Ściąganie kontrolowane

Jeżeli chcesz udostępniać duże pliki, przyznać użytkownikom zdalny dostęp do katalogów domowych czy ładować pliki HTML na serwer WWW, to w tym niezastąpiony jest serwer FTP.

Jeżeli chcesz udostępniać duże pliki, przyznać użytkownikom zdalny dostęp do katalogów domowych czy ładować pliki HTML na serwer WWW, to w tym niezastąpiony jest serwer FTP.

FTP to jedna z podstawowych i użytecznych usług internetowych. Serwery FTP można łatwo konfigurować i zarządzać nimi. Do najpopularniejszych linuksowych serwerów FTP należą: "wu-ftpd" i "ftpd", wywodzący się z systemu BSD. Pierwszy ma ogromne możliwości w zakresie konfiguracji. Jest bardzo wydajny, ale - jak wykazują statystyki wykrywanych błędów - niezbyt bezpieczny. Drugi jest mały, bardziej bezpieczny, ale o skromnych możliwościach. Kompromisem między nimi jest serwer "ProFTPD" (The Professional FTP Daemon). Oferuje on spore możliwości konfiguracyjne i jest - szczególnie jego najnowsze wersje - bardzo bezpieczny. Jest też (zwłaszcza dla osób znających serwer Apache) prosty w przypadku konfigurowania (podobny plik konfiguracyjny), a przy tym dobrze udokumentowany. ProFTPD nie jest standardowo dołączany do dystrybucji SuSE 7.0, ale znajdziesz go na drugiej płycie CD-ROM.

Zobacz również:

Po wykonaniu instalacji, należy dokonać konfiguracji serwera przez edycję jego pliku konfiguracyjnego /etc/proftpd.conf. Przede wszystkim trzeba zdecydować, czy serwer FTP będzie wolno stojący, tj. będzie przez cały czas nasłuchiwał połączeń na porcie:

ServerType standalone

Port 21

Czy ma być uruchamiany przez superserwer "inetd" po otrzymaniu żądania połączenia FTP z sieci:

ServerType inetd

Pierwszy sposób jest odpowiedni dla intensywnie używanych serwerów FTP: zmniejsza obciążenie systemu i opóźnienia związane z każdorazowym uruchamianiem ProFTPD przez inetd. Pozwala również na stworzenie bardziej zaawansowanych konfiguracji. Wadą jest to, że serwer musi być przez cały czas uruchomiony, a to powoduje, iż zajmuje on pamięć i czas procesora. Jeżeli serwer FTP będzie uruchamiany sporadycznie (np. będzie służył tylko do zmiany strony WWW), lepiej będzie zastosować drugie rozwiązanie. Wtedy do pliku "/etc/inetd.conf" trzeba dodać następujący wiersz (jeśli go tam nie ma):

ftp stream tcp nowait root /usr/sbin/tcpd proftpd

Instalacja serwera ProFTPD

Program znajduje się na drugiej płycie CD-ROM w katalogu "/admin/ftp". Składa się on z dwóch pakietów RPM: głównego programu, który należy zainstalować za pomocą polecenia: "rpm -i -force proftpd-core-xx.i386.rpm", oraz pliku konfiguracyjnego instalowanego przy użyciu polecenia: "rpm -i proftpd-inetd-xx.i386.rpm" (jeśli serwer jest uruchamiany przez "inetd") albo "rpm -i proftpd-standalone-xx.i386.rpm" (dla wersji wolno stojącej). Działanie serwera można wypróbować uruchamiając dowolnego klienta FTP i łącząc się z lokalnym hostem. Na płycie CD-ROM (w tym samym katalogu) jest zamieszczony program "Kproftpd", który jest graficznym narzędziem do przeprowadzenia podstawowego konfigurowania serwera, przeznaczonym dla środowiska KDE.

Dalszy opis dotyczy głównie konfiguracji serwera wolno stojącego. Najpierw zajmiemy się globalnymi ustawieniami. Warto przede wszystkim zadbać o odpowiednią nazwę serwera:

ServerName "Experimental FTP server"

DeferWelcome off

Drugi wiersz odblokowuje wysyłanie nazwy serwera FTP przed zalogowaniem się użytkownika. Jeżeli uważasz, że taka informacja zmniejsza bezpieczeństwo serwera, możesz ją zmienić na "on". Kolejne wiersze również mają związek z bezpieczeństwem:

ShowSymlinks on

AllowOverwrite on

TransferLog /var/log/xferlog

Umask 022 022

TimeoutLogin 60

TimeoutIdle 120

TimeoutNoTransfer 240

TimeoutStalled 240

MaxClients 100 "Sorry, the maximum number of users (100) reached"

MaxInstances 100

Podstawowe ustawienia serwera FTP w programie Kproftpd.Kliknij, aby powiększyćPodstawowe ustawienia serwera FTP w programie Kproftpd.Pierwszy wiersz powinien być oczywisty, pozwala bowiem na wykorzystanie symlinków (czyli odwołań symbolicznych zamiast prawdziwych katalogów). Drugi wiersz umożliwia załadowanie i zapisanie pliku, jeżeli istnieje już inny o tej samej nazwie (oczywiście użytkownik musi mieć prawo zapisu do tego pliku). Trzeci wiersz spowoduje, że informacje o wszystkich przesyłanych plikach zostaną zapisane w podanym pliku. Czwarty natomiast określa domyślny poziom praw dostępu (tzw. umask), najpierw dla plików, a później katalogów. Ta wartość zostanie "odjęta" od praw dostępu nowo zakładanych plików i katalogów, tzn. właściciel pliku będzie miał pełne prawa, zaś grupie i innym użytkownikom zostanie odebrane prawo do zapisu (nie dotyczy to już istniejących plików - tu trzeba samodzielnie zadbać o właściwe atrybuty). Parametr "Timeout Login" określa, po jakim czasie (w sekundach) użytkownik zostanie wylogowany. W tym przykładzie stanie się to w ciągu minuty, jeżeli w tym czasie po nawiązaniu połączenia nie nastąpi podanie nazwy użytkownika i hasła. Parametr "TimeoutIdle" definiuje czas zerwania połączenia, jeżeli użytkownik po zalogowaniu (tutaj przez 2 minuty) nie wyda żadnego polecenia, albo przez 4 nie rozpocznie transferu (parametr "TimeoutNoTransfer"), jak również, jeśli transfer się zatrzyma na 4 minuty ("TimeoutStalled"). Te limity (wraz z ostatnim, "MaxClients", pozwalającym na jednoczesne zalogowanie 100 użytkowników) zabezpieczają przed "zjadaniem" zasobów serwera przez "wiszące" i "martwe" sesje FTP.

Domyślnie, ProFTPD uruchamia się z prawami użytkownika i grupy "root". Bezpieczniej jest jednak ograniczyć jego przywileje (a co za tym idzie - możliwości włamywacza, wykorzystującego ewentualną dziurę w naszym serwerze FTP). Oto przykład bezpieczniejszej konfiguracji:

User nobody

Group nogroup

AllowFilter ".*/[a-zA-Z0-9 ]+$"

Wybraliśmy w tym przypadku standardowego użytkownika "nobody". Trzeba pamiętać, że nie może on mieć prawa zapisu do swojego katalogu domowego. Należy też zablokować możliwość logowania do systemu, a także nie można uruchamiać innego serwera (np. HTTP) z prawami tego samego użytkownika. ProFTPD jest zawsze uruchamiany najpierw z prawami roota (m.in. by otworzyć porty TCP), o później przejdzie na niższy poziom uprawnień. Ostatni wiersz zabezpiecza przed niektórymi rodzajami ataków. Ogranicza on zestaw znaków w poleceniach przesyłanych do serwera do liter, cyfr i spacji. Tego filtra należy używać ostrożnie, ponieważ dotyczy on całej komendy, łącznie z nazwą pliku! Uniemożliwi to pobranie plików o nazwach zawierających znaki specjalne.