdyż daje dostęp do całego systemu w tym perla czy pythona a to z kolei daje duże pole do popisu dla nieproszonych gości. Ograniczenie użytkowników, dodać linie do pliku AllowUsers root kula nith
Możemy zezwolić na dostęp wszystkim oprócz kilku DenyUsers jez judio damian
4: Automatyczne wylogowanie Aby użytkownik który loguje się do serwera nie pozostawił sesji ssh bez nadzoru możemy ustawić czas po którym automatycznie zostanie on wylogowany. W tym celu w sshd_config konfigurujemy następujące wartości: ClientAliveInterval 300 ClientAliveCountMax 0
Interesuje nas idle timeout interval podawany w sekundach (300 s = 5 min). Po tym czasie sesja zostanie zerwana a użytkownik oznaczony jako wylogowany 5: Wyłacz pliki.rhosts Nie czytaj plikó ~/.rhosts and ~/.shosts. Obniża to wygodę ale zwiększa bezpieczeństwo zapobiegając automatycznemu logowaniu. Należy uaktualnić sshd_config o : IgnoreRhosts yes
6: Wyłaczenie Autentykacji Host-Based Uaktualnic sshd_config o: HostbasedAuthentication no
7: Zablokować logowanie dla root'a przez SSH Nie ma potrzeby logowania się do ssh jako root. Normalny użytkownik może uzyc polecenia su lub sudo aby uzyskać pełny dostęp do istotnych funkcji. Podnosi to bezpieczeństwo, nazwa niedomyślnego użytkownika jest tez trudniejsza do zgadnięcia, zwykle sniffuje się tylko początkowe dane. W sshd_config ustawić: PermitRootLogin no
8: Właczyć Warning Banner Uaktualnic sshd_config o linie: Banner /etc/issue
Przykładowy plik /etc/issue : You are accessing a XYZ Government (XYZG) Information System (IS) that is provided for authorized use only. By using this IS (which includes any device attached to this IS), you consent to the following conditions: + The XYZG routinely intercepts and monitors communications on this IS for purposes including, but not limited to, penetration testing, COMSEC monitoring, network operations and defense, personnel misconduct (PM), law enforcement (LE), and counterintelligence (CI) investigations. + At any time, the XYZG may inspect and seize data stored on this IS. + Communications using, or data stored on, this IS are not private, are subject to routine monitoring, interception, and search, and may be disclosed or used for any XYZG authorized
purpose. + This IS includes security measures (e.g., authentication and access controls) to protect XYZG interests--not for your personal benefit or privacy. + Notwithstanding the above, using this IS does not constitute consent to PM, LE or CI investigative searching or monitoring of the content of privileged communications, or work product, related to personal representation or services by attorneys, psychotherapists, or clergy, and their assistants. Such communications and work product are private and confidential. See User Agreement for details.
Jest to lekarstwo na wielki procent jeleni którzy mają ochotę dostać się do naszego systemu. Można wpisać tam cokolwiek ale im bardziej rządowe wydaje się być tym lepiej. 9: Zablokuj na firewallu SSH (Port 22) Pozwala to zablokować niepożądane próby logowania spoza lokalnej sieci oraz wyznaczonych hostów z sieci WAN. -bez przykładów bo iptables dopiero będzie 10: Zmiana portu SSH i ograniczenie ip na których nasłuchuje połączeń Domyślnie ssh nasłuchuje na wszystkich interfejsach oraz adresach ip. Aby podnieść poziom bezpieczeństwa można ograniczyć adresy na których nasłuchuje i zmienić domyślny port. W ssh_config poprawiamy i dodajemy: Port 300 ListenAddress 192.168.1.5 ListenAddress 202.54.1.5
11: Uzywaj silnych haseł Używaj trudnych, długich i nieszablonowych haseł. Pozwoli to ograniczyć ataki słownikowe i większość ataków brute-force 12: Chroot SSHD Trudne do wykonania. Blokuje użytkowników w obrębie ich folderu. 13: Wyłączenie pustych haseł Aby zabronić logowania użytkownikom bez ustawionego hasła dopisujemy w sshd_config: PermitEmptyPasswords no
14: Zabezpieczenie przed atakami Brute Force Należy użyć zewnętrznego oprogramowania jak np. Fail2ban czy Brute Force Detection 15: Ograniczenie liczby połączeń na port ssh Zmniejszenie maksymalnej liczby zapytań do ssh. W tym celu wykorzystujemy regułę iptables np. max 5 połaczeń na 60 sekund. 16: Analiza logów Upewnij się ze LogLevel jest ustawiony na INFO lub DEBUG w sshd_config: LogLevel INFO
17: Aktualizuj regularnie system operacyjny i openssh Najprościej przy użyciu apt-get upgrade Ftp – Very Secure FTP deamon vsftpd Jest to prawdopodobnie najbezpieczniejszy i najszybszy UNIX’owy serwer FTP. Jego zaletami są m.in. prostota konfiguracji, bezpieczeństwo i szybkość (transfer jest o wiele większy niż w przypadku innych serwerów ftp). Dodatkowo warto wspomnieć, że w jego kodzie nie znaleziono „błędów krytycznych”. Używany jest m.in. na serwerach ftp.redhat.com, ftp.openbsd.org, ftp.suse.com, ftp.ximian.com, ftp.kde.org, ftp.debian.org, ftp.gnome.org, ftp.gnu.org i inne, co potwierdza tezę, że vsftpd jest zaufanym i dojrzałym narzędziem. Sama nazwa mówi za siebie – „vs” jest skrótem od Very Secure. Jeżeli chcesz mieć bezpieczny, wydajny i stabilny serwer FTP, powinieneś spróbować vsftpd. Instalacja
# apt-get update # apt-get install vsftpd Konfiguracja
vsftpd pozwala nam na odpalenie wielu serwerów FTP jednocześnie na różnych portach, dzięki temu zyskujemy możliwość odpalenia serwera anonimowego osobno konfigurowalnego obok serwera produkcyjnego. Zmiana konfiguracji jednego lub wyłączenie nie zakłóci pracy drugiego. Postaram się przedstawić taką konfigurację w tym wpisie. Standardowy plik konfiguracyjny vsftpd znajduje się w /etc/vsftpd.conf . Od razu po instalacji znajdziemy w nim sporo już gotowych ustawień, jednak polecałbym wykasować jego zawartość i stworzyć go od nowa. Oto niektóre z najważniejszych opcji jakie możemy wykorzystać podczas budowania własnego configa. # Poziom z którego zostaje uruchomiony serwer nopriv_user= # Uruchamianie serwera w trybie standalone listen= # Określenie portu, na którym serwer ma nasłuchiwać (domyślnym jest port 21) listen_port= # Zabronienie na logowanie się użytkownikom anonimowym, domyślnie jest to YES anonymous_enable= # Zezwolenie na logowanie się użytkownikom lokalnym, domyślnie jest to NO local_enable= # Zezwolenie na zapis w katalogu użytkownika lokalnego write_enable= # Umask (w większości serwerów używany jest 022) local_umask= # Umask dotyczący anonimowych anon_umask=022 # limit szybkości podawany jest w bajtach na sekundę, jeśli jest ustawiony na 0 to brak jakiegokolwiek limitu. local_max_rate= # Włączenie logowania xferlog_enable=
# Ścieżka do pliku z logami xferlog_file=/var/log/vsftpd.log # Maksymalna liczba połączonych użytkowników max_clients= # Maksymalna liczba użytkowników mogących się połączyć z tego samego adresu IP max_per_ip= # Banner, który będzie wyświetlany podczas logowania. W jego stworzeniu może być pomocny program app-misc/figlet. banner_file=/etc/vsftpd/vsftpd.banner # Ograniczenie użytkownikom do poruszania się jedynie w obrębie katalogu domowego chroot_local_user= # Katalog dla chroot’a secure_chroot_dir=/var/chroot/vsftpd # Dodanie użytkowników, którzy mogą poruszać się poza katalogiem domowym chroot_list_enable=YES # Dodajemy użytkownika z przywilejami poruszania się poza katalogiem domowym np: # echo „użytkownik” >> /etc/vsftpd/chroot.list chroot_list_file=/etc/vsftpd/chroot.list # Serwer nie będzie pytał o hasło, podczas logowania na anonymous: no_anon_password= # Pozwalamy na download plików, które będą miały ustawione prawa do odczytu (readable): anon_world_readable_only= # Zabraniamy na upload plików: anon_upload_enable= # Ukrywamy prawdziwych użytkowników oraz grup dla plików lub katalogów # (vsftpd zamieni je na nazwy użytkownika odpowiedzialnego za anonimowy ftp): hide_ids= # Pozwala na tworzenie katalogów anon_mkdir_write_enable= # Pozwala na kasowanie i zmienianie nazw katalogów przez anonimowych anon_other_write_enable= # Pozwala ograniczyć transfer dla anonimowych anon_max_rate= # Maxymalny czas bezczynności idle_session_timeout=300 # Jeżeli jest ustawione na YES pozwala na ściąganie metodą ASCII ascii_download_enable= # Jeżeli jest ustawione na YES pozwala na wysyłanie metodą ASCII ascii_upload_enable=NO # Sam decydujesz czy mogą się łączyć Aktywnie czy Pasywnie connect_from_port_20=NO # Ustawione na NO zablokuje polecenia PORT i ustawi serwer w tryb pasywny (lepiej YES) port_enable=YES # Ustawione na YES loguje polecenia FTP wydawane przez użytkowników
log_ftp_protocol=NO # Pozwala ograniczyć możliwość wydawania komand do minimum(możemy zabronić ściągania, sprawdzania wielkości plików itp), pełna lista możliwość tutaj -> http://www.nsftools.com/tips/RawFTP.htm cmds_allowed= # Opcja ta pokazuje informację o procesie systemowym vsftpd, inaczej mówiąc pokazuje co dany użytkownik robi po połączeniu się z naszym serwerem setproctitle_enable=YES Uruchamianie
Jeżeli posiadamy tylko jeden plik konfiguracyjny to możemy po prostu wydać polecenie /etc/init.d/./vsftpd start Jeżeli posiadamy parę plików konfiguracyjnych to musimy każdy osobno załadować : vsftpd /etc/vsftpd.conf.annonymus vsftpd /etc/vsftpd.conf.normalny vsftpd /etc/vsftpd.conf.bartek
Uzupełnienie