Az Interneten az első funkció amit használtak az a fájlok átvitele. Az FTP a File Transfer Protocol angol szavakból alkotott betűszó. Úgy fordíthatjuk, hogy Fájl Átviteli Protokoll.
Alapértelmezetten a 21 porton fogad kapcsolatokat és a 20-as porton szolgálja ki az adatokat.
Passzív módban azonban a 21-es portot használja, vezérlésre, az adatátvitelre pedig 1023 felett egy portot.
apt-get install pure-ftpd
Telepítés után minden linuxos felhasználó hozzáférhet saját könyvtárához FTP kapcsolaton keresztül.
A legújabb verzió beszerezhető itt:
# ps ax
# ss -lt
# apt install ftp
# adduser mari
$ ftp localhost Connected to localhost. 220---------- Welcome to Pure-FTPd [privsep] [TLS] ---------- 220-You are user number 1 of 50 allowed. 220-Local time is now 19:22. Server port: 21. 220-This is a private system - No anonymous login 220 You will be disconnected after 15 minutes of inactivity. Name (localhost:janos): mari 331 User mari OK. Password required Password: 230 OK. Current directory is /home/mari Remote system type is /home/mari Using binary mode to transfer files. ftp>
Először rá kell vennünk a pure-ftpd programot, hogy kezelje saját virtuális felhasználóit:
ln -s /etc/pure-ftpd/conf/PureDB /etc/pure-ftpd/auth/60PureDB
Létre kell hoznunk a rendszerben egy ftpgroup csoportot és egy ftpuser felhasználót. A pure-ftpd program ezen felhasználó és csoport jogaival fog hozzáférni a fájlrendszerhez:
groupadd -g 5000 ftpgroup useradd -u 5000 -d /dev/null -c "pureftpd user" -g ftpgroup -s /bin/false ftpuser
Ha készen van, végig kell gondolnunk a virtuális felhasználók könyvtárai hol lesznek. Ez lehet például a /home/virtual-ftp könyvtár. Hozzuk létre:
mkdir /home/virtual-ftp/
Ha egy Joe nevű felhasználónak akarunk hozzáférést adni akkor virtual-ftp könyvtárban készítsunk számára alkönyvtárat:
mkdir /home/virtual-ftp/joe chown ftpuser.ftpgroup /home/virtual-ftp/joe
A pure-ftpd szerver újraindítása előtt vegyünk fel minimum egy felhasználót, mert másként panaszkodni fog a /etc/pure-ftpd/pureftpd.pdf fájl hiányára.
Vegyük fel a joe virtuális felhasználót:
pure-pw useradd joe -d /home/virtual-ftp/joe -u ftpuser -g ftpgroup -m
/etc/init.d/pure-ftpd restart
Ha az adott könyvtárban az apache webszervernek írni kell, akkor tegyük az ftpuser felhasználót a www-data csoport tagjává.
pure-pw userdel jozsi -m
pure-pw passwd jozsi -m
pure-pw usermod jozsi -d /home/virtual-ftp/ujkonyvtar -m
A példában a jozsi felhazsnálónak egy másik könyvtárat adunk meg.
pure-pw mkdb
apt-get install pure-ftpd-mysql mysql-server-5.0
mysql -u root -p
GRANT ALL PRIVILEGES ON ftpd.* TO 'ftpd'@'localhost' IDENTIFIED BY 'titok'; FLUSH PRIVILEGES; CREATE TABLE users ( User VARCHAR(16) BINARY NOT NULL, Password VARCHAR(64) BINARY NOT NULL, Uid INT(11) NOT NULL default '-1', Gid INT(11) NOT NULL default '-1', Dir VARCHAR(128) BINARY NOT NULL, PRIMARY KEY (User) );
mcedit /etc/pure-ftpd/conf/db/mysql.conf
#MYSQLServer localhost #MYSQLPort 3306 MYSQLSocket /var/run/mysqld/mysqld.sock MYSQLUser ftpd MYSQLPassword titok MYSQLDatabase pureftpd MYSQLCrypt cleartext MYSQLGetPW SELECT Password FROM users WHERE User="\L" MYSQLGetUID SELECT Uid FROM users WHERE User="\L" MYSQLGetGID SELECT Gid FROM users WHERE User="\L" MYSQLGetDir SELECT Dir FROM users WHERE User="\L"
/etc/init.d/pure-ftpd restart
Ki kell deríteni az ftpuser userid-jét és a ftpgroup groupid-jét:
cat /etc/passwd | grep ftpuser
Valami ilyesmit láthatunk:
ftpuser:x:1001:1001::/dev/null:/bin/false
Ezek után felvehetjük a felhasználót:
Egy felhasználó felvétele:
mysql -u root -p
INSERT INTO users (User, Password, Uid, Gid, Dir) VALUES ('joe', 'titok', 1001, 1001, '/home/virtual-ftp/joe');
A TLS beállítása
apt-get install openssl
Készítenünk kell egy titkos kulcsot ami egyben tanúsítvány is:
mkdir -p /etc/ssl/private openssl req -x509 -nodes -newkey rsa:1024 \ -keyout /etc/ssl/private/pure-ftpd.pem \ -out /etc/ssl/private/pure-ftpd.pem chmod 600 /etc/ssl/private/*.pem
Beállítjuk a Pure-FTPd rendszert, hogy képes legyen használni a TLS-t:
echo 2 > /etc/pure-ftdp/con/TLS
A TLS kikapcsolása:
echo 0 > /etc/pure-ftdp/con/TLS
TLS és cleartext engedélyezése egyszerre:
echo 1 > /etc/pure-ftdp/con/TLS
Az anonymous felhasználó ha be van állítva egy FTP szerveren, akkor olyan felhasználók is hozzáférhetnek FTP szerverünkhöz, akinek nincs semmilyen hozzáférése. Tehát linuxos és virtuális felhasználóként sincs jelen a rendszerben. Ilyet általában akkor szoktunk használni, ha valamit szeretnénk közzé tenni, de nem weboldalon akarjuk ezt megtenni, mert nagy fájlokról van szó. Persze weben is közzé lehet tenni, de nagy fájlok közzétételére találták ki az FTP-t. Az anonymous felhasználó természetesen csak egy könyvtárhoz és persze azok alkönyvtáraihoz férhet majd hozzá.
Anonymous FTP szerverhez létre kell hozni egy felhasználót és egy csoportot akinek a jogaival az FTP szerver hozzáfér majd az anonymous felhasználók könyvtárához. Az anonymous felhasználók könyvtára lehet például a home könyvtárban egy ftp könyvtár.
Az ftp csoport és az ftp felhasználó felvétele:
groupadd ftp useradd -s /bin/false -d /home/ftp -m -c "anonymous FTP" -g ftp ftp
Be kell állítanunk a szerver konfigurációjában, hogy engedélyezve van az anonymous. Ezt a tiltás tagadásával tehetjük meg. Szerkesszük az NoAnonymous állományt például az mcedit szövegszerkesztővel, vagy használjuk az echo parancsot:
echo no > /etc/pure-ftpd/conf/NoAnonymous
Az állomány tartalmát no-ra állítjuk.
A /home/ftp könyvtár jogait be kell állítanunk:
chmod 555 /home/ftp
Ez anonymous felhasználóknak beálllíthatunk feltöltési lehetőséget is. Erre a célra az incoming nevű könyvtárat szoktuk létrehozni az ftp könyvtáron belül:
mkdir -p /home/ftp/incoming chown ftp.nogroup /home/ftp/incoming chmod 311 /home/ftp/incoming
Ha az anonymous felhasználók feltölteni is szeretnének, azt mindig egy „incoming” nevű könyvtárba engedélyezzük. Az incoming könyvtárnak a jogait ilyenkor úgy állítjuk be, hogy oda fel lehessen tölteni, de annak tartalma ne legyen látható, listázható. A fenti beállítások ezt teszik lehetővé.
A beállítások után újra kell indítanunk az FTP szervert:
systemctl restart pure-ftpd
$ ftp localhost Connected to localhost. 220---------- Welcome to Pure-FTPd [privsep] [TLS] ---------- 220-You are user number 1 of 50 allowed. 220-Local time is now 18:17. Server port: 21. 220-IPv6 connections are also welcome on this server. 220 You will be disconnected after 15 minutes of inactivity. Name (localhost:mari): anonymous 230 Anonymous user logged in Remote system type is UNIX. Using binary mode to transfer files. ftp>
Helytelen beállítás esetén:
$ ftp localhost Connected to localhost. 220---------- Welcome to Pure-FTPd [privsep] [TLS] ---------- 220-You are user number 1 of 50 allowed. 220-Local time is now 17:51. Server port: 21. 220-This is a private system - No anonymous login 220-IPv6 connections are also welcome on this server. 220 You will be disconnected after 15 minutes of inactivity. Name (localhost:joska):
Ha azt látjuk a bejelentkezéskor, hogy „220-This is a private system - No anonymous login” akkor nem a beállítások nem jók.
Az „ls” paranccsal ellenőrizhetjük a könyvtár (/home/ftp) tartalmát:
ftp> ls 200 PORT command successful 150 Connecting to port 44620 226-Options: -l 226 0 matches total ftp>
Ez most üres.
A szervert elhagyni:
ftp> bye 221-Goodbye. You uploaded 0 and downloaded 0 kbytes. 221 Logout.
A ftp> promt után a „help” parancs további utasításokat ad számunkra.
ftp> help Commands may be abbreviated. Commands are: ! debug mdir qc send $ dir mget sendport site account disconnect mkdir put size append exit mls pwd status ascii form mode quit struct bell get modtime quote system binary glob mput recv sunique bye hash newer reget tenex case help nmap rstatus tick cd idle nlist rhelp trace cdup image ntrans rename type chmod lcd open reset user close ls prompt restart umask cr macdef passive rmdir verbose delete mdelete proxy runique ? ftp>
echo yes > /etc/pure-ftpd/conf/DontResolve
Ha szerverünk IP címe nem oldható fel host névvé, illetve domain névvé, akkor a /var/log/syslog fájlban a következőhöz hasonló hibaüzeneteket találunk:
Sorry, invalid address given
Ilyenkor lebeszélhetjük a Pure-FTPd szervert arról, hogy fel akarja oldani az IP címet valamilyen névvé.
/etc/init.d/pure-ftpd restart
Kapcsoló között meg kell jelenjen a következők valamelyike:
-H --dontresolve
echo yes > /etc/pure-ftpd/conf/ChrootEveryone
echo yes > /etc/pure-ftpd/conf/CreateHomeDir
echo yes > /etc/pure-ftpd/conf/NATmode
Ezzel a beállítással nem használhatjuk a passzívmódot.
Kapcsolóval:
-N
Passzívmódhoz beszoktuk korlátozni, milyen portokat használhat a Pure-FTPd.
Például:
echo "29799 29899" > /etc/pure-ftpd/conf/PassivePortRange
Kapcsolóval:
-p 41000:41100
apt install tcpick
tcpick
Gondoljunk arra, hogy minden kapcsolathoz két port kell.
echo 50 > /etc/pure-ftpd/conf/MaxClientsNumber
echo 'yes' > /etc/pure-ftpd/conf/VerboseLog
echo yes > /etc/pure-ftpd/conf/KeepAllFiles
A Debian alatt a pure-ftpd-wrapper teszi lehetővé, hogy a beállításokat a /etc/pure-ftpd/conf fájlból olvassa.
Több parancsért lásd a pure-ftpd-wrapper kézikönyvet:
man pure-ftpd-wrapper
* A kapcsolat lassan épül fel.
A szerver szeretné feloldani az kliens IP címét névvé, de nem tudja.
Oldjuk meg, hogy a kliens IP címe feloldható legyen. Ez megoldható a szerveren egy /etc/hosts fájl bejegyzéssel is. Vagy beszéljük le a szervert a névfeloldásról, lásd Beállítások fejezet.
Mit ellenőrzünk és hogyan?
Szükségünk lesz a ip_conntrack_ftp modulra. Betöltéséről gondoskodjunk, mert nem töltődik be automatikusan.