vSFTPd-Handbuch
Transcrição
vSFTPd-Handbuch
vSFTPd-Handbuch Vorwort: Beginnen wir mit der Beantwortung der Frage – was ist vsFTPd. vsFTP steht für very secure File Transfer Protocol. Der vsFTPd bietet z.B. folgende Features: virtuelle IPs virtuelle User Konfiguration pro User, pro Source-IP Limits pro Source-IP Bandweitenbeschränkung IPv6 SSL Verschlüsselung Wir haben hier also ein sicheres FTP-Programm, mit umfangreichen Konfigurations-Möglichkeiten, u.a. können abhörsichere SSL-Verbindungen für den Datenverkehr genutzt werden. Die TOOLBOX-Version des vsFTPd wurde mit einer userfreundlichen Benutzer-Verwaltung ausgestattet, die es erlaubt Benutzer über ein GUI anzulegen, zu entfernen oder bestimmte Benutzer-Daten zu ändern – dazu in der Beschreibung des Tools dann mehr. vsFTPd für TOOLBOX ist für den User gedacht, der ein vorgefertigtes Freetz-Image auf seine FRITZ!BOX geladen hat, in welchem das FTP-Programm fehlt – er vsFTPd aber dennoch gerne nutzen möchte. Eine Installation des vsFTPd in ein Freetz mit TOOLBOXflex in welchem das FTP-Programm schon integriert ist, kann nicht erfolgen! Es würde zu unerwünschten Effekten kommen, wenn quasi mehrere Instanzen des Programms laufen (eine vom vsFTPd aus dem Image und eine Andere vom vsFTPd der TOOLBOX). Installation des vsFTPd: Die Installation des Tools erfolgt wie von der TOOLBOX bekannt, über die Installations-Optionen in ‚Installation & Updates‘. Der User hat die Wahl, ob er das Tool manuell installieren möchte – dafür ist es notwendig sich das vSFTPd[TBflex-2.5-rev.xx].tar.gz-Archiv aus der Datenbank seines Lieblings-Sat-Bordes auf seinen PC zu downloaden – oder ob er es über die Online-Installations-Option der TOOLBOX direkt installieren möchte. Für unser Installations-Beispiel habe ich die manuelle Installation gewählt, somit sollten Sie als User sicherstellen, dass sich das vSFTPd-Archiv in einem Verzeichnis auf Ihrem PC befindet. Wenn das soweit vorbereitet ist, navigieren wir im Freetz-Menü nach ‚TOOLBOX‘ und dann nach ‚Installation & Updates‘ - Seite 01 – Hier angekommen rufen wir mit Betätigen der Schaltfläche „USB-Laufwerk“ die Eingabe-Maske zum Upload des vSFTP-Archives zur FRITZ!BOX auf. Anmerkung: Bei einer FRITZ!BOX mit Internem Speicher (7390/3390/3370) kann der vSFTPd auch über die Schaltfläche „Interner Speicher“ zur Box geladen werden und in ein im Internen Speicher der betreffenden Box etabliertes TOOLBOX-Datei-System installiert werden. - Seite 02 – Mit dem Betätigen der Schaltfläche „Archiv hochladen“ beginnt die Installations-Prozedur. - Seite -03 – Wurde das vSFTPd-Archiv vollständig zur FRITZ!BOX geladen, erfolgt noch eine letzte Abfrage, ob die Installation wirklich ausgeführt werden soll. Mit einem Klick auf „Weiter“ erfolgt unwiderruflich die Installation des FTP-Servers in die TOOLBOXflex. - Seite 04 – Nach erfolgreicher Installation wird automatisch das Konfigurations-WI für vSFTPD aufgerufen. - Seite 05 - Konfiguration des vSFTPd: Der Starttyp sollte auf „Automatisch“ gestellt werden, damit vSFTPd nach einem Box-Neustart auch gestartet wird. Die ‚Home‘-Verzeichnisse der (noch anzulegenden) Benutzer sollten beim Start des FTP-Servers auch gleich gemounted werden, deshalb in der betreffenden Checkbox ein Häkchen setzen. Anmerkung: Mit dem Anlegen von Benutzern werden auch gleich die ‚Home‘-Verzeichnisse für den betreffenden Benutzer erstellt. In das ‚Home‘-Verzeichnis können dann (je nach Berechtigungen für den Benutzer) Daten abgelegt oder abgerufen werden. Außerdem werden mit der Installation des vSFTPd zwei Verzeichnisse auf dem USB-Laufwerk – oder ggf. im Internen Speicher – erstellt, public und shared. In diese beiden Verzeichnisse können Daten gespeichert werden, welche für ALLE Benutzer zugänglich sein dürfen. Mit dem ‚mounten‘ der Verzeichnisse ‚public‘ und ‚shared‘ wird das Benutzer-‚Home‘-Verzeichnis quasi mit den beiden „öffentlichen“ Verzeichnissen verbunden. Die Option sollte also aktiviert werden. Bei Punk „Zugriff“ sollte klar sein, wer sich mit dem FTP-Server verbinden darf, ‚Lokale Benutzer‘ sollten sich logischerweise verbinden dürfen. Ob sich ‚root‘ oder ‚ftpuser‘ ebenfalls verbinden dürfen liegt in Ihrer „Macht“, das einloggen als „Anonymer Benutzer“ sollten Sie allerdings vermeiden – deshalb an der Stelle KEIN Häkchen seten. Mit der Option SSL-Einstellungen legen Sie fest, welche SSL-Versionen erlaubt werden, und sie können Ihre Benutzer zwingen eine SSL-Verbindung zu nutzen, das wäre auf alle Fälle für einen entfernten Zugriff per Internet empfehlenswert. Wenn Sie den Zugriff auf Ihre Daten per SSL aktiviert werden muss allerdings zwingend ein Zertifikat erstellt werden und auf der FRITZ!BOX hinterlegt werden. Wenn noch kein Zertifikat erstellt wurde, werden Sie per Hinweis dazu aufgefordert. Banner anzeigen – bedeutet nichts weiter als dass beim Benutzer-Login ein „Begrüßungs-Banner“ angezeigt wird. Hier kann zwischen dem freetz-eigenem Banner oder dem benutzerdefiniertem Banner gewählt werden. Im vsftpd-Verzeichnis des FTP-Programms (z.B. /var/media/ftp/uStor01/tools/vsftpd) liegt eine Datei mit Namen „ftp-startbild“; diese Datei kann nach eigenen Vorstellungen geändert werden. (Siehe dazu auch http://freetz.org/wiki/packages/vsftpd --> Anmeldebildschirm bei vsftpd ändern) - Seite 07 - Nun wird noch das ‚Logging‘ des vSFTPd konfiguriert. Die Ausgabe in eine Datei ist der des Schreibens in das Syslog vorzuziehen! Die Log-Datei sollte nach /vor/log/vsftpd.log oder nach /var/tbmodlog/vsftpd.log verweisen. Mit dem Betätigen der Schaltfläche „Übernehmen“ speichern wir die Konfiguration dauerhaft, haben wir mal ein Problem und möchten von „Grundauf“ neu konfigurieren sollte das Wiederherstellen der „Standard-Einstellungen“ helfen. Nun können wir die „Benutzer-Verwaltung“ aufrufen und Benutzer anlegen, welche später per ftp oder ssl auf unsere FRITZ!BOX zugreifen dürfen. Anmerkung: Das Anlegen verschiedener Benutzernamen ist aus Sicherheitsgründen geblockt. Es soll vermieden werden, dass es zu Kollisionen mit Namen kommt, welche AVM- bzw. FREETZ-Intern verwendet werden. So können beispielsweise Benutzer mit „root“, „ftp“ oder „*usr*“ im Namen nicht angelegt werden. Genauso ist es nicht möglich z.B. einen Benutzer „nobody“ oder „ftpuser“ anzulegen. Ansonsten sind Benutzer „[name*]user“ grundsätzlich möglich. Wir legen nun beispielhaft einen Benutzer „freetzuser“ an. Achten Sie darauf, dass Passwort und Passwort-Wiederholung übereinstimmen, ansonsten schlägt die Benutzer-Erstellung fehl. Anmerkung: Vorausgewählt sind die Optionen zur ‚Home‘-Verzeichnis-Erstellung und zum ‚mounten‘ der „öffentlichen“ Verzeichnisse. Wer das unterbinden möchte, muss hier die Häkchen bewusst selbst entfernen! Nachdem wir nun vSFTPd soweit konfiguriert haben ist der Zeitpunkt für einen ersten Test gekommen Wir drücken jetzt den „Start-Button“ und warten dann auf das ‚Start-Log‘ im vSFTPd-KonfigurationsWI. Ist alles richtig installiert und konfiguriert worden, sollte unser vSFTPd anstandslos starten und (wenn bei Benutzer-Anlegen aktiviert) die öffentlichen Verzeichnisse public und shared nach dem/den ‚Home‘-Verzeichniss(en) mounten. Nun ist auch der Zeitpunkt gekommen, zu dem wir uns mit dem FTP-Programm auf dem PC zur FRITZ!BOX verbinden. Im Beispiel ist das ein (zuggebenermassen nicht mehr ganz taufrischer) TotalCommander. Hier richten wir als erstes die Verbindung zum vSFTPd ein. Wählen Sie einen Namen für die Verbindung, dann die IP_der_FRITZ!BOX:PORT – im Beispiel hat die Box die IP: 192.168.178.4 und den Port, auf welchem der vSFTPd zu erreichen ist kennen wir aus dem Konfigurations-WI, wir erinnern uns dass es Port 24 war. Also sind unsere Verbindungs-Daten: 192.168.178.4:24 – der Benutzername ist im Beispiel „freetzuser“, den hatten wir ja vor kurzem erst selber angelegt. Das Passwort, welches Sie ja zweimal ins Konfigurations-WI eintragen mussten, sollten Sie sich selber gemerkt haben, das tragen Sie bei Passwort ein. Anschließend übernehmen Sie bitte alles mit einem Klick auf „OK“, damit es dauerhaft gespeichert wird. Einen Tipp an der Stelle; für die ersten Tests ist es ratsam die Verbindung erst mal OHNE SSLVerschlüsselung herzustellen, um dies als evtl. Fehlerquelle für einen fehlgeschlagenen Verbindungsaufbau auszuschließen. - Seite 10 – Ist alles gut gegangen, haben wir alles korrekt eingetragen und konfiguriert, sollte die Verbindung zur FRITZ!BOX innerhalb weniger Sekunden stehen. Wir sehen nun im linken Fenster des TC, dass die Verbindung nach /var/media/ftp/uStor01/freetzuser hergestellt wurde. Die „öffentlichen“ Verzeichnisse public und shared wurden gemounted und wurden auf diese Weise in das ‚Home‘-Verzeichnis von „freetzuser“ eingebunden. Damit haben wir die Verbindung vom PC nach der FRITZ!BOX erfolgreich hergestellt. vSFTPd-LOG überprüfen: Nachdem die Verbindung erfolgreich hergestellt wurde kann man im vsftp.log überprüfen, wer sich wann mit der FRITZ!BOX verbunden hat. Zu erkennen ist dann auch, ob die Verbindung akzeptiert oder zurückgewiesen wurde. Anmerkung: An dieser Stelle sei nochmals darauf hingewiesen das vsftp.log in eine separate Datei schreiben zu lassen und nicht nach ‚syslog‘. Im ‚sylog‘ werden alle möglichen weiteren Zustande der FRITZ!BOX geloggt, das vsftpd.log würde deshalb völlig „zerissen“ dargestellt, eine Analyse des LogFiles somit unmöglich. - Seite 12 – Ändern von Benutzerdaten: Grundsätzlich sollten die Benutzer bereits bei der Erstellung entsprechend konfiguriert werden. Manchmal ist es aber dennoch notwendig einem Benutzer z.B. ein neues Passwort zu vergeben. Die Benutzer-Verwaltung bietet auch dafür Möglichkeiten. Erster Anlaufpunkt ist die Schaltfläche „Benutzer-Verwaltung“ im Konfigurations-WI des vSFTPd. In der Benutzer-Verwaltung werden in der oberen Sektion alle bereits angelegten und von vSFTPd verwalteten Benutzer aufgelistet. Hinter jedem Benutzer sind zwei kleine Schaltflächen sichtbar. Konfiguration für den betreffenden Benutzer aufrufen. betreffender Benutzer wird ohne weitere Abfrage entfernt. Bevor man die Schaltfläche „Papierkorb“ benutzt, sollte man sich ganz sicher sein … Mit dem Betätigen der Schaltfläche „Konfiguration“ wird Ihnen die Möglichkeit geboten benutzerdefinierte Einstellungen vorzunehmen. Möglich ist es das Passwort für den betreffenden Benutzer zu ändern, das ‚Home‘-Verzeichnis kann geändert werden. Es können neue Berechtigungen für den Benutzer zum Anlegen von Dateien, bzw. zum Löschen oder Verschieben von Daten auf dem FTP-Server festgelegt werden. Wenn hier Änderungen vorgenommen wurden, sollte vSFTPd unbedingt neu gestartet werden, damit die Änderungen auch wirksam werden. In der Benutzer-Verwaltung können auch Benutzer mit „root“-Berechtigungen angelegt werden. Diese Option ist allerdings mit größtmöglicher Vorsicht „zu genießen“, denn ein „root“-User ist auch in der Lage relevante Daten zu verändern! Sie sollten also wissen, wen Sie diese Möglichkeiten bieten, sich evtl. nicht wundern, warum u.U. nach der „Freischaltung“ eines „root“-Benutzers plötzlich das Eine oder Andere nicht mehr funktioniert! Für „root“-Benutzer wird kein ‚Home‘-Verzeichnis angelegt, ein „root“-Benutzer kann auf alle DatenBestände der FRITZ!BOX zugreifen, könnte somit theoretisch (und praktisch auch) Skripte verändern, Daten an jeder beliebigen Stelle (sofern das Datei-System der FRITZ!BOX das zulässt) löschen, anlegen, verschieben usw. „root“-Benutzer erscheinen nicht in der Benutzer-Verwaltung und können hier auch nicht wieder entfernt werden. Sie müssen diese Benutzer manuell verwalten, z.B. über telnet oder mit WinSCP/putty - Seite 14 – De-Installation von vSFTPd: Die TOOLBOX-Version des vSFTPd kann jederzeit auch wieder de-installiert werden. Dazu navigieren Sie im TOOLBOX-Menü nach ‚Installation & Updates‘. In der unteren Sektion zur DeInstallation wird vSFTPd unter ‚Tools & Programme‘ zur De-Installation angeboten. Mit dem Betätigen der Schaltfläche „Vsftpd“ beginnt die De-Installation des FTP-Programms. Im nächsten Schritt erfolgt noch eine Abfrage ob die unter vSFTPd-Benutzer-Verwaltung stehenden Benutzer ebenfalls entfernt werden sollen. Das sollten Sie nur tun, wenn Sie sicher sind, dass keine anderen Programme ebenfalls die entsprechenden Benutzer benötigen. Beispielsweise könnte der Benutzer „xyz“, der zwar mit vSFTPd angelegt wurde, auch von „Apache“ benutzt werden. Oder bei FRITZ!BOXen mit Internem Speicher besteht die Möglichkeit, dass ein System auf einem USBLaufwerk etabliert wurde, sich ein Weiteres im Internen Speicher der Box befindet. Ist in beiden Systemen vSFTPd installiert, so benutzen beide Targets auch dieselben Benutzer. Auch in diesem Fall sollten Benutzer und ‚Home‘-Verzeichnisse nicht de-installiert werden. Und nun viel Spaß mit der TOOLBOX-Version des vSFTPd. Fragen, Anregungen, Wünsche zum Tool, aber auch Probleme posten Sie bitte in Ihrem Lieblings-Sat-Forum an den dafür passenden Stellen. Nachtfalke-Freetz-Team ZebraDem Dev Team