vSFTPd-Handbuch

vSFTPd-Handbuch
Vorwort:
Beginnen wir mit der Beantwortung der Frage – was ist vsFTPd.
vsFTP steht für very secure File Transfer Protocol. Der vsFTPd bietet z.B. folgende Features:







virtuelle IPs
virtuelle User
Konfiguration pro User, pro Source-IP
Limits pro Source-IP
Bandweitenbeschränkung
IPv6
SSL Verschlüsselung
Wir haben hier also ein sicheres FTP-Programm, mit umfangreichen Konfigurations-Möglichkeiten,
u.a. können abhörsichere SSL-Verbindungen für den Datenverkehr genutzt werden.
Die TOOLBOX-Version des vsFTPd wurde mit einer userfreundlichen Benutzer-Verwaltung
ausgestattet, die es erlaubt Benutzer über ein GUI anzulegen, zu entfernen oder bestimmte
Benutzer-Daten zu ändern – dazu in der Beschreibung des Tools dann mehr.
vsFTPd für TOOLBOX ist für den User gedacht, der ein vorgefertigtes Freetz-Image auf seine
FRITZ!BOX geladen hat, in welchem das FTP-Programm fehlt – er vsFTPd aber dennoch gerne nutzen
möchte.
Eine Installation des vsFTPd in ein Freetz mit TOOLBOXflex in welchem das FTP-Programm schon
integriert ist, kann nicht erfolgen! Es würde zu unerwünschten Effekten kommen, wenn quasi
mehrere Instanzen des Programms laufen (eine vom vsFTPd aus dem Image und eine Andere vom
vsFTPd der TOOLBOX).
Installation des vsFTPd:
Die Installation des Tools erfolgt wie von der TOOLBOX bekannt, über die Installations-Optionen in
‚Installation & Updates‘.
Der User hat die Wahl, ob er das Tool manuell installieren möchte – dafür ist es notwendig sich das
vSFTPd[TBflex-2.5-rev.xx].tar.gz-Archiv aus der Datenbank seines Lieblings-Sat-Bordes auf seinen PC
zu downloaden – oder ob er es über die Online-Installations-Option der TOOLBOX direkt installieren
möchte.
Für unser Installations-Beispiel habe ich die manuelle Installation gewählt, somit sollten Sie als User
sicherstellen, dass sich das vSFTPd-Archiv in einem Verzeichnis auf Ihrem PC befindet.
Wenn das soweit vorbereitet ist, navigieren wir im Freetz-Menü nach ‚TOOLBOX‘ und dann nach
‚Installation & Updates‘
- Seite 01 –
Hier angekommen rufen wir mit Betätigen der Schaltfläche „USB-Laufwerk“ die Eingabe-Maske zum
Upload des vSFTP-Archives zur FRITZ!BOX auf.
Anmerkung: Bei einer FRITZ!BOX mit Internem Speicher (7390/3390/3370) kann der vSFTPd auch über
die Schaltfläche „Interner Speicher“ zur Box geladen werden und in ein im Internen Speicher der
betreffenden Box etabliertes TOOLBOX-Datei-System installiert werden.
- Seite 02 –
Mit dem Betätigen der Schaltfläche „Archiv hochladen“ beginnt die Installations-Prozedur.
- Seite -03 –
Wurde das vSFTPd-Archiv vollständig zur FRITZ!BOX geladen, erfolgt noch eine letzte Abfrage, ob die
Installation wirklich ausgeführt werden soll.
Mit einem Klick auf „Weiter“ erfolgt unwiderruflich die Installation des FTP-Servers in die
TOOLBOXflex.
- Seite 04 –
Nach erfolgreicher Installation wird automatisch das Konfigurations-WI für vSFTPD aufgerufen.
- Seite 05 -
Konfiguration des vSFTPd:
Der Starttyp sollte auf „Automatisch“ gestellt werden, damit vSFTPd nach einem Box-Neustart auch
gestartet wird.
Die ‚Home‘-Verzeichnisse der (noch anzulegenden) Benutzer sollten beim Start des FTP-Servers auch
gleich gemounted werden, deshalb in der betreffenden Checkbox ein Häkchen setzen.
Anmerkung: Mit dem Anlegen von Benutzern werden auch gleich die ‚Home‘-Verzeichnisse für den
betreffenden Benutzer erstellt. In das ‚Home‘-Verzeichnis können dann (je nach Berechtigungen für
den Benutzer) Daten abgelegt oder abgerufen werden. Außerdem werden mit der Installation des
vSFTPd zwei Verzeichnisse auf dem USB-Laufwerk – oder ggf. im Internen Speicher – erstellt, public
und shared. In diese beiden Verzeichnisse können Daten gespeichert werden, welche für ALLE
Benutzer zugänglich sein dürfen. Mit dem ‚mounten‘ der Verzeichnisse ‚public‘ und ‚shared‘ wird das
Benutzer-‚Home‘-Verzeichnis quasi mit den beiden „öffentlichen“ Verzeichnissen verbunden. Die
Option sollte also aktiviert werden.
Bei Punk „Zugriff“ sollte klar sein, wer sich mit dem FTP-Server verbinden darf, ‚Lokale Benutzer‘
sollten sich logischerweise verbinden dürfen. Ob sich ‚root‘ oder ‚ftpuser‘ ebenfalls verbinden dürfen
liegt in Ihrer „Macht“, das einloggen als „Anonymer Benutzer“ sollten Sie allerdings vermeiden –
deshalb an der Stelle KEIN Häkchen seten.
Mit der Option SSL-Einstellungen legen Sie fest, welche SSL-Versionen erlaubt werden, und sie
können Ihre Benutzer zwingen eine SSL-Verbindung zu nutzen, das wäre auf alle Fälle für einen
entfernten Zugriff per Internet empfehlenswert.
Wenn Sie den Zugriff auf Ihre Daten per SSL aktiviert werden muss allerdings zwingend ein Zertifikat
erstellt werden und auf der FRITZ!BOX hinterlegt werden. Wenn noch kein Zertifikat erstellt wurde,
werden Sie per Hinweis dazu aufgefordert.
Banner anzeigen – bedeutet nichts weiter als dass beim Benutzer-Login ein „Begrüßungs-Banner“
angezeigt wird. Hier kann zwischen dem freetz-eigenem Banner oder dem benutzerdefiniertem
Banner gewählt werden. Im vsftpd-Verzeichnis des FTP-Programms (z.B.
/var/media/ftp/uStor01/tools/vsftpd) liegt eine Datei mit Namen „ftp-startbild“; diese Datei kann
nach eigenen Vorstellungen geändert werden. (Siehe dazu auch
http://freetz.org/wiki/packages/vsftpd --> Anmeldebildschirm bei vsftpd ändern)
- Seite 07 -
Nun wird noch das ‚Logging‘ des vSFTPd konfiguriert. Die Ausgabe in eine Datei ist der des Schreibens
in das Syslog vorzuziehen! Die Log-Datei sollte nach /vor/log/vsftpd.log oder nach
/var/tbmodlog/vsftpd.log verweisen.
Mit dem Betätigen der Schaltfläche „Übernehmen“ speichern wir die Konfiguration dauerhaft, haben
wir mal ein Problem und möchten von „Grundauf“ neu konfigurieren sollte das Wiederherstellen der
„Standard-Einstellungen“ helfen.
Nun können wir die „Benutzer-Verwaltung“ aufrufen und Benutzer anlegen, welche später per ftp
oder ssl auf unsere FRITZ!BOX zugreifen dürfen.
Anmerkung: Das Anlegen verschiedener Benutzernamen ist aus Sicherheitsgründen geblockt. Es soll
vermieden werden, dass es zu Kollisionen mit Namen kommt, welche AVM- bzw. FREETZ-Intern
verwendet werden. So können beispielsweise Benutzer mit „root“, „ftp“ oder „*usr*“ im Namen nicht
angelegt werden. Genauso ist es nicht möglich z.B. einen Benutzer „nobody“ oder „ftpuser“
anzulegen. Ansonsten sind Benutzer „[name*]user“ grundsätzlich möglich.
Wir legen nun beispielhaft einen Benutzer „freetzuser“ an.
Achten Sie darauf, dass Passwort und Passwort-Wiederholung übereinstimmen, ansonsten schlägt
die Benutzer-Erstellung fehl.
Anmerkung: Vorausgewählt sind die Optionen zur ‚Home‘-Verzeichnis-Erstellung und zum ‚mounten‘
der „öffentlichen“ Verzeichnisse. Wer das unterbinden möchte, muss hier die Häkchen bewusst selbst
entfernen!
Nachdem wir nun vSFTPd soweit konfiguriert haben ist der Zeitpunkt für einen ersten Test
gekommen 
Wir drücken jetzt den „Start-Button“ und warten dann auf das ‚Start-Log‘ im vSFTPd-KonfigurationsWI.
Ist alles richtig installiert und konfiguriert worden, sollte unser vSFTPd anstandslos starten und (wenn
bei Benutzer-Anlegen aktiviert) die öffentlichen Verzeichnisse public und shared nach dem/den
‚Home‘-Verzeichniss(en) mounten.
Nun ist auch der Zeitpunkt gekommen, zu dem wir uns mit dem FTP-Programm auf dem PC zur
FRITZ!BOX verbinden. Im Beispiel ist das ein (zuggebenermassen nicht mehr ganz taufrischer)
TotalCommander. Hier richten wir als erstes die Verbindung zum vSFTPd ein. Wählen Sie einen
Namen für die Verbindung, dann die IP_der_FRITZ!BOX:PORT – im Beispiel hat die Box die IP:
192.168.178.4 und den Port, auf welchem der vSFTPd zu erreichen ist kennen wir aus dem
Konfigurations-WI, wir erinnern uns dass es Port 24 war. Also sind unsere Verbindungs-Daten:
192.168.178.4:24 – der Benutzername ist im Beispiel „freetzuser“, den hatten wir ja vor kurzem erst
selber angelegt. Das Passwort, welches Sie ja zweimal ins Konfigurations-WI eintragen mussten,
sollten Sie sich selber gemerkt haben, das tragen Sie bei Passwort ein.
Anschließend übernehmen Sie bitte alles mit einem Klick auf „OK“, damit es dauerhaft gespeichert
wird.
Einen Tipp an der Stelle; für die ersten Tests ist es ratsam die Verbindung erst mal OHNE SSLVerschlüsselung herzustellen, um dies als evtl. Fehlerquelle für einen fehlgeschlagenen
Verbindungsaufbau auszuschließen.
- Seite 10 –
Ist alles gut gegangen, haben wir alles korrekt eingetragen und konfiguriert, sollte die Verbindung zur
FRITZ!BOX innerhalb weniger Sekunden stehen.
Wir sehen nun im linken Fenster des TC, dass die Verbindung nach
/var/media/ftp/uStor01/freetzuser hergestellt wurde. Die „öffentlichen“ Verzeichnisse public und
shared wurden gemounted und wurden auf diese Weise in das ‚Home‘-Verzeichnis von „freetzuser“
eingebunden.
Damit haben wir die Verbindung vom PC nach der FRITZ!BOX erfolgreich hergestellt.
vSFTPd-LOG überprüfen:
Nachdem die Verbindung erfolgreich hergestellt wurde kann man im vsftp.log überprüfen, wer sich
wann mit der FRITZ!BOX verbunden hat. Zu erkennen ist dann auch, ob die Verbindung akzeptiert
oder zurückgewiesen wurde.
Anmerkung: An dieser Stelle sei nochmals darauf hingewiesen das vsftp.log in eine separate Datei
schreiben zu lassen und nicht nach ‚syslog‘. Im ‚sylog‘ werden alle möglichen weiteren Zustande der
FRITZ!BOX geloggt, das vsftpd.log würde deshalb völlig „zerissen“ dargestellt, eine Analyse des LogFiles somit unmöglich.
- Seite 12 –
Ändern von Benutzerdaten:
Grundsätzlich sollten die Benutzer bereits bei der Erstellung entsprechend konfiguriert werden.
Manchmal ist es aber dennoch notwendig einem Benutzer z.B. ein neues Passwort zu vergeben. Die
Benutzer-Verwaltung bietet auch dafür Möglichkeiten.
Erster Anlaufpunkt ist die Schaltfläche „Benutzer-Verwaltung“ im Konfigurations-WI des vSFTPd. In
der Benutzer-Verwaltung werden in der oberen Sektion alle bereits angelegten und von vSFTPd
verwalteten Benutzer aufgelistet.
Hinter jedem Benutzer sind zwei kleine Schaltflächen sichtbar.
Konfiguration für den betreffenden Benutzer aufrufen.
betreffender Benutzer wird ohne weitere Abfrage entfernt.
Bevor man die Schaltfläche „Papierkorb“ benutzt, sollte man sich ganz sicher sein …
Mit dem Betätigen der Schaltfläche „Konfiguration“ wird Ihnen die Möglichkeit geboten
benutzerdefinierte Einstellungen vorzunehmen.
Möglich ist es das Passwort für den betreffenden Benutzer zu ändern, das ‚Home‘-Verzeichnis kann
geändert werden. Es können neue Berechtigungen für den Benutzer zum Anlegen von Dateien, bzw.
zum Löschen oder Verschieben von Daten auf dem FTP-Server festgelegt werden.
Wenn hier Änderungen vorgenommen wurden, sollte vSFTPd unbedingt neu gestartet werden, damit
die Änderungen auch wirksam werden.
In der Benutzer-Verwaltung können auch Benutzer mit „root“-Berechtigungen angelegt werden.
Diese Option ist allerdings mit größtmöglicher Vorsicht „zu genießen“, denn ein „root“-User ist auch
in der Lage relevante Daten zu verändern! Sie sollten also wissen, wen Sie diese Möglichkeiten
bieten, sich evtl. nicht wundern, warum u.U. nach der „Freischaltung“ eines „root“-Benutzers
plötzlich das Eine oder Andere nicht mehr funktioniert!
Für „root“-Benutzer wird kein ‚Home‘-Verzeichnis angelegt, ein „root“-Benutzer kann auf alle DatenBestände der FRITZ!BOX zugreifen, könnte somit theoretisch (und praktisch auch) Skripte verändern,
Daten an jeder beliebigen Stelle (sofern das Datei-System der FRITZ!BOX das zulässt) löschen,
anlegen, verschieben usw.
„root“-Benutzer erscheinen nicht in der Benutzer-Verwaltung und können hier auch nicht wieder
entfernt werden. Sie müssen diese Benutzer manuell verwalten, z.B. über telnet oder mit
WinSCP/putty
- Seite 14 –
De-Installation von vSFTPd:
Die TOOLBOX-Version des vSFTPd kann jederzeit auch wieder de-installiert werden.
Dazu navigieren Sie im TOOLBOX-Menü nach ‚Installation & Updates‘. In der unteren Sektion zur DeInstallation wird vSFTPd unter ‚Tools & Programme‘ zur De-Installation angeboten.
Mit dem Betätigen der Schaltfläche „Vsftpd“ beginnt die De-Installation des FTP-Programms.
Im nächsten Schritt erfolgt noch eine Abfrage ob die unter vSFTPd-Benutzer-Verwaltung stehenden
Benutzer ebenfalls entfernt werden sollen. Das sollten Sie nur tun, wenn Sie sicher sind, dass keine
anderen Programme ebenfalls die entsprechenden Benutzer benötigen. Beispielsweise könnte der
Benutzer „xyz“, der zwar mit vSFTPd angelegt wurde, auch von „Apache“ benutzt werden. Oder bei
FRITZ!BOXen mit Internem Speicher besteht die Möglichkeit, dass ein System auf einem USBLaufwerk etabliert wurde, sich ein Weiteres im Internen Speicher der Box befindet. Ist in beiden
Systemen vSFTPd installiert, so benutzen beide Targets auch dieselben Benutzer. Auch in diesem Fall
sollten Benutzer und ‚Home‘-Verzeichnisse nicht de-installiert werden.
Und nun viel Spaß mit der TOOLBOX-Version des vSFTPd. Fragen, Anregungen, Wünsche zum Tool,
aber auch Probleme posten Sie bitte in Ihrem Lieblings-Sat-Forum an den dafür passenden Stellen.
Nachtfalke-Freetz-Team
ZebraDem Dev Team