pikolo
Instalację serwera FTP zaczynamy od pobrania pakietu vsftpd. Pakiet ten zawiera serwer FTP dla systemów uniksowych. Zapewnia obsługę standardowego protokołu FTP jak i jego zabezpieczonej wersji FTPS a dodatkowo również ma wsparcie dla IPv6.
Po wydaniu komendy: apt-get install vsftpd następuje proces instalacji serwera FTP.
Serwer uruchamiamy poleceniem: sudo service vsftpd start a działanie (nasłuchiwanie) możemy sprawdzić za pomocą komendy: netstat -a | grep ftp Jak widać poniżej serwer został uruchomiony i czeka na połączenia.
Aby sprawdzić działanie serwera możemy spróbować połączyć się za pomocą poświadczeń konta, które mamy już w systemie utworzone. Poniżej udało się nawiązać połączenie z wykorzystaniem wcześniej założonego konta luk, dostęp do katalogu domowego poprzez FTP jest możliwy.
Aby założyć nowe konto możemy do tego celu wykorzystać panel Konta użytkowników dostępny poprzez Ustawienia systemu.
Konto (użytkownik john) tworzymy poprzez kliknięcie w prawym górnym oknie na opcję Odblokuj i po podaniu hasła poprzez przycisk plus (+) mamy możliwość dodania nowego użytkownika. Hasło ustalamy poprzez kliknięcie na pole Hasło
Po utworzeniu w ten sposób nowego konta z wykorzystaniem skonfigurowanych poświadczeń będziemy mogli uzyskać dostęp do katalogu domowego poprzez serwer FTP.
Po zalogowaniu się na serwerze FTP do dyspozycji mamy tylko operacje: przeglądania katalogów oraz kopiowania plików z serwera na host lokalny. Zabronione jest możliwość wysyłania plików. Poniżej przykład utworzenia katalogu test (polecenie: mkdir test), wydanie polecenia kończy się niepowodzeniem.
Natomiast operacja w drugą stronę jest jak najbardziej możliwa. Aby skopiować plik z serwera za pomocą polecenia: lcd <katalog_lokalny> ustawiamy lokalizację (folder) do której mają zostać przekopiowane pliki a następnie przy użyciu komendy: get <nazwa_pliku> wskazujemy na plik, który ma zostać skopiowany. Możliwe jest również użycie polecenia: mget <plik1> <plik2> <itd.> gdy chcemy przetransferować większa liczbę plików. W poniższym przykładzie z serwera został skopiowany plik 1.pdf do lokalizacji /home/luk/Pulpit
Domyślna zmiana ustawień serwera następuje poprzez edycję pliku vsftpd.conf zapisanego w katalogu /etc
Pierwszą czynnością jaką wykonamy będzie danie użytkownikom możliwości zapisu. Po otwarciu pliku vsftpd.conf (np. vi /etc/vsftpd.conf lub nano vi /etc/vsftpd.conf ) należy odszukać linię: write_enable=YES i z początku linii usunąć znak komentarza: #
Po wprowadzeniu zmian i zapisie pliku będzie dana możliwość wysyłania danych na serwer FTP. Lecz by wprowadzone przez nas zmiany doszły do skutku serwer FTP należy za pomocą polecenia: sudo service vsftpd restart zrestartować.
Po wykonaniu restartu i ponownym zalogowaniu się spróbujmy utworzyć katalog test. Jak widać poniżej bez żadnych przeszkód udało nam się wykonać tę operację.
Tworzenie katalogu następuje po wydaniu polecenia: mkdir <nazwa_katalogu> natomiast kasowanie odbywa się przy użyciu komendy: rmdir <nazwa_katalogu>
Sprawdźmy jeszcze jak odbywa się proces przesyłu pliku. Po poprawnym zalogowaniu się i po przejściu do katalogu test (polecenie: cd test) następuje ustawienie katalogu roboczego (polecenie: lcd) i przy użyciu komend: put <nazwa_pliku> bądź opcjonalnie send <nazwa_pliku> pliki 1.pdf oraz 2.pdf zostają wysłane na serwer.
W przypadku użycia polecenia put możliwe jest zapisanie pliku pod zmienioną nazwą: put <plik_kopiowany> <nowa_nazwa_pliku> Aby wysłać wiele plików należy do tego celu użyć polecenia: mput <plik1> <plik2> <itd.> Kasowanie plików odbywa się z wykorzystaniem polecenia: delete <nazwa_pliku> i tradycyjnie już gdy chcemy skasować wiele plików należy posłużyć się poleceniem: mdelete <plik1> <plik2> <itd.>
Do rozwiązania ewentualnych problemów oraz do kontroli kto, kiedy łączył się z naszym serwerem FTP może posłużyć nam log programu vsftpd. Oprócz wspomnianych informacji log dostarcza nam również dane o plikach, które zostały pobrane lub wgrane na nasz serwer. Log dostępny jest w lokalizacji: /var/log/vsftpd.log
Do naszego serwera dostęp mogą mieć użytkownicy anonimowi, którzy nie mają założonego konta w systemie. Wystarczy, że w pliku vsftpd.conf włączymy takowy dostęp za pomocą polecenia: anonymous_enable=YES
Domyślnym katalogiem dla użytkowników domowych jest folder /srv/ftp aby zmienić tę lokalizację należy dodać linię: anon_root=<lokalizacja> np. anon_root=/pub/ftp
Po zresetowaniu serwera dostęp dla użytkownika anonimowego powinien być dostępny.
Podstawowe pojęcia mamy omówione spróbujmy więc wykonać trochę bardziej zaawansowane zadanie a mianowicie założenia zadania są następujące:
-
-
- mamy dwie grupy użytkowników: marketing i reklama
- do grupy marketing należy użytkownik jan.kowalski a do grupy reklama użytkownik tadeusz.nowak
- na serwerze FTP znajdują się trzy katalogi: rekfol, marfol, i wszyscy. Do katalogu rekfol dostęp mają tylko członkowie grupy reklama (zapis i odczyt), do katalogu marfol dostęp mają tylko członkowie grupy marketing (zapis i odczyt) natomiast do folderu wszyscy członkowie obu grup.
-
Zadanie zaczniemy od utworzenia katalogów rekfol oraz marfol.
Następnie utworzymy dwie grupy: marketing i reklama. Grupę można stworzyć za pomocą komendy: groupadd <nazwa_grupy>
A następnie tworzymy konta użytkowników. Do utworzenia konta użytkownika wykorzystujemy polecenie useradd W poleceniu zostały użyte dodatkowe flagi a mianowicie:
-g – dodanie użytkownika do grupy,
-d – przypisanie użytkownikowi katalogu domowego,
-s – ustawienie powłoki systemowej.
Do utworzonych w poprzednim kroku kont definiujemy hasła. Do przypisania hasła użytkownikowi służy polecenie: passwd <nazwa_użytkownika>
Spróbujmy się zalogować. Jak widać poniżej nie udało się zalogować z poświadczeniami użytkownika jan.kowalski
By logowanie stało się możliwe i dostęp do powłoki został uzyskany musimy do pliku /etc/shells dodać linię: /usr/sbin/nologin gdyż taką ścieżkę podaliśmy przy poleceniu utworzenia konta użytkownika.
Po wprowadzonych zmianach dostęp do serwera FTP jest możliwy ale jak widać poniżej niemożliwe jest kopiowanie plików. Wydana komenda: put 1.pdf nakazująca wysłanie pliku kończy się niepowodzeniem.
Kopiowanie plików jest niemożliwe (lokacja /ftp) gdyż nie mamy przyznanych praw zapisu do katalogów w których pliki te mają zostać zapisane. Katalog został utworzony z poziomu użytkownika root i tylko on ma możliwość dokonania zapisu my tylko mamy prawo do odczytu i wykonania (zapis r-x, trzy ostatnie symbole). Zapis drwxr-xr-x oznacza że:
drwxr-xr-x – do czynienia mamy z katalogiem,
drwxr-xr-x – trzy pierwsze symbole oznaczają prawa użytkownika w tym przypadku odnoszą się do użytkownika root, symbol: r (ang. read) oznacza prawo do czytania, symbol: w (ang. write) prawo do zapisu zaś symbol: x (ang. execute) prawo do wykonania,
drwxr-xr-x – kolejne trzy symbole odnoszą się do praw grupy; grupa root prawo do czytania i prawo do wykonania,
drwxr-xr-x – ostatnie symbole odzwierciedlają prawa pozostałych grup czyli w naszym przypadku prawo do czytania i prawo do wykonania.
Zalogowany użytkownik jan.kowalski należy do grupy marketing więc jego prawa zawarte są w zapisie: drwxr-xr-x (grupy pozostałe) i jak widać dla grup tych prawo zapisu nie zostało przyznane.
Odmowa zapisu dotyczy również katalogów marfol i rekfol.
Aby osiągnąć nasz cel musimy zmienić właściciela utworzonych katalogów gdyż katalogi te są przypisane grupie root.
Zgodnie z scenariuszem folder rekfol przypiszemy grupie reklama zaś folder marfol grupie marketing. Zmieńmy więc właścicieli katalogów. Zmiana właściciela katalogu odbywa się za pomocą polecenia: chown <użytkownik>:<grupa_nowa> <katalog>
Po wydaniu komendy chown właścicielem katalogu marfol staje się grupa marketing zaś właścicielem folderu rekfol jest grupa reklama.
Po zmianie właściciela katalogów trzeba jeszcze grupie przyznać prawo zapisu. Do zmiany praw (dodanie bądź odjęcie) wykorzystujemy polecenie: chmod <prawa> <folder> Zostało wydane polecenie chmod z flagą 775 ponieważ liczba ta oznacza:
7 – prawa użytkownika – prawo do odczytu wartość: 4 + prawo do zapisu wartość: 2 + prawo do wykonania wartość: 1 co po zsumowaniu daje nam liczbę 7,
7 – prawa grupy – ten sam zestaw praw co powyżej,
5 – prawa dla pozostałych - prawo do odczytu wartość: 4 + prawo do zapisu nie zostaje przyznane wartość: 0 + prawo do wykonania wartość: 1 co po zsumowaniu daje nam liczbę 5.
Po wydaniu komendy: ls -l możemy sprawdzić stan nadanych uprawnień
Tak więc sprawdźmy jak teraz wygląda efekt przeprowadzonych przez nas operacji. Czy skonfigurowani przez nas użytkownicy mogą wykonać zdefiniowane przez nas czynności.
Na pierwszy ogień weźmiemy użytkownika jan.kowalski
Po nawiązaniu sesji FTP (pkt. 1) następuje ustawienie katalogu roboczego na folder /home/luk/Pulpit (pkt. 2) i następnie przejście do folderu marfol (pkt. 3) Do lokalizacji tej zostaje wysłany plik 1.pdf (pkt. 4) a operacja ta kończy się sukcesem (pkt. 5). W następnej kolejności przechodzimy do katalogu rekfol (pkt. 6) i tu ponownie następuje próba skopiowania pliku 1.pdf lecz tym razem próba ta kończy się niepowodzeniem (pkt. 7).
Czyli przeprowadzona konfiguracja spełnia założenia naszego scenariusza. Użytkownik jan.kowalski jako członek grupy marketing w swoim folderze może wykonać zapis lecz w folderze rekfol który należy do grupy reklama operacja zapisu jest zablokowana.
W przypadku użytkownika tadeusz.nowak mamy do czynienia z sytuacją odwrotną. Użytkownik ten jako członek grupy reklama nie może wykonać operacji zapisu do folderu marfol (pkt. 1) gdyż nie jest członkiem grupy marketing natomiast do folderu rekfol tak (pkt. 2) gdyż pozwala mu na to przynależność do grupy reklama.
Efekt naszych prób możemy również zaobserwować przeglądając log serwera.
Jakbyśmy chcieli np. zablokować dostęp do katalogu danej grupy należy tylko odpowiednio dobrać uprawnienia do katalogu. Teraz członek grupy reklama może prowadzić zapis do katalogu rekfol natomiast odmowa następuje w przypadku folderu marfol. Aby zablokować wejście użytkownikowi grupy reklama do folderu marfol należącego do grupy marketing na folder ten należy nałożyć uprawnienie 770
Ostatnim zadaniem, które na nas czeka jest danie uprawnienia obu grupom do prowadzenia zapisu w wspólnym folderze wszyscy. Zaczniemy od utworzenia katalogu wszyscy i utworzenia nowej grupy razem.
Kolejnym naszym krokiem będzie do nowo utworzonej grupy dodanie użytkowników jan.kowalski oraz tadeusz.nowak. Dodanie do grupy realizujemy za pomocą polecenia usermod z opcją G Gdybyśmy popełnili błąd za pomocą polecenia: deluser <użytkownik> <grupa> możemy danego użytkownika wykluczyć z grupy. Aby sprawdzić prawidłowość dodania użytkownika do grupy wykorzystaj polecenie: groups <użytkownik>
Po wykonaniu operacji oba konta będą należeć do swoich grup podstawowych a zarazem do wspólnej grupy razem.
Aby zapis był możliwy musimy zmienić właściciela katalogu wszyscy. Nowym właścicielem katalogu staje się grupa razem (polecenie: chown)
Ostatnią czynnością jest ustalenie uprawnień do katalogu. Zostaje nadane uprawnienie 770 - użytkownik root może wykonać wszystkie operacje, członek grupy razem może wykonać wszystkie operacje natomiast pozostali nie mogą zrobić nic.
Po dokonaniu konfiguracji sprawdźmy efekt naszych działań. Użytkownik jan.kowalski uzyskuje dostęp do serwera (pkt.1). Próba zapisu pliku 2.pdf do katalogu marfol, kończy się sukcesem (pkt.2), zapis do katalogu rekfol kończy się niepowodzeniem (pkt.3) natomiast zapis do folderu wszyscy zgodnie z oczekiwaniami jest możliwy (pkt.4).
Tak więc osiągnęliśmy nasz cel. Zadanie zostało wykonane.
Jak wiadomo protokół FTP do zbyt bezpiecznych nie należy gdyż dane uwierzytelniające (login i hasło) są przesyłane tekstem otwartym. Spróbujmy więc podnieść poziom bezpieczeństwa i spróbujmy skonfigurować nasz serwer aby korzystał z szyfrowania.
Naszym zadaniem będzie uruchomienie serwera FTPS (znany także jako FTP Secure i FTP-SSL) czyli serwera FTP który to umożliwia wsparcie dla szyfrowanych protokołów Transport Layer Security (TLS) oraz Secure Sockets Layer (SSL).
Zaczniemy od utworzenia certyfikatu SSL, który to w kolejnym kroku powiążemy z vsftpd. Aby utworzyć certyfikat CA skorzystamy z polecenia: openssl req -x509 -nodes -days 365 -newkey rsa:1024 -keyout /etc/ssl/private/vsftpd.pem -out /etc/ssl/private/vsftpd.pem
Po wydaniu polecenia możemy odpowiedzieć na pojawiające się pytania (dane wystawcy certyfikatu) lub pola pozostawić puste zatwierdzając każde pytanie enterem.
Po poprawnym utworzeniu certyfikatu czas by wygenerowane pliki powiązać z naszym serwerem FTP.
Aby skonfigurować serwer do korzystania z bezpiecznego połączenia w pierwszej kolejności dodajemy do pliku vsftpd.conf wpisy wskazujące na lokalizację klucza oraz certyfikatu utworzonego przez narzędzie openssl. Dodajemy wpisy: rsa_cert_file=/etc/ssl/private/vsftpd.pem oraz rsa_private_key_file=/etc/ssl/private/vsftpd.pem
W kolejnym kroku włączamy korzystanie z SSL:
ssl_enable=YES
allow_anon_ssl=NO
force_local_data_ssl=YES
force_local_logins_ssl=YES
Umieszczenie tych wpisów w pliku vsftpd.conf spowoduje, że łączność z naszym serwerem będzie mogła odbywać się tylko z wykorzystaniem protokołu SSL. Gdy chcemy użytkownikowi dać wybór i pozostawić mu możliwość nawiązania połączenia w tradycyjny sposób parametry force_local_data_ssl oraz force_local_logins_ssl zamieniamy na NO
Za pomocą wpisów poniżej określamy preferencję używanej wersji protokołu:
ssl_tlsv1=YES
ssl_sslv2=NO
ssl_sslv3=NO
i na koniec do naszego pliku dodajemy jeszcze dwa wpisy:
require_ssl_reuse=NO
ssl_ciphers=HIGH
Po tak przeprowadzonej konfiguracji powinno nam się udać połączyć z naszym serwerem z wykorzystaniem protokołu SSL. Przy pierwszym połączeniu będziemy proszeni o zaakceptowanie certyfikatu, reszta czynności przebiega identycznie jak w przypadku korzystania z tradycyjnej wersji FTP.
Poniżej argument, który powinien przekonać cię Czytelniku, że jednak warto zdecydować się na wdrożenie wersji zabezpieczonej naszego serwera. Na dwóch zrzutach poniżej przedstawiam screeny z przechwyconych sesji nawiązywania połączenia z serwerem FTP. Pierwszy screen dotyczy tradycyjnego serwera FTP (bez SSL) natomiast drugi jego bezpieczniejszej odmiany.
Wersja tradycyjna
oraz wersja z wdrożonym szyfrowaniem
Analiza zrzutów mam nadzieje, że mówi sama za siebie (jak prosto jest odczytać login i hasło podłączającego się użytkownika).
Poniżej prezentuję jeszcze krótki opis wpisów zawartych w pliku /etc/vsftpd.conf odpowiedzialnych za konfigurację serwera FTP.
Opcje:
nopriv_user= - określa poziom z którego zostaje uruchomiony serwer
listen= - uruchomienie serwera
listen_port= - określenie portu nasłuchiwania, można zmienić domyślny port 21 wykorzystywany przez większość serwerów FTP na dowolny. Przy zmianie tego parametru należy pamiętać, że w trakcie nawiązywania połączenia trzeba w adresie serwera do tego portu nawiązać np. mojserwer.pl:<numer_portu>
ascii_download_enable= - włączenie metody ASCI, pobieranie plików,
ascii_upload_enable= - włączenie metody ASCI, wysyłanie plików,
connect_from_port_20= - włączenie trybu aktywnego (YES) bądź pasywnego (NO),
port_enable= - wpisanie YES aktywuje tryb pasywny,
local_enable= - włączenie możliwości połączenia dla użytkowników lokalnych
write_enable= - włączenie możliwości zapisu dla połączeń nawiązywanych przez użytkowników lokalnych
local_umask= - umask (domyślnie 022) tzw. maska użytkownika bądź maska uprawnień. Czyli zestaw wartości, który jest wykorzystywany do przypisania uprawnień dla nowych plików
anon_umask= - maska dotycząca użytkowników anonimowych
no_anon_password= - pytanie o hasło, dotyczy użytkownika anonimowego,
anon_world_readable_only= - włączenie możliwości pobierania plików, atrybut pliku musi być ustawiony na read, dotyczy użytkownika anonimowego,
anon_upload_enable= - włączenie możliwości zapisu plików na serwerze, dotyczy użytkownika anonimowego,
anon_mkdir_write_enable= - włączenie możliwości tworzenia nowych katalogów, dotyczy użytkownika anonimowego,
anon_other_write_enable= - włączenie kasowana katalogów, lub zmiany ich nazwy, dotyczy użytkownika anonimowego,
anon_max_rate= - limit prędkości, jednostka bajty na sekundę, zapis 0 oznacza prędkość maksymalną, dotyczy użytkownika anonimowego,
local_max_rate= - limit prędkości, jednostka bajty na sekundę, zapis 0 oznacza prędkość maksymalną
xferlog_enable= - włączenie logowania,
xferlog_file=/var/log/vsftpd.log - ścieżka do pliku loga,
log_ftp_protocol= - włączenie zapisu loga odnośnie poleceń wydawanych przez użytkowników,
max_clients= - maksymalna liczba jedoczesnych połączeń,
max_per_ip= - maksymalna liczba jedoczesnych połączeń w zależności od adresu IP,
banner_file=/etc/vsftpd/vsftpd.banner - ścieżka do pliku definiującego banner, który wyświetlany jest podczas łączenia się z serwerem,
ftpd_banner= - definicja tekstu bannera, który wyświetlany jest podczas łączenia się z serwerem,
idle_session_timeout= - czas bezczynności, jednostka sekundy,
chroot_local_user= - definicja pozwolenia poruszania się po całej strukturze plików serwera FTP. Domyślnie użytkownik łączy się z swoim katalogiem domowym, poprzez to ustawienie możemy znieść to ograniczenia. Poniżej przykład w którym użytkownik luk może przejść do katalogu głównego systemu Linux.
chroot_list_enable= - stosowane gdy chcemy zdefiniować listę uprawnionych użytkowników, którzy mogą poruszać się poza obrębem swojego katalogu domowego. Listę użytkowników tworzymy bp. w pliku /etc/vsftpd/chroot.list dodając ścieżkę do pliku w definicji chroot_list_file=<ścieżka_do_pliku>
Opcji konfigurujących nasz serwer jest znacznie więcej, przedstawiłem te które konfiguruje się najczęściej. Jeśli Czytelniku nie znalazłeś tych, które są Ci potrzebne odsyłam do bibliografii.
I na tym chciałbym zakończyć myślę, że po lekturze tego wpisu nie będzie już problemu by serwer FTP postawić w własnym zakresie. Gdyby coś jednak było nie jasne zapraszam do oglądnięcia filmiku w którym pokazałem wszystkie czynności opisane w tym artykule.
Bibliografia:
https://security.appspot.com/vsftpd/vsftpd_conf.html
http://retheesh.blogspot.com/2009/09/change-vsftpd-anonymous-login-default.html
https://bbs.archlinux.org/viewtopic.php?id=140802
http://www.krizna.com/ubuntu/setup-ftp-server-on-ubuntu-14-04-vsftpd/
https://www.youtube.com/watch?v=SiiFFy1M4jU
http://www.wikihow.com/Set-up-an-FTP-Server-in-Ubuntu-Linux
Komentarze