Автор Тема: ProFTPd  (Прочитано 2856 раз)

0 Пользователей и 1 Гость просматривают эту тему.

Оффлайн Snake

  • СтуденТ
  • Hero Member
  • *****
  • Сообщений: 1990
  • Карма: +6/-0
    • БложеГ
ProFTPd
« : Февраль 28, 2009, 03:26:29 pm »
FTP  (англ. File Transfer Protocol — протокол передачи файлов) — протокол, предназначенный для передачи файлов в компьютерных сетях. FTP позволяет подключаться к серверам FTP, просматривать содержимое каталогов и загружать файлы с сервера или на сервер; кроме того, возможен режим передачи файлов между серверами (см. FXP).

FTP является одним из старейших прикладных протоколов, появившимся задолго до HTTP, в 1971 году. До начала 90-х годов на долю FTP приходилось около половины трафика в сети Интернет. Он и сегодня широко используется для распространения ПО и доступа к удалённым хостам.

Протокол FTP относится к протоколам прикладного уровня и для передачи данных использует транспортный протокол TCP. Команды и данные, в отличие от большинства других протоколов передаются по разным портам. Порт 20 используется для передачи данных, порт 21 для передачи команд.

Протокол не шифруется, при аутентификации передаёт логин и пароль открытым текстом. Если злоумышленник находится в одном сегменте сети с пользователем FTP, то, используя сниффер, он может перехватить логин и пароль пользователя, или, при наличии специального ПО, получать передаваемые по FTP файлы без авторизации. Чтобы предотвратить перехват трафика, необходимо использовать протокол шифрования данных SSL, который поддерживается многими современными FTP-серверами и некоторыми FTP-клиентами.

Источник[/a]

Собственно, о настройке. Собственно, что требуется от FTP-сервера? Директория для анонимусов, куда они смогут складывать свои файлы, плюс директории для пользователей (например, для веб-админа, для заливки файлов сайта).

Установка не вызывает затруднений, разве что мне пришлось отключить mod_ban, иначе демон не собирался :sadd:.

конфиг демона лежит тут: /usr/local/etc/proftpd.conf
ServerName                      "Hostel5 unlim server"           #Имя сервера
ServerType                      Standalone                             # Тип запуска - отдельным процессом, или в составе "суперсервера" inetd
DefaultServer                   off                                         # смысл следующей директивы такой: если клиент коннектится не на имя
                                                                                    # а на IP или на виртуальный хост, не описанный в конфиге, то при
                                                                                    # установке в `off` он получит отлуп, если же установлено `on` то
                                                                                    # он будет обслужен `сервером по-умолчанию`
ServerIdent                     off                                          # текст приветствия, выдаваемого клиенту после соединения; "ProFTPD [version] Server (server name) [hostname]"
DefaultAddress                  10.12.51.11                           # Адрес, на котором ждем соединений. Можно не указывать.
RootLogin                       off                                           # Запрещаем логинится руту. Эта опция дублирует строчку в /etc/ftpusers

Port                            21
Umask                           022                                          # Маска с которой создаются новые файлы (не совсем маска - маска получается
                                                                                    # из этого значения, путём его вычитания из 777 - т.е. в даном случае получится
                                                                                    # маска 755)
UseReverseDNS                   off                                      # определять имя хоста клиента по IP адресу)
MaxInstances                    30
SystemLog                       /var/log/proftpd-error.log
CommandBufferSize       512
DenyFilter \*.*/                                                              # Закрываемся от выражений типа ../../../

User                            nobody                                        #Юзер и группа, от чьего имени запускается сервер
Group                           nogroup
DefaultRoot                     ~ !snake                                   #Все пользователи chroot'ятся в своей директории, кроме snake'a, ему разрешается лазить везде

<Directory /upload/*>                                                     #Разрешаем запись в папку анонимусов
AllowOverwrite                  on
<Limit WRITE>
 AllowAll
</Limit>
</Directory>

<Anonymous /var/ftp/upload >                                          #Настройка директории анонимусов
   Require Valid Shell             off                                          # Пользователю не нужен работающий шелл, чтобы войти (без пробелов! цензор сайта слишком бдительный просто)
   User                         ftp
   Group                        ftp
   UserAlias                    anonymous ftp                               #назначаем псевдоним
   MaxClients                   10

</Anonymous>

Буду рад дополнениям и уточнениям. Много параметров конфига можно найти здесь[/a]
И самый лютый зверь, тот знает жалость... я жалости не ведаю... Так значит, я не зверь! (с) Шекспир

Оффлайн Amper

  • Sr. Member
  • ****
  • Сообщений: 305
  • Карма: +1/-0
    • http://
ProFTPd
« Ответ #1 : Февраль 28, 2009, 10:00:53 pm »
Цитировать (выделенное)
Если злоумышленник находится в одном сегменте сети с пользователем FTP, то, используя сниффер, он может перехватить логин и пароль пользователя, или, при наличии специального ПО, получать передаваемые по FTP файлы без авторизации.
Уже много лет не актуально - на смену хабам пришли свичи, которые не шлют все подряд всем подряд. Исключение - незащищенные wifi сети.
Цитировать (выделенное)
DefaultAddress                  10.12.51.11
Если нужно слушать на всех интерфейсах то нужно указать 0.0.0.0
« Последнее редактирование: Февраль 28, 2009, 10:02:51 pm от Amper »

Оффлайн Snake

  • СтуденТ
  • Hero Member
  • *****
  • Сообщений: 1990
  • Карма: +6/-0
    • БложеГ
ProFTPd
« Ответ #2 : Март 01, 2009, 01:04:37 am »
Цитировать (выделенное)
 Уже много лет не актуально - на смену хабам пришли свичи, которые не шлют все подряд всем подряд. Исключение - незащищенные wifi сети.
А еще есть такая штука как атака Man-in-the-Middle, с подменой arp-таблиц и mac-адреса. Трафик при желании перехватить можно всегда
И самый лютый зверь, тот знает жалость... я жалости не ведаю... Так значит, я не зверь! (с) Шекспир

Оффлайн Amper

  • Sr. Member
  • ****
  • Сообщений: 305
  • Карма: +1/-0
    • http://
ProFTPd
« Ответ #3 : Март 01, 2009, 10:55:17 am »
Цитировать (выделенное)
А еще есть такая штука как атака Man-in-the-Middle, с подменой arp-таблиц и mac-адреса. Трафик при желании перехватить можно всегда
SSL от нее не панацея

Оффлайн Snake

  • СтуденТ
  • Hero Member
  • *****
  • Сообщений: 1990
  • Карма: +6/-0
    • БложеГ
ProFTPd
« Ответ #4 : Март 01, 2009, 12:58:14 pm »
SSL здорово помогает... сам факт шифрования здорово усложняет жизнь нелегалам :smile:
И самый лютый зверь, тот знает жалость... я жалости не ведаю... Так значит, я не зверь! (с) Шекспир

Оффлайн Amper

  • Sr. Member
  • ****
  • Сообщений: 305
  • Карма: +1/-0
    • http://
ProFTPd
« Ответ #5 : Март 01, 2009, 08:42:02 pm »
Цитировать (выделенное)
SSL здорово помогает... сам факт шифрования здорово усложняет жизнь нелегалам
Только на самом деле это больше напоминает войну с ветряными мельницами, если у тебя не крупный сервер с тысячами посещений в день то и ломать тебя по сути некому, разве что боты будут переодически брутфорсить пароли, да и то больше по SSH чем по FTP, так что понаставив заборов усложнишь жизнь больше себе, нежели злоумышленникам. Если же твоим сервером заинтересуются очень сильно, то тут SSL уже не поможет.

Оффлайн Snake

  • СтуденТ
  • Hero Member
  • *****
  • Сообщений: 1990
  • Карма: +6/-0
    • БложеГ
ProFTPd
« Ответ #6 : Март 01, 2009, 09:42:59 pm »
Мм... а кто сказал что применять его нужно в массовом порядке?
И самый лютый зверь, тот знает жалость... я жалости не ведаю... Так значит, я не зверь! (с) Шекспир

Оффлайн StranNik

  • Administrator
  • Hero Member
  • *****
  • Сообщений: 8964
  • Карма: +12/-0
  • Логико-интуитивный интроверт
    • http://www.bestforum.ru/forums
ProFTPd
« Ответ #7 : Март 02, 2009, 01:22:08 am »
Цитировать (выделенное)
 Только на самом деле это больше напоминает войну с ветряными мельницами, если у тебя не крупный сервер с тысячами посещений в день то и ломать тебя по сути некому
ИМХО опрометчивое суждение. Желающие до халявного FTP или просто для быстрого канала на котором сидит твоя машина, да и просто для очередного бота всегда найдутся. Не нужно так легкомысленно относится к безопасности. Проблемы можно получить на пустом месте - например через твой сервер пойдет спам и провайдер отключит тебя, потом майся с чисткой системы и восстановлением подключения.  Зачем, если этого можно избежать. А если на твоем FTP педофилы начнут файлами меняться?

Это правда общее, разумеется степень защиты должна быть адекватной защищаемому материалу и ресурсам. Но самопдписаный SSL это не так уж и сложно, так почему бы и не использовать?
Ни богатства, ни избыток роскоши не могут заставить наших врагов любить или уважать нас. Это сделает только страх перед нашим оружием. (с)Вегеций.

Оффлайн Amper

  • Sr. Member
  • ****
  • Сообщений: 305
  • Карма: +1/-0
    • http://
ProFTPd
« Ответ #8 : Март 05, 2009, 07:53:01 pm »
Цитировать (выделенное)
Желающие до халявного FTP или просто для быстрого канала на котором сидит твоя машина
Это сразу заметно по логам.
Цитировать (выделенное)
да и просто для очередного бота всегда найдутся
Цитировать (выделенное)
через твой сервер пойдет спам
Как это можно реализовать? Халявный фтп в интернте найти не проблема - любой бесплатный хостинг прдоставляет доступ по FTP. Без SSL кстати. А вот как через ftp туда бота посадить? Очень хотелось бы узнать.

Оффлайн StranNik

  • Administrator
  • Hero Member
  • *****
  • Сообщений: 8964
  • Карма: +12/-0
  • Логико-интуитивный интроверт
    • http://www.bestforum.ru/forums
ProFTPd
« Ответ #9 : Март 06, 2009, 01:24:32 pm »
Цитировать (выделенное)
 Это сразу заметно по логам.
К сожалению логи каждый день далеко не все смотрят :sadd:.

Цитировать (выделенное)
 Как это можно реализовать?
FTP сервисы тоже содержат уязвимости :smile:.
Ни богатства, ни избыток роскоши не могут заставить наших врагов любить или уважать нас. Это сделает только страх перед нашим оружием. (с)Вегеций.