Linux Programi

Posted on by Milan

pure-ftpd

pure-ftpd – A Lightweight, Fast, and Secure FTP Server

Pure-FTPd is a fast, production-quality, and standard-conforming FTP server, based-on Troll-FTPd. Unlike other popular FTP servers, it has no known security flaws, is trivial to set up, and is especially designed for modern Linux kernels (setfsuid and sendfile capabilities) . Features include: PAM support, IPv6, chroot()ed home directories, virtual domains, built-in LS, anti-warez system, bandwidth throttling, FXP, bounded ports for passive downloads, upload and download ratios, Apache log files, and more.

  • Instalirat sa suse dvd-ea
  • Kopirat (pure-ftpd.conf, pure-ftpd.passwd, pure-ftpd.pdb) (Download) u etc/pure-ftpd
  • U Yast/systemservice(runlevel) pokrenuti ga da starta zajedno sa linuxsom

Anleitung für die Einrichtung von pure-ftpd (FTP Server unter Suse Linux)

Zunächst installiert man mit Yast das pure-ftpd.rpm (von Suse9.1 DVD)

Dann legen wir mit Yast eine Gruppe Ftpuser an.

Yast —> Sicherheit und Benutzer—-> Gruppe bearbeiten und anlegen—->hinzufügen

Anschließend einen User ftpuser. (Namen könnt Ihr natürlich frei wählen)

Yast —> Sicherheit und Benutzer—-> Benutzer bearbeiten und anlegen—->hinzufügen

Der User ftpuser gehört nur der Gruppe Ftpuser an und hat keine weiteren Rechte. Er dient nur als Container für die virtuellen FTP-User.

Login Shell /bin/false !!!

Nun können wir Yast verlassen und uns um die Einrichtung des Servers kümmern.

Einrichtung des Servers

Bitte eine Konsole öffnen und sich zum root machen. su rootpasswort

Nun wird der virtuelle User gast hinzugefügt. (gast durch Usernamen Deiner Wahl ersetzen) Wichtig! Der Shareordner muss existent sein, es muss aber nicht das home des ftpusers sein !

root@linux # pure-pw useradd gast -u ftpuser -d /pfad/zu/Deinem/Shareordner/

Passwort vergeben und gut merken Smile

Anmerkung: Solltest Du oben den User ftpuser anderst genannt haben musst Du dies natürlich nun beim Anlegen der virtuellen User berücksichtigen. Also wäre der Befehl so:

root@linux # pure-pw useradd gast -u Dein angelegter FTP-User -d /pfad/zu/Deinem/Shareordner/

Anschließend muss das Passwort für den gerade angelegten User in der Datenbank gespeichert werden. Dazu folgendes eingeben.

root@linux # pure-pw mkdb root@linux # rcpure-ftpd restart

So nun darf der User gast mit dem von Euch gewähltem Passwort auf den Server zugreifen und zwar in den von Euch festgelegten Shareordner)

Nun wird es Zeit den Server mal zu starten Smile

root@linux # rcpure-ftpd start

Mal schauen ob das Dingen wirklich rennt.

root@linux # rcpure-ftpd status Checking for pure-ftpd: running

Sollte dies dann da stehen habt Ihr gewonnen Smile

Nun könnt Ihr einen Cron für den automatischen Start des FTP anlegen bzw. eine Verknüpfung auf dem Desktop um das Teil bei Bedarf zu starten.

Feineinstellungen

Dazu geht Ihr in das Verzeichniss /etc/pure-ftpd/ und ändert als root die Datei pure-ftpd.conf entsprechend Euren Vorstellungen ab. Hier eine Beispiel zum leichteren Verstehen.

Code:

#
  1. Konfigurationsdatei für Pure-FTPd
                                                                                                                        1.  
  3. Wenn Sie Pure-FTPd mit dieser Konfiguration starten möchten,
  4. anstelle der Kommandozeilenoptionen , geben Sie den
  5. Befehl
  6. /usr/sbin/pure-config.pl /etc/pure-ftpd.conf
  7. oder
  8. rcpure-ftpd start
  9. ein und der FTP- Server wird gestartet.
  10. mit rcpure-ftpd stop gestoppt und mit rcpure-ftpd restart
  11. neu gestartet
  12. Damit der FTP- Server automatisch beim Hochfahren startet,
  13. an der Konsole den Befehl
  14. chkconfig -a pure-ftpd
  15. ausführen.
  16. Vergessen Sie nicht, sich die Dokumentation auf
  17. http://www.pureftpd.org/documentation.html anzusehen.
  18. Dort finden Sie eine komplette Liste der Optionen.
  1. Jeder User wird direkt in sein Heimatverzeichnis geleitet

ChrootEveryone yes

  1. Wenn die vorherige Option auf "no" gesetzt ist, werden Mitglieder der
  2. folgenden Gruppe dort nicht "eingesperrt". Andere schon.
  3. Wenn Sie mit niemanden chroot vorhaben,
  4. ChrootEveryone und TrustedGID auskommentieren mit "#"
  5. Dieser Gruppen- ID wird "vertraut", d.h. User die dieser Gruppe angehoeren
  6. koennen z.B. wenn aktiviert Dotfiles bearbeiten. Nachteil dabei ist, dass die
  7. Quotas (Speicherplatzbeschraenkung) dann nicht mehr aktiv sind.
  8. TrustedGID 100
  1. Einschalten der Nichtkompatibilität für ruhende Clients

BrokenClientsCompatibility no

  1. Maximale Zahl von Clients die gleichzeitig zugreifen duerfen

MaxClientsNumber 10

  1. Pure-FTPd wird als Daemon gestartet

Daemonize yes

  1. Maximale Zahl von aehnlichen Clients mit der selben IP Addresse

MaxClientsPerIP 8

  1. Wenn Sie alle Client-Kommandos mitloggen wollen auf "yes" setzen.
  2. Diese Anweisung kann ausserdem dazu genutzt werden die Server-Antworten mitzuloggen.

VerboseLog no

  1. Zeigt dot-files an: yes|no, sebst wenn der Client nicht "-a" sendet.
  2. Dotfiles sind Dateien die mit einem Punkt beginnen.
  3. Beispiele : .ftpquota .htaccess .htpasswd

DisplayDotFiles no

  1. Erlaubt bei 'yes' keine authentifizierten Benutzer – nur oeffentlicher anonymer FTP.

AnonymousOnly no

  1. Verbietet anonyme Verbindungen. Erlaubt nur authentifizierte Benutzer.

NoAnonymous yes

  1. Syslog Einrichtung (auth, authpriv, daemon, ftp, security, user, local*)
  2. Die Vorgabe ist "ftp".

SyslogFacility ftp

  1. Glueckskekse anzeigen
  2. Hier habe ich den Pfad / web/fortune angegeben. In dieser Datei
  3. kann sich zum Beispiel die Begruessung beim Einloggen befinden.
  4. Mehrere Eintraege werden durch % gertennt.
  5. Beispiel:
  6. Hallo…
  7.  %
  8. Willkomen….
  9.  %
  10. blablabla

FortunesFile /web/fortune

  1. Hostnamen nicht in Logdateien aufloesen. Logs sind kleiner, aber
  2. benoetigen weniger Bandbreite. Auf "yes" setzen bei stark frequentierten
  3. Servern oder wenn Sie keinen DNS laufen haben.

DontResolve yes

  1. Maximale Leerlaufzeit in Minuten (Vorgabe = 15 Minuten)
  2. Nach dieser Zeit wird die Verbindung getrennt.

MaxIdleTime 15

  1. LDAP Konfigurationsdatei (siehe README.LDAP)
  2. LDAPConfigFile /etc/pureftp-ldap.conf
  1. PureDB Benutzerdatenbank (siehe README.Virtual-Users)
  2. Wer keine virtuellen User einrichten möchte, sollte ein "#" davorsetzen.
  3. Auf die Konfiguration von virtuellen Usern gehe ich
  4. nach der Serverkonfiguration ein.
  5. Achtung !
  6. Ab der Version 8.1 (SuSE) fehlt dieser Eintrag in der Konfigurationsdatei.
  7. Er muss, sofern man virtual users nutzen will, nachgetragen werden.

PureDB /etc/pureftpd.pdb

  1. Pfad zu pure-authd socket (siehe README.Authentication-Modules)
  2. ExtAuth /var/run/ftpd.sock
  1. Wenn Sie PAM Authentifizierung aktivieren wollen, "#" vor der folgenden
  2. Zeile entfernen
  3. PAMAuthentication yes
  1. Wenn Sie einfache Unix (/etc/passwd) Authentifizierung aktivieren wollen,
  2. "#" vor der folgenden Zeile entfernen
  3. Hier werden die User anhand der /etc/passwd und etc/shadow identifiziert,
  4. also die dem System bekannten User.

UnixAuthentication yes

  1. Bitte beachten Sie: LDAPConfigFile, MySQLConfigFile, PAMAuthentication und
  2. UnixAuthentication könne alein fuer sich und kombiniert genutzt werden.
  3. Zum Beispiel: Wenn Sie MySQLConfigdatei, dann UnixAuthentication benutzen,
  4. wird der SQL-Server gefragt. Wenn die SQL Authentifizierung fehlschlägt,weil der
  5. Benutzer nicht gefunden wurde, wird ein neuer Versuch mit /etc/passwd und
  6. /etc/shadow gestartet. Wenn die SQL Authentifizierung fehlschlägt,weil
  7. das Passwort falsch ist, wird die Authentifizierungskette hier gestoppt.
  8. Authentifizierungsmethoden laufen in der Reihenfolge ab, in der sie
  9. vergeben wurden.
  1. 'ls' Recursionslimit. Das erste Argument ist diemaximale Zahl von
  2. Dateien, die angezeigt werden. Das Zweite ist die maximale
  3. Unterverzeichnistiefe

LimitRecursion 2000 10

  1. Ist es anonymen Benutzern erlaubt neue Verzeichnisse anzulegen?

AnonymousCanCreateDirs no

  1. Wenn im System mehr geladen wird als der folgende Wert,ist
  2. anonymen Benutzern ist kein download erlaubt.

MaxLoad

  1. Portbereich fuer passive Verbindungen. – fuer firewalling.
  2. PassivePortRange 30000 5000

 

# IP Addresse dazu bringen in PASV/EPSV/SPSV zu antworten. - fuer NAT.
  1. ForcePassiveIP 192.168.0.
  1. Upload/download Verhaeltnis für anonyme Benutzer.
  2. AnonymousRatio 1 10
  1. Upload/download Verhaeltnis fuer alle Benutzer.
  2. Diese Anweisung uebertrumpft die Vorherige.
  3. UserRatio 1 10
  1. Verbietet downloading von Dateien die im "Besitz" von z.B. "ftp" sind,
  2. Dateien die hochgeladen sind, aber nicht bestätigt durch den lokalen Admin.

AntiWarez yes

  1. IP Addresse/Port horcht nach (Vorgabe=alle IP und Port 21).
  2. Bind 127.0.0.1,21
  1. Maximale Bandbreite fuer anonyme Benutzer in Kb/s
  2. AnonymousBandwidth 8
  1. Maximale Bandbreite fuer *alle* Benutzer (inklusiv anonymous) in Kb/s
  2. Benutzen Sie AnonymousBandwidth *oder* UserBandwidth, beides ergibt keinen Sinn.
  3. UserBandwidth 8
  1. Dateierzeugungsmaske. <umask fuer Dateien>:<umask fuer Verzeichnisse> .
  2. 177:077 wenn Sie aengstlich sind.
  3. Umask ist das Gegenstück zu chmod. Nehme ich den höchsten chmod Wert
  4. also 777 und ziehe davon den umask Wert ab, so ist das Ergebnis die
  5. gesetzten Dateiattribute.
  6. In diesem Beispiel: 777 ? 022 = 755 . Der chmod Wert fuer die Verzeichnisse
  7. ist also 755. Erster Wert fuer Dateien zweiter Wert nach dem Doppelpunkt
  8. fuer Verzeichnisse

Umask 022:022

  1. Minimum UserID fuer einen authentifizierten Benutzer zum einloggen.
  2. Mininal User- ID zum Login User- ID?s unter 100 sind nicht zugelassen.
  3. Das sind die Systemuser z.B. root hat die User- ID 0

MinUID 100

  1. Erlaubt FXP Uebertragungen nur für authentifizierte Benutzer.
  2. FXP ist eine Art FTP aber von Server zu Server

AllowUserFXP no

  1. Erlaubt anonymes FXP fuer anonyme und nicht-anonyme Bentzer.

AllowAnonymousFXP no

  1. Verbietet Benutzern Dateien, die mit einem Punkt beginnen, löschen/schreiben,
  2. selbst wenn sie Besitzer sind. Wenn aber TrustedGID aktiviert ist,
  3. hat diese Gruppe Zugriff zu dot-files.

ProhibitDotFilesWrite no

  1. Verbietet *lesen* von Dateien, die mit einem Punkt beginnen (.history, .ssh…)

ProhibitDotFilesRead no

  1. Nie Dateien ueberschreiben. Wenn eine Datei, die mit gleichem
  2. Namen bereits auf dem Server existiert hochgeladen wird,
  3. wird sie automatisch in datei.1, datei.2, datei.3, … umbenannt

AutoRename no

  1. Verbietet anonymen Benutzern das Hochladen neuer Dateien (no = hochladen ist erlaubt)

AnonymousCantUpload no

  1. Nur nicht-anonyme Verbindungen mit dieser speziellen IP Addresse sind zugelassen.
  2. Sie koennen diese Anweisung nutzen, um verschieden oeffentlichen IPs Zugang zu gewaehren
  3. fuer anonymen FTP, und eine private firewalled IP fuer Fernadministration zu unterhalten.
  4. Sie koennen auch nur erlauben eine nicht-routfaehige lokale IP (wie 10.x.x.x) zu
  5. authentifizieren, und einen oeffentlichen und nur FTP server auf einer anderen IP unterhalten.
  6. TrustedIP 10.1.1.1
  1. Wenn Sie die Prozess-ID zu jder Log-Zeile hinzufügen möchten, "#" vor der naechsten Zeile
  2. entfernen.
  3. LogPID yes # Eine zusaetzliche Log-Datei erzeugen mit transferlogging in einem apacheaehnlichen Format:
  4. fw.c9x.org – jedi [13/Dec/1975:19:36:39] "GET /ftp/linux.tar.bz2" 200 21809338
  5. Diese Log-Datei kann dann über's www mit traffic analyzern ausgewertet werden.
  6. AltLog clf:/var/log/pureftpd.log
  1. Eine zusaetzliche Log-Datei erzeugen mit transferlogging in einem für Format, das optimiert
  2. ist fuer Statistikberichte und mit ftpStats ausgewertet werden kann.
  3. (http://www.shagged.org/ftpstats) .
  4. AltLog stats:/var/log/pureftpd.log
  1. Eine zusaetzliche Log-Datei erzeugen mit transferlogging im W3C Standardformat
  2. (kompatible mit den meissten kommerziellen Loganalyzern)
  3. AltLog w3c:/var/log/pureftpd.log
  1. Verbietet das CHMOD Kommando. Benutzer können die Dateiattribute nicht aendern.
  2. (Aenderungen erlaubt=no)

NoChmod no

  1. Erlaubt Benutzer das betrachten und hochladen und runterladen von Dateien,
  2. aber *NICHT* zu loeschen.(löschen erlaubt=no)

KeepAllFiles no

  1. Pure-FTPd erstellt automatisch Heimatverzeichnisse wenn sie fehlen.

CreateHomeDir yes

  1. Aktivieren von virtuellen quotas. Die erste Zahl ist die max. Anzahl von Dateien.
  2. Die zweite Zahl die max. Groesse im Megabyte.
  3. 1000:10 begrenzt jeden Benutzer auf 1000 Dateien und 10 MB.

Quota 1000:100

  1. Wenn Ihr pure-ftpd mit stand-alone support kompiliert wurde, koennen
  2. Sie den Ort der PID-Datei aendern
  3. Die Vorgabe ist /var/run/pure-ftpd.pid

PIDFile /var/run/pure-ftpd.pid

  1. Wenn Ihr pure-ftpd mit pure-uploadscript support kompiliert wurde,
  2. bringt dies pure-ftpd dazu, Info's ueber neue Uploads nach zu schreiben
  3. /var/run/pure-ftpd.upload.pipe zu schreiben.So kann pure-uploadscript
  4. es lesen und ein Script zum Handhaben der uploads erzeugen.
  5. CallUploadScript yes
  1. Diese Option ist nuetzlich bei Servern, bei denen anonymes upload
  2. erlaubt ist. Wie /var/ftp z.B. in /var, es sichtert etwas Platz und
  3. schuetzt die Log-Dateien. Wenn im Verzeichnis X Prozent belegt ist,
  4. sind neue uploads sind nicht erlaubt.

MaxDiskUsage 90

  1. Auf 'yes' sezten, wenn Sie Ihren Usern das Umbenennen von Dateien
  2. nicht erlauben wollen.

NoRename no

  1. 'customer proof' : Schutz gegen allgemeine Benutzerfehler wie
  2. 'chmod 0 public_html', dies ist zwar gueltig, aber es könnte bei unkundigen
  3. Benutzern dazu führen, dass sie ihre Dateien selbst sperren, und dann
  4. Ihren technischen Support mit dummen Fragen beschaeftigen.
  5. wenn Sie sicher sind, dass alle Ihre Benutzer etwas Unix-Basiswissen haben
  6. ist diese Eigenschaft nutzlos. Sind Sie ein Hosting Service, aktivieren.

CustomerProof yes

  1. Fuer gleichzige Nutzer Zugriffsbeschraenkungen. Es wird nur funktionieren,
  2. wenn der FTP Server mit -peruserlimits kompiliert wurde (bei den meissten
  3. binaer Distributionen ist dies der Fall) .
  4. Das Format ist : <max.Sitzungen je Benutzer>:<max. anonyme Sitzungen>
  5. Zum Beispiel: 3:20 bedeutet,dass der selbe authentifizierte Benutzer
  6. maximal 3 aktive Sitzungen haben kann
  7. und maximal 20 anonyme Sitzungen sind erlaubt.
  8. PerUserLimits 3:20

 

  1. In der Version 1.0.16-38 (SuSE Linux 9.0) kommt folgender Parameter hinzu:
  2. Diese Option akzeptiert drei Werte :
  3. 0 : SSL/TLS Verschluesselungsschicht abgeschaltet (default).
  4. 1 : akzeptiert beite traditionelle und verschluesselte Sitzungen.
  5. 2 : lehnt Verbindungen die nicht den SSL/TLS Sicherheitsmechanismus nutzen ab,
  6. inklusiv anonymer Sitzungen.
  7. Nicht blind aktivieren. Seien Sie sicher, dass :
  8. 1) Ihr Server mit SSL/TLS Unterstuetzung kompiliert wurde (–with-tls),
  9. 2) Ein gueltiges Zertifikat vorhanden ist,
  10. 3) Nur kombatible Clients sich einloggen werden.
  11. TLS 1

 

Anschliessend einen gepflegten Restart des Servers nicht vergessen Smile

Weiteres

Ihr wollt ein Verzeichniss ändern? Kein Problem! (gast wieder durch den jeweiligen Usernamen ersetzen)

root@linux # pure-pw usermod gast -d /neues/verzeichniss/ root@linux # pure-pw mkdb root@linux # rcpure-ftpd restart

Server Status abfragen:

root@linux # rcpure-ftpd status Checking for pure-ftpd: running

Einen neuen User hinzufügen:

root@linux # pure-pw useradd neueruser -u ftpuser -d /pfad/zu/seinem/Shareordner/ root@linux # pure-pw mkdb root@linux # rcpure-ftpd restart

Schon kann sich der neu erstellte User mit seinem Usernamen und dem von Euch vergebenen Passwort einloggen.

Abschliessend sei noch angemerkt das es für Webmin ein Modul gibt, mit dem Ihr den FTP gut überwachen könnt. Vergesst auch nicht in Eurer Firewall den Port 21 freizugeben.

So das wars ich hoffe Ihr kommt dank dieser Anleitung in den Genuss einen FTP- Server zu betreiben.
 

Linux
Pages: 1 2 3 4 5 6