FTP Server, welche \u00f6ffentlich gen\u00fctzt werden sollten nicht mit Systemusern laufen. Auf einem Linux-Host ist meist ein SSHd vorhanden, dessen Benutzung nicht immer erw\u00fcnscht ist. Aus diesem Grund legt man virtuelle User an, die nicht am System vorhanden sind. So ist es u.a. auch m\u00f6glich verschiedene Passw\u00f6rter am System zu verwenden – was auch die Sicherheit erh\u00f6ht.<\/p>\n
Man mag einwerfen, dass man MySQL oder LDAP als Backend f\u00fcr die Benutzerverwaltung verwenden k\u00f6nne, nur sollte man dabei im Hinterkopf behalten, dass man damit von diesen Diensten abh\u00e4ngig ist.<\/p>\n
Ziele dieser Anleitung:<\/strong><\/p>\n Installation der n\u00f6tigen Pakete<\/strong> Die entsprechenden USE-Flags sollten – sofern sie globale Flags sind in der make.conf<\/em> gesetzt werden. Paketspezifische Flags setzen wir in \/etc\/portage\/package.use<\/em><\/p>\n Ich verwende f\u00fcr meine Installation „ssl caps -ldap -mysql -pam -postgres“. Durch das Entfernen der unn\u00f6tigen Flags bekommen wir eine schlankere Binary, was sich positiv auf die Performance des Systems auswirkt.<\/p>\n Damit w\u00e4re der Teil der Installation f\u00fcr uns so weit abgeschlossen und wir k\u00f6nnen zur Konfiguration schreiten.<\/p>\n Die eigentliche Konfiguration des Systems findet (unter Gentoo Linux) in \/etc\/conf.d\/pure-ftpd<\/em> statt.<\/p>\n IS_CONFIGURED=\"no\"<\/p>\n ## FTP Server,Port (separated by comma) ## ## Number of simultaneous connections in total, and per ip ## ## Start daemonized in background ## ## Don't allow uploads if the partition is more full then this var ## ## If your FTP server is behind a NAT box, uncomment this ## ## Authentication (others are 'pam', ...)## ## Change the maximum idle time. (in minutes. default 15) ## Use that facility for syslog logging. It defaults to 'ftp' ## Misc. Others ## # Jetzt wo du die Config gelesen hast kannst du IS_CONFIGURED auf „yes“ setzen, damit der Server startet. Diese Option sollte verhindern dass man einen unkonfigurierten Server online nimmt, was einem oftmals ungeahnte Probleme bereiten kann.<\/p>\n Zu allererst benötigen wir eine Datenbank in welche die Benutzerdaten eingetragen werden. Diese generieren wir mit dem pure-pw Tool:<\/p>\n Durch diesen Befehl werden die Dateien \/etc\/pureftpd.pdb und \/etc\/pureftpd.passwd angelegt. Erstere ist davon unsere Datenbank mit den Passwörtern. Um einen User anzulegen muss man dieser Datenbank einen Eintrag hinzufügen:<\/p>\n Die angelegten User anzeigen geht mit folgendem Command:<\/p>\n Nun steht dem Serverstart nichts mehr im Wege, welchen wir mit \/etc\/init.d\/pure-ftpd start<\/em> durchführen um die Installation testen zu können.<\/p>\n","protected":false},"excerpt":{"rendered":" FTP Server, welche \u00f6ffentlich gen\u00fctzt werden sollten nicht mit Systemusern laufen. Auf einem Linux-Host ist meist ein SSHd vorhanden, dessen Benutzung nicht immer erw\u00fcnscht ist. Aus diesem Grund legt man virtuelle User an, die nicht am System vorhanden sind. So ist es u.a. auch m\u00f6glich verschiedene Passw\u00f6rter am System zu verwenden – was auch die Sicherheit erh\u00f6ht. Man […]<\/p>\n","protected":false},"author":7,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[4],"tags":[196],"class_list":["post-14","post","type-post","status-publish","format-standard","hentry","category-it-related-stuff","tag-pureftpd"],"_links":{"self":[{"href":"https:\/\/my.stargazer.at\/de\/wp-json\/wp\/v2\/posts\/14","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/my.stargazer.at\/de\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/my.stargazer.at\/de\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/my.stargazer.at\/de\/wp-json\/wp\/v2\/users\/7"}],"replies":[{"embeddable":true,"href":"https:\/\/my.stargazer.at\/de\/wp-json\/wp\/v2\/comments?post=14"}],"version-history":[{"count":0,"href":"https:\/\/my.stargazer.at\/de\/wp-json\/wp\/v2\/posts\/14\/revisions"}],"wp:attachment":[{"href":"https:\/\/my.stargazer.at\/de\/wp-json\/wp\/v2\/media?parent=14"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/my.stargazer.at\/de\/wp-json\/wp\/v2\/categories?post=14"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/my.stargazer.at\/de\/wp-json\/wp\/v2\/tags?post=14"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}\n
\nDa ich Gentoo-Linux benutze ist dieser Schritt sehr einfach:<\/p>\n\u00dcberpr\u00fcfung der entsprechenden USE-Flags:<\/h5>\n
ssl - Secure Socket Layer Unterst\u00fctzung
\ncaps - Linux capabilities library verwenden (Berechtigungen)
\nldap - LDAP Unterst\u00fctzung
\nmysql - mySQL Unterst\u00fctzung
\npam - PAM verwenden (Pluggable Authentication Modules)
\npostgres - postgresql Unterst\u00fctzung
\nvchroot - Virtual chroots (security risc?)<\/code><\/p><\/blockquote>\nemerge -av pure-ftpd<\/code><\/p><\/blockquote>\nKonfiguration des Services<\/h4>\n
\n##Config file for \/etc\/init.d\/pure-ftpd
\n##Comment variables out to disable its features, or change the values in it... ##<\/p>\n
\n## If you prefer host names over IP addresses, it's your choice :
\n## SERVER=\"-S ftp.rtchat.com,21\"
\n## IPv6 addresses are supported.
\n## !!! WARNING !!!
\n## Using an invalid IP will result in server not starting and reporting
\n## a good start. Work is being done to solve that in:
\n## http:\/\/bugs.gentoo.org\/show_bug.cgi?id=75861
\n#SERVER=\"-S 192.168.0.1,21\"
\nSERVER=\"-S 21\"<\/p>\n
\nMAX_CONN=\"-c 30\"
\nMAX_CONN_IP=\"-C 3\"<\/p>\n
\nDAEMON=\"-B\"<\/p>\n
\nDISK_FULL=\"-k 75%\"<\/p>\n
\n#USE_NAT=\"-N\"<\/p>\n
\n## Further infos in the README file.
\nAUTH=\"-l puredb:\/etc\/pureftpd.pdb\"<\/p>\n
\n#TIMEOUT=\"-I 15\"<\/p>\n
\n## Logging can be disabled with '-f none' .
\n#LOG=\"-f facility\"<\/p>\n
\nMISC_OTHER=\"-A -x -j -R -r -s -Z\"<\/p>\n
\n# Use these inside $MISC_OTHER
\n# More can be found on \"http:\/\/pureftpd.sourceforge.net\/README\"
\n#
\n# -A [ chroot() everyone, but root ]
\n# -e [ Only allow anonymous users ]
\n# -E [ Only allow authenticated users. Anonymous logins are prohibited. ]
\n# -i [ Disallow upload for anonymous users, whatever directory perms are ]
\n# -j [ If the home directory of a user doesn't exist, auto-create it ]
\n# -M [ Allow anonymous users to create directories. ]
\n# -R [ Disallow users (even non-anonymous ones) usage of the CHMOD command ]
\n# -x [ In normal operation mode, authenticated users can read\/write
\n# files beginning with a dot ('.'). Anonymous users can't, for security reasons
\n# (like changing banners or a forgotten .rhosts). When '-x' is used, authenticated
\n# users can download dot-files, but not overwrite\/create them, even if they own
\n# them. ]
\n# -X [ This flag is identical to the previous one (writing dot-files is prohibited), but in addition, users can't even *read* files and
\n# directories beginning with a dot (like \"cd .ssh\"). ]
\n# -D [ List files beginning with a dot ('.') even when the client doesn't
\n# append the '-a' option to the list command. A workaround for badly
\n# configured FTP clients. ]
\n# -G [ Disallow renaming. ]
\n# -d [ Send various debugging messages to the syslog. ONLY for DEBUG ]
\n# -H [ By default, fully-qualified host names are logged. The '-H' flag avoids host names resolution. ]
\n<\/code><\/p><\/blockquote>\nAnlegen der Benutzer<\/h4>\n
pure-pw mkdb<\/code><\/p><\/blockquote>\npure-pw useradd $USER \/etc\/pureftpd.pdb -u 100 -g 100 -d \/path\/to\/homedir<\/code><\/p><\/blockquote>\npure-pw list -f \/etc\/pureftpd.pdb<\/code><\/p><\/blockquote>\n