Pogoplug E02 Debian Cardserver mit IPC

Allgemein
proftpd ist ein FTP-Server für Linux und ermöglicht es seinen Benutzern per FTP-Client Datentransfere zum Server hin bzw. auch zum Client hin durchzuführen (Download/Upload von Dateien) - Es sei dabei nochmal erwähnt, dass FTP standartmäßig absolut unverschlüsselt arbeitet und alle Passwörter, etc. im Klartext übertragen werden, was das FTP-Protokoll zu einem sicherheitsanfälligem Protokoll macht.

Installation und Configuration

Für die Grundinstallation von ProFTPD lassen wir unseren Paketmanager einfach das Paket "proftpd" installieren.
apt-get install proftpd
Nachdem die Grundinstallation abgeschlossen ist, müssen wir die Konfigurationsdatei bearbeiten um einige wichtige Werte anzupassen.
nano /etc/proftpd/proftpd.conf
Wir suchen die folgenden Werte und bearbeiten diese entsprechend bzw. fügen sie hinzu, falls sie nicht existieren:
DefaultRoot ~
UseReverseDNS off
IdentLookups off
ServerName "123.123.123.123 FTP Server"
ServerType standalone
DenyFilter \*.*/
RequireValidShell on

Für den Fall, dass später mit TLS (Verschlüsselung auf Zertifikatbasis) gearbeitet werden soll, fügen wir ebenfalls folgendes am Schluss ein:
Include /etc/proftpd/tls.conf

Zur kurzen Erklärung einiger, der oben gesetzen Parameter:
DefaultRoot ~ -> Sorgt dafür, dass alle Benutzer in ihrem Stammverzeichnis eingesperrt sind und sich nicht frei in der Ordnerstruktur des Servers bewegen können.
ServerName "xxx" -> Der Name des Servers, der bei der ersten Anfrage des FTP-Clients bei der Statusmeldung 220 OK mitgegeben wird.
ServerType standalone -> Der Server läuft nicht mit inetd, sondern als eigenständiger Server.
DenyFilter \*.*/ -> Wird verwendet um ein Sicherheitsproblem zu beheben.
RequireValidShell on -> Damit sich ein Benutzer via FTP anmelden kann, muss die, dem Benutzer unter /etc/passwd zugeordnete Shell, in der Datei /etc/shells existieren und somit als "Valid Shell" gekennzeichnet sein.
Falls noch nicht für andere Zwecke bereits geschehen, muss jetzt noch die Shell /bin/false als Valid Shell hinzugefügt werden. Dieser Schritt ist denkbar einfach.
Man öffnet die Datei /etc/shells und fügt einfach an das Ende der Datei folgende Zeile:
/bin/false

Falls man "nano" benutzt -> STRG + X und das Speichern mit Y bestätigen. Die Shell /bin/false ist dem System jetzt bekannt. Bevor wir weitermachen starten wir ProFTPD erstmal neu:
/etc/init.d/proftpd restart

Benutzer für FTP anlegen Nun legen wir einen neuen Benutzer an. Ich gehe in diesem Beispiel einfach von einem Upload-Benutzer aus, dessen Stammverzeichnis unter /home/upload liegen soll.
adduser –home /home/upload –shell /bin/false upload
Anschließend erscheint eine Passwortaufforderung, die ihr entsprechend ausfüllen und bestätigen müsst. Anschließend testen wir die Verbindung zum Server (beispielsweise mit dem OpenSource-FTP-Client "FileZilla")
Im Log des Clients sollte direkt nach der Auflösung des Hosts etwa folgendes stehen:
220 ProFTPD 1.3.3a Server (Euer Servername) ::ffff:xx.xx.xx.xx]

Optional: Explizite Verschlüsselung per TLS Wie bereits im Konfigurationsabschnitt erwähnt, muss für TLS in der proftpd.conf ein Include-Verweis auf /etc/proftpd/tls.conf erfolgt sein.
Include /etc/proftpd/tls.conf

Anschließend legen wir die entsprechende Datei an, falls dies noch nicht geschehen ist und bearbeiten sie.

touch /etc/proftpd/tls.conf && nano /etc/proftpd/tls.conf
In die Datei kommt nun folgender Inhalt:

<IfModule mod_tls.c>
TLSEngine on
TLSLog /var/log/proftpd/tls.log
TLSProtocol SSLv23
TLSOptions NoCertRequest
TLSRSACertificateFile /etc/proftpd/ssl/proftpd.cert.pem
TLSRSACertificateKeyFile /etc/proftpd/ssl/proftpd.key.pem
TLSVerifyClient off
TLSRequired on
</IfModule>
Jetzt muss jedoch noch das entsprechende Zertifikat erstellt werden, damit ProFTPD auch damit arbeiten kann. Wenn ihr ein eigenes (z.B. bei Hetzner bestellt) besitzt, gebt den Pfad in der Config entsprechend an. Solltet ihr über kein, meist sehr teures Zertifikat verfügen, dass von einer "vertrauenswürdigen" Stelle signiert wurde, so müsst ihr euch selbst behelfen. Dafür muss das Debian-Paket openssl installiert sein.

apt-get install openssl Anschließend werden folgende Befehle verwendet, um das Zertifikat an genanntem Ort zu erstellen:
mkdir /etc/proftpd/ssl
openssl req -new -x509 -days 365 -nodes -out /etc/proftpd/ssl/proftpd.cert.pem
-keyout /etc/proftpd/ssl/proftpd.key.pem
Nach dem OpenSSL-Befehl wird man nach einigen Angaben gefragt:

Country Name (2 letter code) [AU]: DE
State or Province Name (full name) [Some-State]: Hessen
Locality Name (eg, city) []: Frankfurt am Main
Organization Name (eg, company) [Internet Widgits Pty Ltd]: XYZ GmbH
Organizational Unit Name (eg, section) []: IT-Abteilung
Common Name (eg, YOUR name) []: server.host.com
Email Address []: root@host.com
Wichtig ist, dass bei Common Name der FQDN angegeben wird! Falls ihr über keine Domain verfügt, muss das der Hostname sein, der von Hetzner parallel zur IP vergeben wurde! static.xx-xx-xx-xx.your-server.de !


Startet anschließend ProFTPD neu und richtet FileZilla auf "Explizites FTP über TSL anfordern" - Durch den Konfigurationswert "TLSRequired on" werden jegliche Verbindungsversuche über das normale FTP-Protokoll (Port 21) automatisch abgewiesen.

2013/09/05 17:49:22 19DCAE0 c Pu-Wz (098C&000000/0BC0/007F/98:E8071D51CA10926DCCB4932413B1A18E): found (72 ms) by SKY - 13th Street HD
2013/09/05 17:49:30 19DCAE0 c Pu-Wz (098C&000000/0BC0/007F/98D5ADAC59345DB14A883351460476083): found (74 ms) by SKY - 13th Street HD
2013/09/05 17:49:37 19DCAE0 c Pu-Wz (098C&000000/0BC0/007F/98:1F3921919EDDFE889548FA5C62E307E1): found (74 ms) by SKY - 13th Street HD
2013/09/05 17:49:44 19DCAE0 c Pu-Wz (098C&000000/0BC0/007F/98:7E8B262873237C83E594F64C956C5EA9): found (73 ms) by SKY - 13th Street HD
2013/09/05 17:49:50 19DCAE0 c Pu-Wz (098C&000000/0BC0/007F/9B:81C642574B3E4A0F73BED26912F0A04D): rejected group (0 ms) (0/0/0/0) - 13th Street HD (no matching reader)
2013/09/05 17:49:58 19DCAE0 c Pu-Wz (098C&000000/0BC0/007F/98:52C99F83681A7906BF61B33BEF5F23E7): found (74 ms) by SKY - 13th Street HD
2013/09/05 17:50:19 19DCAE0 c Pu-Wz (098C&000000/0BC0/007F/98:B5BEF864AA6A64ADFFB7B52DAA3DEF7A): found (73 ms) by SKY - 13th Street HD
2013/09/05 17:50:29 19DCAE0 c Pu-Wz (098C&000000/0BC0/007F/98:6A1E30B37AED832FC5A1213B24BC0D93): found (74 ms) by SKY - 13th Street HD
20