17.6 FTP

Den FTP-Dienst haben wir unter den Aspekten »Funktionsweise«, »Protokoll« und »Client« bereits in vorhergehenden Kapiteln vorgestellt. Im Folgenden werden wir uns mit der Konfiguration eines FTP-Servers auseinandersetzen.

Welche Software?

Wir werden uns im Rahmen dieses Buches den Server ProFTPd ansehen – aber warum ausgerechnet diesen und nicht einen anderen? Prinzipiell steht es Ihnen natürlich frei, jeden Server Ihrer Wahl zu nutzen. ProFTPd ist aber ein einfacher, kleiner Server. Er wurde entwickelt, um sicherer und schneller als andere Programme zu sein. Inwieweit das Projekt nun im Einzelnen diese Ziele erreicht hat, sei einmal dahingestellt; für ein Heimnetzwerk ist ProFTPd aber sicher eine gute Wahl.

[»]Die meisten Systeme verfügen bereits über einen vorinstallierten FTP-Server, den man nur noch in der Datei (x)inetd.conf freischalten muss. Oftmals steht alternativ auch ein Standalone-Dienst zur Verfügung. So kann man unter OpenBSD den FTP-Server auch permanent als Dämonprozess laufen lassen, indem man /usr/libexec/ftpd -D aufruft.

17.6.1 Konfigurationsdateien

Dämon vs. (x)inetd

Der Server ProFTPd wird hauptsächlich über die Datei /etc/proftpd.conf [Fn. Die Datei kann bei Ihrer Distribution natürlich auch an einem anderen Ort liegen.] gesteuert. Bevor man ans Konfigurieren geht, muss man sich aber entscheiden, ob man den Dienst standalone oder über den inetd starten will – in einem Heimnetzwerk ist meistens die inetd-Variante vorzuziehen.

Sollten Sie den ProFTPd über Ihren Paketmanager installiert haben, brauchen Sie also nur noch die Konfigurationsdatei zu suchen und zu editieren. Eventuelle Startskripts im init.d-Verzeichnis und die Einträge in der Datei /etc/inetd.conf sollten dann schon vorhanden sein.

Das folgende Listing zeigt eine Beispielkonfiguration für die Software. Beachten Sie bitte, dass für anonymes FTP ein Benutzer names ftp mit gültigem Homeverzeichnis auf Ihrem System vorhanden sein muss.

Listing 17.24 Beginn einer proftpd.conf

# Dies ist eine einfache Konfiguration für den
# ProFTPd. Sie realisiert einen einfachen, durch
# inetd gestarteten Server mit anonymous Login.

# Der Servername
ServerName                      "FTP Server"

# inetd oder standalone?
ServerType                      inetd
DeferWelcome                    off

Wenn wir uns für den Start über inetd entschieden haben, sollte erstens eine Zeile in der inetd.conf für unseren FTP-Server angelegt werden, und zweitens sollte der inetd auch laufen – sonst wird's nix mit FTP.

Listing 17.25 Fortsetzung von proftpd.conf

# Standardoptionen
MultilineRFC2228                on
DefaultServer                   on
ShowSymlinks                    on
AllowOverwrite                  on

# Verbindungstimeouts...
TimeoutNoTransfer               600
TimeoutStalled                  600
TimeoutIdle                     1200

# Diese Dateien im Homeverzeichnis der User werden
# bei den entsprechenden Aktionen angezeigt:
DisplayLogin                    welcome.msg
DisplayFirstChdir               .message

# Langes Listing bei "ls"
ListOptions                     "-l"


# Hier kann man "böse" Befehle blockieren.
DenyFilter                      \*.*/

In diesem Abschnitt wurden nun einige Optionen zum Verhalten des Dienstes konfiguriert. Dazu gehören verschiedene Timeouts ebenso wie Banner, also Textdateien, die beim Eintritt in bestimmte Verzeichnisse ausgegeben werden.

Listing 17.26 Port und Rechte

# Port 21 ist der Standard-FTP-Port
Port                            21

# Um Denial-of-Service-Attacken gegen den Server
# vorzubeugen, werden hier nicht mehr als 30
# Verbindungen zu einem bestimmten Zeitpunkt
# erlaubt. Das funktioniert allerdings nur bei
# "ServerType standalone", ansonsten muss dies über
# den inetd geregelt werden.
MaxInstances                    30

# Benutzer- und Gruppenrechte für den Server setzen
User                            nobody
Group                           nogroup

Die Wahl des Ports spielt nur nur bei Standalone-Servern eine Rolle. Wird der Dienst durch den inetd gestartet, so legt man in der entsprechenden Zeile der Konfigurationsdatei den Port fest, zu dem der Client anschließend eine Verbindung aufbauen kann. Der FTP-Dienst selbst wird erst dann aufgerufen, wenn die Verbindung bereits besteht.

Listing 17.27 Die Freigaben

# Standardeinstellung für Benutzerverzeichnisse
<Directory /*>
  # Die umask für Dateien und Verzeichnisse setzen
  Umask                         022  022
  # Dateien sollen überschreibbar sein
  AllowOverwrite                on
</Directory>

# Eine einfache Konfiguration für anonymes FTP

<Anonymous \~{}ftp>
  User                                ftp
  Group                               nogroup
  # Benutzer sollen sich sowohl mit "ftp" als auch
  # mit "anonymous" einloggen können.
  UserAlias                   anonymous ftp

  # Benutzer "ftp" braucht keine Shell in der
  # /etc/passwd
  RequireValidShell           off

  # Maximale Anzahl von anonymen Logins
  MaxClients                  10

  DisplayLogin                welcome.msg
  DisplayFirstChdir           .message

  # überall das Schreiben verbieten
  <Directory *>
    <Limit WRITE>
      DenyAll
    </Limit>
  </Directory>

  # Für ein Upload-Verzeichnis sollten Sie die
  # folgenden Zeilen entkommentieren.
  # <Directory incoming>
  #   Umask                           022  022
  #   # Lesen und ändern verboten...
  #   <Limit READ WRITE>
  #     DenyAll
  #   </Limit>
  #   # ...aber Hochladen erlaubt
  #   <Limit STOR>
  #     AllowAll
  #   </Limit>
  # </Directory>

</Anonymous>

Durch diese Freigaben ist folgendes Szenario definiert: Alle lokal existierenden Benutzer können sich auch via FTP mit ihrer Benutzerkennung samt Passwort einloggen und erhalten so Zugriff auf ihr Home-Verzeichnis. Zusätzlich kann man sich anonym einloggen, hat dann aber nur lesenden Zugriff auf das Home-Verzeichnis des ftp-Users.

Ihre Meinung

Wie hat Ihnen das Openbook gefallen? Wir freuen uns immer über Ihre Rückmeldung. Schreiben Sie uns gerne Ihr Feedback als E-Mail an kommunikation@rheinwerk-verlag.de.