FTP für Linux

[Enno]

Hi zusammen,

ich soll für uns in der Firma einen FTP Server aufsetzen.

Dachte mir, nimmst ne Linux Distri und dort nen schicken kleinen FTP Server drauf.

Habe dann den pure-FTP gefunden. Das mit den Virtuellen Usern gefällt mir, das die nur für FTP existieren. Und das er die aus einer Datei auslesen kann. Sind bei uns einige User die wir auf dem Server brauchen.

Das ganze soll genutzt werden um mit Kunden und Lieferanten Daten auszutauschen. Die sind mittlerweile leider für Mail zugroß geworden.

Hmm. Nun habe ich das Problem, das ich mich zwar mit root an den FTP anmelden kann. Aber ich kann keinen User anlegen mit pure-pw useradd.

Kann mir entweder einer hier weiterhelfen, oder mir nen anderen einfach zu administrierenden FTP Server für Linux sagen der Virtuelle User, Bandwide limits und Quotas kennt ??

Danke schonmal

Gruß

Enno

[geloescht_JesterDay]

wie wär's mit ProFTPd?

Wie kann ich User hinzufügen ?

per Standard koennen sich alle Systemuser per FTP anmelden. Wenn man nun neue User anlegen möchte, dann kann man einfach diese am System anlegen. Wenn man vermeiden möchte, dass die sich "richtig" am System anmelden können, dann kann man die shell auf "/bin/false" legen - dann ist nur noch FTP möglich (dann jedoch "RequireValidShell off" in die ProFTPD.conf schreiben. Die User kann man dann einfach per YAST (SuSE) oder von der Console mittels "useradd" anlegen.

Wenn man mehr User anmelden möchte, oder sich das relativ häufig ändern, dann empfehle ich die Userverwaltung mittels extra Files (AuthUserfile) oder per SQL (Mod_SQL).

(der letzte Abschnitt )

[Crash2001]

@Enno:

Denk dran, dass per FTP die Daten unverschlüsselt übers Internet übertragen werden und die somit jeder mitlesen kann, der den Traffic sniffen kann. Je nachdem was das für Daten sind, würde ich also dringend von dieser Möglichkeit abraten.

Wenn es ein FTP sein muss, dann denk mal drüber nach, ob ein SFTP-Server nicht auch geht. Dabei ist der gesamte Traffic per SSH verschlüsselt, die Funktionen sind ansonsten die gleichen.

[Enno]

Jep denk ich dran. SFTP sollte es schon sein.

aktuell läuft aber nen SFTP auf der Kiste und ich weis nicht welcher!

der pureftpd ist deinstalliert.

der ProFTPd ist noch nicht deinstalliert und trotzdem kann ich mich per SFTP verbinden.

Irgendwie komisch das ganze.

[Crash2001]

Wenn er noch nicht deinstalliert ist, kann er es ja durchaus sein... über Proftp geht jedenfalls definitiv auch SFTP.

[Enno]

aeh, andersrum. ich meinte proftpd ist noch nicht installiert.

[hades]

sftp ist hier das auf ssh basierende ftp (geht auch ueber den SSH-Port) und hat mit einem ftp-daemon nichts zu tun.

ssh ftp wird gern mit dem FTP mit TLS/SSL-Verschluesselung (wobei nur der Control- und nicht der Daten-Kanal verschluesselt ist) verwechselt.

D.h. schau in der sshd.conf nach ob dort sftp-server geladen wird.

Bearbeitet 8. Juli 2008 von hades

[Enno]

gibt bei mir keine sshd.conf. find / -name sshd.conf findet nix. wo muss die denn sein?

bin auf Linux der absolute anfänger.

[Crash2001]

Unter Debian heisst das sshd_config das file und liegt unter /etc/ssh/ .

[Enno]

ach ich hab ne opensuse 11

also meint ihr die beiden Zeieln hier:

# override default of no subsystems

Subsystem       sftp    /usr/lib/ssh/sftp-server

zeile zwei auskommentieren? richtig?

[hades]

Warum willst Du das abschalten?

Damit Du ein im Vergleich zum SSH FTP unsicheres FTP mit TLS/SSL nutzen kannst?

FTP mit TLS/SSL verschluesselt Dir nur den FTP Control Channel, d.h. nur die Anmeldung und die fuer den FTP Transfer notwendigen Befehle werden verschluesselt.

Der Datentransfer auf dem FTP Data Channel bleibt unverschluesselt und kann so mitgeschnitten werden.

SSH FTP ist dagegen komplett verschluesselt.

Bei SSH FTP wird im Gegensatz zum FTP auch nur ein Port (SSH-Port) genutzt.

Bei SSH FTP kannst Du alle mit SSH nutzbaren Authentifizierungen nutzen.

Z.B. neben User+Password auch Zertifikate

Allerdings musst Du bei SSH FTP etwas mehr Aufwand betreiben, um die Nutzer in ihr eigenes (bzw. bestimmtes) Verzeichnis einzusperren.

Mit der standard SSH FTP Konfiguration koennen sich Nutzer auf dem System frei bewegen und haben so z.B. auch (lesenden) Zugriff auf / und /etc.

siehe Chroot With Rssh For Ssh/sftp - openSUSE Forums

siehe HOWTO SFTP Server (chrooted, without shell) - Gentoo Linux Wiki

siehe Howto create chrooted Openssh SFTP without shell access through rssh. - Ubuntu Forums

(Windows-)Clientprogramme fuer SSH FTP sind z.B.:

WinSCP

Filezilla

[Enno]

wobei ich heut erfahen habe das auch unverschlüsseltes ftp gehen muss.

immerhin kann ich so Firmchen wie Daimler, EvoBus, Liebherr etc. schlecht sagen sie können nur noch sicheres FTP mit uns machen. Die Jungs von der EDV husten mir was. Leider.

[geloescht_JesterDay]

immerhin kann ich so Firmchen wie Daimler, EvoBus, Liebherr etc. schlecht sagen sie können nur noch sicheres FTP mit uns machen. Die Jungs von der EDV husten mir was. Leider.

Das ist ja so als wenn dir ein Firmchen wie Daimler sagen würde, wir bieten unsere Autos ab jetzt auch ohne Airbags an, weil wir den Leuten ja nicht erzählen können, dass sie die Airbags brauchen könnten. :confused:

Das ist ein Programm was genutzt werden muss, sonst ist es für die kein Unterschied (bis auf die erhöhte Sicherheit, bzw überhaupt Sicherheit).

[hades]

wobei ich heut erfahen habe das auch unverschlüsseltes ftp gehen muss.

Meist sind diejenigen, die solche Entscheidungen treffen, keine Techniker.

Erzaehle denen Deine Bedenken:

- Mitlesen von Usernamen und Kennwoertern

- Abfangen von sensiblen Unternehmens-Daten

Ich glaube, dass spaetestens beim letzten Punkt diejenigen hellhoerig werden.

Zur Not tut es auch ein Wireshark-Mitschnitt gegen einen Test-FTP-Server und schon hast Du auch etwas zum Zeigen.

Auch ist das Konfigurieren von Firewalls einfacher, wenn nur ein Port (SSH FTP) anstatt zwei (FTP) fuer ein Protokoll genutzt werden.

Wenn ein neues System eingefuehrt werden soll, dann besteht immer die Moeglichkeit, dass Du mit entsprechender Argumentation auch als vermeintlich Kleinerer etwas durchsetzen kannst.

Ansonsten wenn Deine Einwaende nichts bringen sollten, dann laesst Du Dir es unterschreiben, dass Du im Falle des Datendiebstahls nicht haftbar gemacht werden kannst.

Wenn Du unbedingt unverschluesseltes FTP haben musst:

Installiere Dir Proftp.

Bearbeitet 10. Juli 2008 von hades

[Youser]

*G* zumal ja die meisten Unternehmen auch nur verschlüsselten E-Mail-Verkehr zulassen. *ironieoff* Was da jeden Tag unverschlüsselt durchs Netz wandert dürfte auch von gewisser Sensibilität sein. Kratzt die chefetage trotzdem nicht.

Also wenn der Kunde auf unverschlüsselt besteht, dann wärs mir erstmal egal, ist ja sein Problem.

edit: Zumal die nacher sowieso ne unverschlüsselte Mail schicken in der steht, dass sie ihren Zettel mit den Zugangsdaten verloren haben und gern per Mail die Daten erneut bekommen würden.

Oder sie rufen (uhh unverschlüsseltes Telefongespräch) an und wollen das Passwort wissen.

[geloescht_JesterDay]

edit: Zumal die nacher sowieso ne unverschlüsselte Mail schicken in der steht, dass sie ihren Zettel mit den Zugangsdaten verloren haben und gern per Mail die Daten erneut bekommen würden. .

Dazu gibt es bei gescheiter Software die Funktion ein neues PW zu erzeugen und das dem User zu schicken mit der Aufforderung (manchmal auch dem Zwang) das zu ändern nach dem Einloggen. Eine Software die dir dein Passwort zusenden kann ist eh erstmal suspekt, weil das PW dann ja "lesbar" (und sei es durch einen Code o.ä. geschützt) gespeichert ist.

[Youser]

Dazu gibt es bei gescheiter Software die Funktion ein neues PW zu erzeugen und das dem User zu schicken mit der Aufforderung (manchmal auch dem Zwang) das zu ändern nach dem Einloggen. Eine Software die dir dein Passwort zusenden kann ist eh erstmal suspekt, weil das PW dann ja "lesbar" (und sei es durch einen Code o.ä. geschützt) gespeichert ist.

Das weiß aber der User der solche Mails schreibt nicht .

[Enno]

so also ich bin weitergekommen.

hab jetzt doch den pureftp am laufen.

er nimmt auch ftp logins an. man kann dateien die in dem verzeichnis stehen auch runterladen.

allerdings kann man als user nix hochladen. dann wird man sofort rausgeschmissen.

ausserdem dauert das einloggen beim ftp extremst lange.

könnt ihr ja mal ausprobieren.

80.81.26.11

user: 51207

passwd: test

Danke mal für weitere Tips und hilfen.

Gruß

Enno

[Amstelchen]

könnt ihr ja mal ausprobieren.

wenn ich von modus PASV auf aktiven modus gehe, bin ich gleich drin. evtl ein firewallproblem?

s'Amstel

[Enno]

hmm. ok das mit der firewall war das problem bei der geschwindigkeit.

hab sie auf dem ftp server mal deaktiviert nun gehts auch im passiv mode schnell.

allerdings kann ich immer noch nichts hochladen.

[Amstelchen]

stell mal auf verbose logging und schau ins logfile bzw. ins syslog.

s'Amstel

[geloescht_JesterDay]

allerdings kann ich immer noch nichts hochladen.

Hat der Benutzer (ftp oder eingeloggt) Schreibrechte im Verzeichnis?

[Enno]

51207 ist nen virtueller user.

der BS User der dahinterliegt, die Gruppe und Jeder haben auf das Verzeichnis momentan schreibrechte.

das mit dem logging schalte ich mal ein teste es und poste den logauszug hier.