Potíže se servery FTP a bránou firewall:
Pokud nakonfigurujete bránu firewall pro hostitele, na kterém běží FTP server, musíte normálně ponechat rozsah portů 1024-65365 otevřený, protože nikdy nevíte, který port FTP server použije k odesílání dat FTP klientovi. Tato situace je poměrně kritická, pokud máte hostitele s citlivými porty nad 1024, které je třeba uzavřít pro internet. Samozřejmě si můžete vybrat každý port a zavřít ho ve firewallu, ale rozhodně preferuji metodu firewallu, která vše zavře a otevře pouze porty, ke kterým je potřeba přístup z internetu. Zde je pure-ftpd přijít na záchranu. Tento FTP server má schopnost vybrat rozsah portů, které budou použity pro přenos dat do FTP klienta. To značně usnadňuje konfiguraci firewallu.
V následujícím příkladu má pure-ftp následující konfiguraci:
– poskytuje FTP a FTPS uvězněným uživatelům (uživatelé jsou omezeni ve svém domovském adresáři).
– žádní anonymní klienti
– Verze IP Pouze 4
– porty pro přenos dat jsou omezeny na rozsah 20000-20099
KROK: apt-get install pure-ftpd
echo '20000 20099' > /etc/pure-ftpd/conf/PassivePortRange
echo "yes" > /etc/pure-ftpd/conf/NoAnonymous
echo "yes" > /etc/pure-ftpd/conf/ChrootEveryone
echo "yes" > /etc/pure-ftpd/conf/IPV4Only
echo "1" > /etc/pure-ftpd/conf/TLS
Pokud chcete přinutit klienty, aby používali TLS pouze pro připojení FTP, použijte příkazecho "3" > /etc/pure-ftpd/conf/TLS
Výjimky pro chroot
Pokud chcete všechny uživatele omezit na jejich domovské adresáře S VÝJIMKOU některých důvěryhodných uživatelů, musíte:
– vytvořit novou systémovou skupinu, do které přidáte důvěryhodné uživatele
– namísto použití výše uvedený příkaz 'echo “yes”> /etc/pure-ftpd/conf/ChrootEveryone'
vložte GID důvěryhodné skupiny do souboru /etc/pure-ftpd/conf/TrustedGID.
Příklad: Chceme chroot pro všechny uživatele kromě „martin“ a „jannine“. To znamená, že martin a jannine se budou moci pohybovat v jiných částech systému, než jsou jejich domovské adresáře, ale všichni ostatní uživatelé budou omezeni na své domovské adresáře:groupadd ftptrusted
usermod -G ftptrusted martin
usermod -G ftptrusted jannine
GID=$(grep ftptrusted /etc/group | cut -d: -f3)
echo "$GID" > /etc/pure-ftpd/conf/TrustedGID
rm /etc/pure-ftpd/conf/ChrootEveryone
POZNÁMKA: Chcete-li vytvořit správně podepsaný soubor certifikátu pro pure-ftpd, ujistěte se, že máte obě následující součásti v souboru /etc/ssl/private/pure-ftpd.pem :
– Soukromý klíč (ve formátu PEM)
– Certifikát (ve formátu PEM)
Pokud jej chcete spustit s certifikátem s vlastním podpisem, spusťte následující příkazy:mkdir -p /etc/ssl/private/
openssl req -x509 -nodes -days 97300 -newkey rsa:2048 -keyout /etc/ssl/private/pure-ftpd.pem -out /etc/ssl/private/pure-ftpd.pem
chmod 600 /etc/ssl/private/pure-ftpd.pem
Restartujte pure-ftpd pro registraci nové konfigurace a certifikátu.service pure-ftpd restart