Bezpečný FTP server: glFTPd

Vytvořit FTP server není nic těžkého a pro Linux máme dostatek možností. Pro možnost FTP přenosu zabezpečeného pomocí SSL zkuste glFTPd.

Obecně

Soubory mezi PC je možno přenášet různými způsoby. Z prostředí Windows je snad nejznámější sdílení souborů a tiskáren v síti Windows. Prostřednictvím Samby je možno využít tohoto způsobu přenosu souborů i mezi stanicemi Windows a Linux. FTP (file transfer protocol) pro přenos dat mezi stanicí a serverem je další možností. FTP je standardní protokol určený k přenosu souborů na internetu. Jinými slovy, díky FTP programům (FTP-client) můžeme soubory nakopírovat na server nebo stáhnout ze serveru.

Samotný FTP přenos je ovšem nezabezpečený a z důvodu bezpečnosti přenosu je vhodné použít FTP zabezpečené pomocí SSL (Secure Sockets Layer). Většina linuxových distribucí obsahuje instalační balíčky nějakého FTP serveru. Je možno tedy použít třeba WU-FTPD. Pro možnost FTP přenosu zabezpečeného SSL osobně doporučuji glFTPd.

Proč přenos zabezpečený SSL?

Jeden ze způsobů útoků na server je odposlech sítě nebo-li sniffer. Princip tohoto útoku je v tom, že útočník umístí na síti program, který laicky řečeno odposlouchává provoz na síti. Takovýto program je možno nakonfigurovat tak, aby odposlouchával pouze vybrané počítače, případně pouze vybrané služby. Informací získaných z takového odposlechu je velmi mnoho a tento útok je zvláště účinný, používá-li se na služby, které nejsou primárně šifrovány. Aby se tomuto předešlo je vhodné použít odpovídající zabezpečení. Jedním z nich je používání kódování. Například namísto klasického připojení telnetem použít SSH. Co se dá použít pro jiné služby? Existuje jednoduchý způsob, díky kterému budeme bez změny použitých programů schopni zajistit odpovídající úroveň zabezpečení. Použijeme na to tzv. TCP-wraper. Jsou to programy, které zachytávají nešifrovaný provoz na daném portu a směrují ho na jiný port. V našem případě zachytávají šifrované informace, ty rozšifrují a předají je již existující službě. Existuje několik takových programů, jako příklad bych uvedl SSLwrap, který existuje ve verzi pro MS windows i pro Linux.

Co potřebuji k FTP přenosu na straně klienta?

Pro FTP přenos na straně stanice samozřejmě nějaký program. V prostředí MS Windows je jich velké množství. Ovšem nejrozšířenější souborový manažer Total Commander má uživatelsky velmi jednoduchý způsob přenosu dat na a z FTP serveru. Pokud chceme ovšem přenos dat zabezpečený SSL, musíme buď použít WinSSLwrap anebo FTP klienta, který už má tuto funkci v sobě. Např. FLASHFXP. V prostředí Linuxu umí FTP přenos kromě mnoha jiných i Midnight Commander, který můžeme spuštět v konzoli, případně pro X např. program gFTP nebo KBear. Pokud chceme ovšem přenos dat zabezpečený SSL, musíme použít také program sslwrap.

Princip funkce sslwrap.

Chceme-li se přihlásit na FTP server, přihlašujeme se příkazem ftp://jméno:heslo@ftp.neco.domena. Chceme-li tedy použít zabezpečené připojení přes sslwrap, musíme zvolit trochu jiný způsob: ftp://localhost:7000 a jméno bude ve tvaru jméno@ftp.neco.domena. sslwrap ve svém základním nastavení naslouchá na portu 7000. Máme ho spuštěný na svém počítači, tudíž jeho IP adresa je 127.0.0.1 neboli localhost. Budeme se tedy nejprve připojovat na localhost port 7000. Náš přenos mezi FTP klientem a sslwrapem na localhostu bude nešifrovaný. sslwrap informace, které posíláme, zašifruje a zašifrované je pošle buď na sslwrap na straně serveru, případně přímo na FTP server, který je schopen je rozšifrovat. A FTP server, který toto umožňuje, je právě glFTPd server ve verzi 1.30.

Co potřebuji k FTP přenosu na straně serveru?

Především FTP démona. A to pokud možno takového, který umožňuje SSL. V následujícím návodu popisuji způsob instalace glFTPd verze 1.30, který je na to velmi vhodný.

Jak na to?

Stáhneme balíček glftpd-LNX_1.30.tar.gz. Rozbalíme a přepneme se do adresáře s instalačním skriptem, kde spustíme ./installgl.sh.

Bod 1

V nainstalovaném adresáři /glftpd se nachází skript pro vytvoření klíče. Spustíme tedy ./create_server_key.sh KLÍČ (KLÍČ je příklad, můžete zadat jiný název) vytvořený klíč ftpd-dsa.pem překopírujeme do adresáře /usr/local/ssl/certs/.

Bod 2

Pokud používáte ke spouštění glFTPd skript xinetd, najděte v adresáři /etc/xinetd.d konfigurační soubor se jménem glftpd. Otevřete v editoru a řádek

Tím řekneme glFTPd serveru, kde má uložený certifikační klíč a konfigurační soubor.

Bod 3

Přepneme se do adresáře /etc/rc.d/init.d/ a spustíme ./xinetd restart, čímž restartujeme xinetd, aby se načetly změny, které jsme udělali v bodu 2.

Bod 4

Je potřeba ještě upravit glftpd.conf. Ten se nalézá v adresáři /etc. Upravte tyto řádky:

Bod 5

Nyní vyzkoušíme připojení. V konzoli napíšeme ftp localhost PORT (kde PORT je číslo portu, který jsme zadali při instalaci a na kterém glFTPd naslouchá).

Bod 6

Příkazem bye se od FTP serveru odhlásíme. Další možnosti natavení hledejte v /glftpd/docs/glftpd.docs.

Bod 7

Nyní můžeme vyzkoušet připojení k našemu FTP serveru jak přes FTP, tak i FTP-SSL z jiného počítače v síti.

Diskuse k tomuto článku

Nebylo by lepsi propagovat (psat o) nejaky svobodny produkt, namisto nesvobodneho glftpd? Pokud to pujde takhle dal, tak se tady za chvili clovek docte o ,,uzasne`` technologii Microsoftu :-(

31.7.2003 08:45 Leoš Literák | skóre: 74 | blog: LL | Praha
Rozbalit Rozbalit vše Nejaka free implementace?

abclinuxu neni politicky webzine. necini nam zadne potize popisovat i komercni produkty.

Zakladatel tohoto portálu. Twitter, LinkedIn, blog, StackOverflow

31.7.2003 10:06 traktor2
Rozbalit Rozbalit vše proftpd

Mno nebylo by lepsi proftpd v kombinaci s openssl? Tohle se mi zda takovy nemastny neslany. Proftpd je myslim jeden z nejlepsich (a taky asi nejbezpecnejsi) ftp serveru pro linuch. Mozna by bylo uzitecnejsi, kdyby se autor zameril na rozjeti proftpd s ssl nez jen na nicnerikajici strucny popis jednoho z dalsich ftpd, kterych se po inetu vali 100ky.

31.7.2003 11:43 Robert Krátký | skóre: 94 | blog: Robertův bloček
Rozbalit Rozbalit vše proftpd

napis clanek take. autorovi vyhovuje tahle kombinace, tak proc nam nepopises v clanku tu svoji?

31.7.2003 15:41 traktor2
Rozbalit Rozbalit vše proftpd

Ale to neni zadny argument...napis neco taky...To je argument doslovna na howno. Diskuze pod clankem je tu proto aby ctenar mohl vyjadrit svuj nazor. Coz sem udelal. Proc bych mel psat nejaky clanek? Kdyz nekdo neco napsal musi taky pocitat s urcitou kritikou ci chvalou...brano vseobecne. Mno a protoze sem ctenar daneho clanku a travim svuj drahoceny cas jeho ctenim samozrejme me rozladi, kdyz po precteni zjistim, ze je to slatanina a v podstate nerekne nic noveho, ale jen popise neco co uz tu bylo v xxx obmenach. To neni nic osobniho proti autorovi...neznam ho. Je to spis navrh ci pobidka pro vytvoreni neceho lepsiho a informativne hodnotnejsiho nez se mu povedlo doposud. Ja vim, ze nejste zadnej vylozeen profi server jako je treba linuxzone ci root, ale i tak by ty clanky nebo prispevky ci jak to nazvat meli mit urcitou hodnotu. Samozrejme nekritizuju soucasnej styl abc....nekdo sem neco hodte..a vsichni budeme radi...spousta clanku nebyla spatna...ale jak vidno vsechno se povest nemuze. Abc je svym zpusoben unikat na cz linux scene...ale chce to v nekterych pripadech nektery veci trochu poupravit...

31.7.2003 16:29 Robert Krátký | skóre: 94 | blog: Robertův bloček
Rozbalit Rozbalit vše proftpd

Pominu-li tvoji nevymachanou mluvu, tak... To ani nemel byt argument. Tvuj puvodni prispevek totiz ani nebyl vyjadrenim nejake kritiky. Kdyz reknes "Proc pises o tomhle? Pis radsi o necem jinem.", tak to neni uzitecna kritika clanku, ale pouhe remcani. Takze kdyz jsem na to reagoval tim, abys napsal take clanek, myslel jsem to zcela vazne. Velmi radi dame prostor i popisu jineho reseni. A zvlast pokud jsi presvedceny, ze by bylo lepsi a clanek lepe zpracovany. Ted se ale rozcilujes "Proc bych mel psat nejaky clanek?" Na to je jednoducha odpoved: abys vytvoril, jak pises, "neco lepsiho a informativne hodnotnejsiho".

Btw, AbcLinuxu neni 'profi server', kdezto linuxzone a root ano. Mas sice pravdu, ze "vsechno se povest nemuze", ale to srovnani me pobavilo.

1.8.2003 07:39 traktor2
Rozbalit Rozbalit vše proftpd

Ne nerozciluju se...nemam duvod. Nevymachanou hubu?...to mi sef rika porad :) Porad tu nekdo spatne chape rozdil mezi ctenarem a autorem. Kdyz se ctenar ozve, ze se mu to nelibi tak je odkazan do...... stylem napis neco lepsiho a neremcej. Ale ja nejsem clovek co pise clanky a ani to nemam v umyslu. Z vaseho pohledu by musel napsat clanek kazdy, kdo jen rekne neco spatneho a ne zrovna pochvalneho o publikovanem clanku...a kdo to neudela je co? remcal??? Rekl bych ponekud nestastny pristup. P.S: nikdo netvrdil, ze je abclinux profi server...k tomu ma daleko.

1.8.2003 08:59 Robert Krátký | skóre: 94 | blog: Robertův bloček
Rozbalit Rozbalit vše proftpd

Naopak. Ja chapu rozdil mezi ctenarem a autorem. Musim vsak stale opakovat, ze tvuj puvodni prispevek nelze povazovat za konstruktivni kritiku clanku. Kdyby vysla recenze Redhatu a ty jsi na to reagoval slovy 'Piste radsi o Mandraku', bylo by to podobne.

Ty nepoukazujes na chyby v clanku, ale rikas, ze by mel byt o necem jinem. K tomu skutecne mohu rict pouze to, ze bys takovy musel sam napsat. Nebo samozrejme kdokoliv jiny. Clanek, ktery jiz vysel, preci nestahnu kvuli tomu, ze je o necem jinem, nez ty bys chtel.

Na jiz vydanem clanku (tim nemyslim konkretne tento) lze kritizovat mnoho veci: postupy, chyby v reseni, sloh, gramatiku, ... Pokud vsak kritizujes zvolene tema, nejde s tim udelat nic jineho, nez doufat v novy clanek. A protoze jsi iniciatorem te vyzvy, navrhl jsem to hned tobe.

P.S. Kdyz jsem rikal, ze Abc neni 'profi server', kdezto root a linuxzone ano, tak jsem te parafrazoval. A pobavilo me prave tve srovnani. Abc se totiz s obema temito servery muze smele merit a v mnohem je predci.

1.8.2003 10:48 traktor2
Rozbalit Rozbalit vše proftpd

k...s tou kritikou jsi me Roberte presvedcil...priste budu kritizovat zvolene tema:) (a uz nehcci slovickarit). Mno celkem me zaujala tva skromnost :P co se kvalit ABClinux tyce...podle ceho usuzujes ze "Abc se totiz s obema temito servery muze smele merit a v mnohem je predci."? P.S. ted sem si vzpomel na jedno stare prislovi co mi rikavala babicka....hadej jaky...

1.8.2003 11:36 Robert Krátký | skóre: 94 | blog: Robertův bloček
Rozbalit Rozbalit vše proftpd

Jo... znam to, i kdyz ne od babicky... 'samochvala smrdi'. Jenze ja to neberu jako chvalu sebe sama, nybrz celeho tymu vsech lidi, kteri se o ABC staraji, a zaroven take autoru, kteri pro ABC pisi. A protoze jsem presvedcen o tom, ze vysledek je docela dobry, musel jsem se ohradit. Ale jak jsem rekl, ohradil jsem se predevsim proti tomu srovnani. Nikdy nebudu rikat, ze ABC by bylo uz tak dobre, ze by nebylo co zlepsovat. Naopak, jsem si vedom mnoha ovlasti, ktere by potrebovaly zasadne vylepsit, a spolecne se je snazime postupne resit. Nicmene tvrdim, ze ve srovnani s root a predevsim linuxzone bychom obstali velmi slusne. Obsah, design, ... Vim samozrejme, ze takova debata je vlastne nesmyslna, protoze se jedna o velmi subjektivne vnimane veci (a jeste navic jsem prirozene zaujaty), ale nemohl jsem to jen tak prejit a nereagovat.

31.7.2003 14:26 j3nda | skóre: 14 | ostrava/brno
Rozbalit Rozbalit vše proftpd

taky se pripojuji :-)

k napadu popsat zprovozneni ProFTPd a SSL.

___---==~[ uxunilcba | baclniuxu ]~==---__sevrer_pnly_liunx-lkie_hcaricku__/libGDX-rulez-the-W0R7D!___

4.8.2003 22:59 J.R.
Rozbalit Rozbalit vše proftpd

Nemuzu nez souhlasit. Anebo alespon link, kde je to uz popsano. J.R.

31.7.2003 15:56 pavel arnost
Rozbalit Rozbalit vše proftpd

nejbezpecnejsi? mily pane, zrejme zertujete :-)

proftpd je na tom s bezpecnosti stejne tak blede jako sendmail nebo bind vsem, kteri chteji provozovat opravdu bezpecny a kvalitni ftp server doporucuji pureftpd (http://www.pureftpd.org)

31.7.2003 19:04 Jan Kubik
Rozbalit Rozbalit vše proftpd

tak proc o tom nenapises clanek? Nebo myslis, ze my vsichni mame cas jit na ten link a vsechno se to naucit a si to ozrejmit , zrovna jako jsi to musel udelat ty. To je mrhani energie - a ty muzes neco udelat pro komunitu. Sem s tim popisem. Vsechno ostatni jsou jenom reci.

1.8.2003 07:45 traktor2
Rozbalit Rozbalit vše proftpd

omg:)))))A vsichni budem psat clanky..a potom bude vic autoru nez ctenaru :P

2.8.2003 13:09 David
Rozbalit Rozbalit vše proftpd

ty vole tady se uz vazne vsichni zblaznili ... ode dneska namisto "diky za link" kazdemu rikam "neser me s linkem a napis o tom clanek"

9.8.2003 16:46 Pavel Trůbl
Rozbalit Rozbalit vše proftpd

Hm, a co takhle pridat link na seznam bezpecnostnch chyb proftpd za posledni rok? Jinak je tahle pripominka jen placnuti do vody bez jakehokoliv uzitku. Proc ti mame verit? Dokaz to co rikas! :)

16.9.2005 02:20 Ivanhoej | skóre: 26 | blog: ss2_Debian | Bratislava
Rozbalit Rozbalit vše Re: proftpd

Od spustenia Sargeho mal proftpd 2 chyby a pozri aj dalsie roky. PureFTPd ani jednu. Ja som mal na Woody PureFTPD asi 4 roky bez aktualizacie (ziadna bezpecnostna nevysla). PureFTPd je skustocne ovela bezpecnejsi ako proftpd. Ten clovek vie o com vravi tak to nekritizujte ked sa nevyznate. Vie po CZ i SK a ma super konfiguraciu, podporuje aj SSL prenos priamo. Staci SSL klient napr. gFTP a idete "zabezpecene". http://www.us.debian.org/security/ Toto vsetko sa da u uzivatela nastavit:
usermod login -f passwd file -u uid [-g gid]
-D/-d home directory -[c gecos]
[-t download bandwidth] [-T upload bandwidth]
[-n max number of files] [-N max Mbytes]
[-q upload ratio] [-Q download ratio]
[-r allow client ip/mask] [-R deny client ip/mask]
[-i allow local ip/mask] [-I deny local ip/mask]
[-y max number of concurrent sessions]
[-z hhmm-hhmm] [-m]

Vyhodil som znaky < a >, lebo tento WEB ma strasne stve tymto blbym pristupom k uzivatelovi. Preco to nemoze ist ako inde naco sa mam zapodievat prepisovanim rucne znakov < a >?, dopisovanie <br/>. K comu je taketo otravovanie uzivatela? Asi na jeho odplasenie.

1.8.2003 07:12 Luboš Michlík | skóre: 7
Rozbalit Rozbalit vše proftpd

Kdysi jsem se rozhodoval jaky pouzit ftp server. Na chatu jsem se zeptal kamosu co pouzivaji a proc. Vysledkem bylo ze ten pouziva toto ten zas onono. Pak se rozvinula diskuse co je lepsi zda ten ci onen produkt. Nakonec to skoncilo tim, ze kdyz uz se naucili jeden, proc by se meli ucit nejaky jiny, kdyz ten co maji jim poskytuje to co pozaduji. Udelal jsem si z toho zaver. Nainstaluji si jeden z nich a naucim se ho pouzivat, budu-li s nim spokojen necham si ho. Nebudu-li s nim spokojen odstranim ho a nainstaluji jiny. Kupodivu zustal jsem u toho prvniho, protoze mi vyhovuje. Ma jedinou vadu: "Ma dokumentaci pouze v anglictine"! V cestine jsem k nemu nic nenasel. Nasel jsem neco v polstine, proto mi to tak pripada, ze linuxova komunita v Polsku je vetsi a zrejme je linux v Polsku uzivanejsi. Polaci jsou dost velci patrioti a pisou polsky. Tak jsem si rekl proc nenapsat neco pro zmenu cesky pro cesky lidi. Orwell P.s.: schvalne nejmenuji o ktere softy se v chatu jednalo protoze nechci tu jak se to jmenuje tu flameware. ;-)

6.8.2003 20:14 CYBERLUK
Rozbalit Rozbalit vše proftpd

jj Orwe tvrde do nich :-)

) Mne anglicke manualy nedalji zadne krece --- ja to vzdycky prekladam z hlavy - proftpd smrdi to se musi uznat --- je to zbytecne slozite a narocne na cas - zatim nejlepsi ftpd co jsem zkousel byl RaidenFtpd pro ***dows :) ehm....no pro linux ten glftpd - zatim cus !

Rád bych se mýlil, ale při použití sFTP nelze zařídit, aby se mi uživatel nemohl pohyboval v adresářové struktuře jinam, než mu povolím. Jediné, co lze, je rsh, ale to pak zase nejde cd do podadresářů :( Nehledě na to, že pro SFTP musí mít user účet na dané mašince, což je potenciální riziko. Výhodou u SFTP je podle mě existence WinSCP - pro laiky jednoduše pochopitené GUI, žádné wrappery, atd. (BTW šifrují se i data) Nějak mi tu u článku totiž chybí nekomerční JEDNODUCHÉ Win GUI pro tento secure FTP server? Je plugin do TotalCommandru? Asi ne:(

3.8.2003 20:34 Luboš Michlík | skóre: 7
Rozbalit Rozbalit vše Problém SFTP

Nevím nakolik je to nekomercni, protoze jsem zatim necitil potrebu pouzivat GUI pro glftpd. S pouzitim ssh pripojeni k masine s glftpd neni problem se prihlasit k ftp na localhostu a vsechny upravy delat z prikazoveho radku. Ovsem existuji i GUI treba tady http://www.glftpd.at/modules.php?name=Downloads&d_op=viewdownload&cid=44 Orwell

3.8.2003 23:29 pavel arnost
Rozbalit Rozbalit vše Problém SFTP

pro openssh existuje chroot patch, jestli chcete, muzu Vam ho poslat me znami windows ftp/ssl klienti: a) http://filezilla.sourceforge.net/ b) http://www.coreftp.com/ na http://ftps4tc.sourceforge.net/ (ftp/ssl plugin pro total commander) si budeme muset jeste chvilku pockat :-)

11.9.2003 16:47 Pepíno | skóre: 20 | Trutnov
Rozbalit Rozbalit vše Problém SFTP

No nechci se hadat, ale asi pred 2 mesici jsem videl link na SFTP plugin do TotalCommanderu na jeho strankach. Nepouzivam, takze jsem nezkousel, ale byl tam.

8.8.2003 21:06 Luboš Michlík | skóre: 7
Rozbalit Rozbalit vše Problém SFTP

Nějak mi tu u článku totiž chybí nekomerční JEDNODUCHÉ Win GUI pro tento secure FTP server? Je plugin do TotalCommandru? Asi ne:( Je taky mozne ze jsem nepochopil spravne otazku a ze se milane nepidis po GUI na nastveni glftpd ale pro ftp spojeni pomoci Totalcommanderu. osobne povazuji Total Commander za nejpohodlnejsiho spravce souboru za ktereho jsem ve svete linuxu nasel castecnou nahradu v podobe midnight commanderu. Castecnou protoze neni tak pohodlna jako totalcommander. Osobne pro spojeni se servrem GLFTPD pres SSL Total commandera v prostredi Windows pouzivam. Namisto pluginu siteho namiru pro totalcommander ovsem pouzivam WINSSLWRAP WinSSLWrap ti vytvori na strane windows SSL server ktery bezi na localhostu ke kteremu se pripojis jako jmeno@serverglftdp.domena:port Pokud budes chtit vice posli PM (soukromou zpravu) Hi Orwell P.s.: Nebo by snad bylo vhodne napsat dalsi clanek o tom jak se v MS Windows prostredi nastavuje WINSSL WRAP pro FTP-SSL pripojeni z Total commanderu? ;-)