Installare un server FTP con ProFTPD: differenze tra le versioni

Da Guide@Debianizzati.Org.
Vai alla navigazione Vai alla ricerca
Riga 65: Riga 65:
     </Limit>
     </Limit>
      
      
     <Limit LIST STOR STOU CWD PWD XCWD>
     <Limit LIST STOR STOU CWD PWD NOOP XCWD>
       AllowAll
       AllowAll
     </Limit>
     </Limit>
Riga 85: Riga 85:
;MaxClients: numero massimo di client connessi.
;MaxClients: numero massimo di client connessi.
; Limit ALL: impedisce a chiunque l'esecuzione di "ogni" comando FTP, a meno che non sia esplicitamente consentito da una direttiva seguente.
; Limit ALL: impedisce a chiunque l'esecuzione di "ogni" comando FTP, a meno che non sia esplicitamente consentito da una direttiva seguente.
; Limit LIST STOR STOU CWD PWD XCWD: permette i comandi specificati. In particolare "STOR" che consente l'upload di un file e "LIST" che consente di ottenere una lista dei file/directory.
; Limit LIST STOR STOU CWD PWD NOOP XCWD: permette i comandi specificati. In particolare "STOR" che consente l'upload di un file, "LIST" che consente di ottenere una lista dei file/directory e "NOOP" per mantenere la connessione attiva.


Leggere anche le informazioni sulla configurazione di ''<Limit>''<sup>[[#Documentazione esterna|[3]]]</sup> e i comandi FTP supportati<sup>[[#Documentazione esterna|[4]]]</sup>.
Leggere anche le informazioni sulla configurazione di ''<Limit>''<sup>[[#Documentazione esterna|[3]]]</sup> e i comandi FTP supportati<sup>[[#Documentazione esterna|[4]]]</sup>.

Versione delle 15:19, 27 dic 2014

Debian-swirl.png Versioni Compatibili

Tutte le versioni supportate di Debian

Introduzione

Installare un server FTP su Debian è un'operazione non particolarmente complessa, ma che merita alcune attenzioni. In questa guida utilizzerò ProFTPD, un FTP server scritto per essere utilizzato su Unix e sistemi operativi Unix-like come il nostro Linux.

Caratteristiche di ProFTPD

  • utilizza un singolo file di configurazione, con direttive molto familiari per chi è già abituato ad amministrare web server Apache;
  • permette la configurazione di file ".ftpaccess" e di server FTP virtuali in maniera simile ad Apache;
  • non permette comandi SITE EXEC, riducendo così lo stress da sicurezza dell'amministratore;
  • supporta IPv6.

Installazione di ProFTPD

Per installare il server proftpd basta lanciare i seguenti comandi da root:

# apt-get update
# apt-get install proftpd-basic

L'installer del server FTP vi chiederà in che modo intendere far girare proftpd, attraverso "inetd" o in modalità "standalone". Mi sento di consigliare la modalità "standalone" che, da quanto letto in rete, sembra la più adatta per siti FTP con traffico intenso o assai variabile.

Configurazione di ProFTPD Server

Il file di configurazione si trova in /etc/proftpd/proftpd.conf
Alcune direttive degne di nota sono le seguenti:

ServerName
Permette di indicare il nome che apparirà agli utenti:
ServerName “proftp server”
ServerIdent
Imposta il messaggio di benvenuto:
ServerIdent on “Welcome to proftp server”
UseReverseDNS
UseReverseDNS off
IdentLookups
IdentLookups off
DefaultRoot
Imposta la chroot directory di default (la home directory dell'utente che effettua il login)
DefaultRoot ~
Un utilizzo interessante di questa direttiva è la possibilità di dirottare un particolare utente in una directory diversa dalla propria home:
DefaultRoot /tmp bob
Oppure limitare l'accesso alla sola directory "ftp" nella home dell'utente che effettua il login:
DefaultRoot ~/ftp
Chiaramente questa directory va preliminarmente creata.
MaxClients
Limita il numero di utenti che possono effettuare una connessione contemporanea:
MaxClients 30
MaxClientsPerHost
Limita il numero di connessioni per singolo client
MaxClientsPerHost 50

Per una lista completa delle direttive potete fare riferimento alla documentazione ufficiale[2].
Dopo aver modificato il file di configurazione è necessario riavviare il demone affinché le modifiche vengano prese in considerazione:

# service proftpd restart

FTP anonimo

La configurazione di un accesso anonimo al server FTP può essere molto comoda in particolari ambienti (es. rete aziendale) oppure quando si vuol permettere un accesso alle risorse senza che sia necessaria un'autenticazione.

L'abilitazione del'FTP anonimo (anonymous FTP) avviene attraverso la configurazione del file proftpd.conf. Nel prossimo esempio si permetterà l'accesso anonimo ad una directory e solo per spostarsi al suo interno, uploadare file e elencare i file presenti; non sarà possibile cancellare, rinominare, modificare o leggere file.

Aggiungere in fondo al file proftpd.conf le seguenti righe:

<Anonymous ~ftp>

   <Limit LOGIN>
     Order allow,deny
     Allow from 192.168.0.0/16
     DenyAll
   </Limit>
     
   User                         ftp
   Group                        nogroup
   UserAlias                    anonymous ftp

   RequireValidShell            off

   MaxClients                   5
   

   <Directory *>
  
     <Limit ALL>
       DenyAll
     </Limit>
     
     <Limit LIST STOR STOU CWD PWD NOOP XCWD>
       AllowAll
     </Limit>

   </Directory>

</Anonymous>
~ftp
Indica che l'accesso anonimo avverrà all'interno della directory "/srv/ftp" già creata di default. Questa directory ha come proprietari (utente:gruppo) "ftp:nogroup".
LIMIT LOGIN
sezione in cui vengono specificati gli indirizzi/nomi che possono effettuare il login anonimo.
Order allow,deny
se il login è consentito da "Allow", "Deny" non viene eseguita. Se il login non è permesso da "Allow", "Deny" viene eseguita.
Allow from 192.168.0.0/16
consente un login proveniente solo dagli indirizzi 192.168.x.x .
DenyAll
rifiuta tutti i login che non sono matchati da "Allow".
User
indica l'utente con i cui permessi verranno eseguiti i comandi da ProFTPD. È consigliato non inserire mai "root". I file creati avranno come proprietario "ftp".
Group
indica il gruppo con i cui verranno eseguiti i comandi da ProFTPD- È consigliato non inserire mai "root". I file creati avranno come gruppo proprietario "nogroup".
UserAlias
Permette un login anche inserendo "anonymous" anziché "ftp". Ad esempio:
$ ftp nome_o_IP_del_server
e poi scrivendo "anonymous" (anziché "ftp") alla richiesta del login name.
RequireValidShell
Permette o non permette il login all'utente la cui shell di login è elencata (o non elencata) in "/etc/shells". In questo caso va settata a "off" in quanto l'utente "ftp" non possiede una shell valida (questa è "/bin/false").
MaxClients
numero massimo di client connessi.
Limit ALL
impedisce a chiunque l'esecuzione di "ogni" comando FTP, a meno che non sia esplicitamente consentito da una direttiva seguente.
Limit LIST STOR STOU CWD PWD NOOP XCWD
permette i comandi specificati. In particolare "STOR" che consente l'upload di un file, "LIST" che consente di ottenere una lista dei file/directory e "NOOP" per mantenere la connessione attiva.

Leggere anche le informazioni sulla configurazione di <Limit>[3] e i comandi FTP supportati[4].

Dopo aver modificato il file, eseguire il solito:

# service proftpd restart

Ora è possibile collegarsi al server, ad esempio, con:

$ ftp 192.168.1.1

in cui si è specificato l'indirizzo IP del server (ma analogamente si potrebbe indicare un FQDN). Apparirà:

Connected to 192.168.1.1.
220 ProFTPD 1.3.5 Server (Debian) [::ffff:192.168.1.1]
Name (192.168.1.1): anonymous
331 Accesso anonimo ok, inviare il proprio indirizzo email completo come password
Password: pippo@pippolandia.it

Si noti che la password inserita è valida solo ai fini del logging lato server. Si può inserire qualunque indirizzo (vero o inventato) o anche "localhost".

La precedente procedura può essere leggermente modificata per poter ottenere un FTP anonimo in una directory diversa da "/srv/ftp". Le uniche operazioni da compiere sono:

  1. Creare la directory (es. /home/ftp-anonimo)
  2. Fare in modo che abbia come utente:gruppo proprietari "ftp:nogroup":
    # chown ftp:nogroup /home/ftp-anonimo
  3. Modificare la riga di "proftpd.conf" in:
    <Anonymous /home/ftp-anonimo>

Note

Il comportamento di default del server permette ad ogni utente di accedere via FTP solo alla propria directory home.

Amministrazione del server FTP

Uno strumento molto comodo per l'amministrazione di ProFTPD è proftpd-admin[5]. È un'interfaccia web scritta in PHP, che per funzionare ha bisogno di un server LAMP (Apache, PHP, MySQL).

Creare un certificato SSL per TLS

TLS è un protocollo che fornisce autenticazione e comunicazioni crittografate. Nell'utilizzo tipico con un server FTP si configura in modo che il server FTP stesso sia autenticato e che i client non lo siano.
Per utilizzare TLS con ProFTPD dobbiamo creare un certificato SSL:

# apt-get install openssl
# mkdir /etc/proftpd/ssl
# openssl req -newkey rsa:2048 -x509 -days 365 -nodes -out /etc/proftpd/ssl/proftpd.cert.pem -keyout /etc/proftpd/ssl/proftpd.key.pem

Rispondete così alle domande che vi vengono poste:

Country Name (2 letter code) [AU]: IT
State or Province Name (full name) [Some-State]: Vostra_Provincia
Locality Name (eg, city) []: Vostra_Città
Organization Name (eg, company) [Internet Widgits Pty Ltd]: Vostra_Società
Organizational Unit Name (eg, section) []: Nome_Dipartimento (Esempio: Dipartimento IT)
Common Name (eg, YOUR name) []: FQDN del server (esempio: ftpserver.organizzazione.local)
Email Address []: E-mail dell'amministratore

Per abilitare TLS in ProFTPD bisogna aprire il file /etc/proftpd/tls.conf e decommentare le seguenti righe:

<IfModule mod_tls.c>
TLSEngine on
TLSLog /var/log/proftpd/tls.log
TLSProtocol SSLv23
TLSOptions NoCertRequest
TLSRSACertificateFile /etc/proftpd/ssl/proftpd.cert.pem
TLSRSACertificateKeyFile /etc/proftpd/ssl/proftpd.key.pem
TLSVerifyClient off
TLSRequired on
</IfModule>

Decommentare anche la seguente riga in proftpd.conf :

#
# This is used for FTPS connections
#
Include /etc/proftpd/tls.conf

Se utilizzate la direttiva "TLSRequired on" saranno consentite solo le connessioni TLS, ma questo bloccherà gli utenti che utilizzano client FTP che non hanno il supporto TLS; suggerisco quindi, se ciò non viola le policy di sicurezza della vostra rete, di commentare la direttiva, in modo da permettere sia connessioni TLS sia connessioni non autenticate.
Infine riavviate il server:

# service proftpd restart

Se avete dei problemi con TLS o con le connessioni dai client potete dare un occhio al TLS log file: /var/log/proftpd/tls.log.

Documentazione esterna

[1] Ducumentazione ufficiale
[2] Direttive di ProFTPD
[3] Configurare <Limit>
[4] Comandi FTP supportati da ProFTPD
[5] proftpd-admin




Guida scritta da: Ferdybassi Swirl-auth40.png Debianized 40%
Estesa da:
S3v 11:17, 27 dic 2014 (CET) (FTP anonimo)
Verificata da:
S3v 11:17, 27 dic 2014 (CET)

Verificare ed estendere la guida | Cos'è una guida Debianized