Konfiguracja ProFtpd

Ze względu na to, że opisów kompilacji proftpd jest w sieci multum, raczej mija się z celem duplikowanie tego opisu tutaj - z tego też względu postanowiłem skoncentrować się raczej na opisie podstawowej konfiguracji samego demona ;)
A więc od początku - po udanej kompilacji/instalacji, konfig znajdziemy w /etc/ ; /usr/local/etc lub też w katalogu który zdefiniowaliśmy podczas wydania polecenia ./configure.

Konfiguracja główna

Część głowna pliku wygląda mniej więcej tak :

---

ServerName			"Serwer proftpd"
ServerAdmin			admin@histeria.pl
ServerType			standalone
DeferWelcome			on
DefaultRoot			~ ,!staff
RootLogin 			off
ShowSymlinks			on
DefaultServer			on
ShowSymlinks			on
AllowOverwrite			on
TimeoutNoTransfer		300
TimeoutStalled			300
TimeoutIdle			300
DisplayLogin                    .message
DisplayFirstChdir               .message
LsDefaultOptions                "-l"
UseFtpUsers			off
TransferLog                     /var/log/proftpd/xferlog.legacy
LogFormat         default "%h %l %u %t \"%r\" %s %b"
LogFormat			clf_default "%a - - %t \"GET %f\" 200 %b \"Ftp/Client\""
LogFormat                       auth    "%v [%P] %h %t \"%r\" %s"
LogFormat                       write   "%h %l %u %t \"%r\" %s %b"
TlsRsaCertFile                 /etc/ssl/cert/ftpd-rsa.pem
TlsRsaKeyFile                  /etc/ssl/private/ftpd-rsa-key.pem
TlsCipherList                  ALL:!EXP
TlsRequired			off
TlsCertsOk                      on
DenyFilter			\*.*/
AccessDenyMsg 			"Sorry, lecz nie masz dostepu do tego serwera"
IdentLookups 			on
#RateReadFreeBytes 64000
Port				21
Umask				022
User				ftp
Group				ftp
MaxInstances                    5
MaxLoginAttempts                2
MaxClients                      5 ">>> Przekroczona ilosc mozliwych polaczen - sproboj za chwile  <<<"
MaxClientsPerHost               3 ">>> Za duzo polaczen z jednego IP <<<"

---

Więc po kolei, poszczególne opcje:

• ServerName - nazwa serwera ujęta w " ", np. "Moj serwer"
• ServerAdmin - adres email administratora serwera, ew. kontakt do osoby odpowiedzialnej
• ServerType - wpis odpowiedzialny za sposób odpalania proftpd - do wyboru:
  
  • standalone - proftpd odpalane jako demon (wpis domyślny)
  • inetd - proftpd odpalane z inetd - osobiście raczej nie zalecam, szczególnie przy występowaniu większej ilości połączen
• DeferWelcome - Czy po zalogowaniu ma być wyświetlana wiadomość powitalna, możliwe opcje to on lub off - domyślnie on
• DefaultRoot - Do którego katalogu po zalogowaniu ma zostać skierowany użytkownik. Generalnie najlepszym wyjściem jest ustawienie ~ czyli do katalogu domogego. Jeśli są użytkownicy którym chcemy jednak pozwolić na "latanie" po katalogach musimy ich dodać do jakiejś grupy której na to pozwolimy - np staff, wpis wygląda wówczas mniej więcej tak :
  DefaultRoot ~,!staff
  Jeśli chcemy aby użytkownik miał dostęp tylko do np. public_html, wówczas wpis przybiera postać:
  DefaultRoot ~public_html,!staff
  Proste, prawda ? ;)
• RootLogin - Czy zezwolic root'owi na logowanie się do serwera, możliwe opcje to on lub off - zalcane ustawienie to off
• ShowSymlinks - Czy wyświetlać symlinki zdefiniowane w katalogach - jeśli ich używasz to zdecydowanie tak - możliwe ustawienia to on lub off
• AllowOverwrite - Czy zezwolić na nadpisywanie plików - wyłączenie tej opcji spowoduje, iż użytkownik nie będzie mógł nadpisać przesłanego uprzednio pliku - proponuje na on - możliwe ustawienia to on lub off
• TimeoutNoTransfer - po jakim czasie serwer ma uznać, że nastąpił timeout i przerwać połączenie z klientem - proponuje ustawienie w zależności od specyfikacji posiadanego łącza. Wartość podaje się w sekundach, czyli np. TimeoutNoTransfer 3000
• TimeoutStalled - czas po jakim serwer ma uznać, iż połączenie zostało przerwane. Wartość podawana w sekundach
• TimeoutIdle - Ten parametr odpowiada za czas jaki łączący się klient może spędzić bezczynnie - jeśli po zalogowaniu się, klient nie wykona żadnej operacji przez podany czas, zostanie rozłączony. Czas podajemy w sekundach.
• DisplayLogin - nazwa pliku tekstowego który ma być wyświetlany bezpośrednio po zakończeniu połączenia. Zazwyczaj zawiera się w nim ew. regulamin serwera, garść informacji itd.
  
• DisplayFirstChdir - nazwa pliku tekstowego który ma zostać wyświetlony po pierwszej zmianie katalogu na inny przez klienta.
  DisplayFirstChdir,Opcje DisplayLogin,DisplayConnect oraz DisplayQuit suportują tzw. MagicCookies, które można zawrzeć w plikach zdefiniowanych przez powyższe opcje - oto niektóre z cookies:
  
  • %T Aktualny czas
  • %F Wolne miejsce na dysku
  • %C Aktualny katalog
  • %R Nazwa serwera z którego łączy się klient
  • %L Nazwa serwera lokalnego
  • %u Username łączącego się zwrócone przez identd
  • %U Username użyte do zalogowania się
  • %M Maksymalna liczba połączeń
  • %N Numer aktualnego połączenia
  • %E Zwraca adres email administratora serwera
  Czyli dowolny z plików Display* mógłby przyjąc np. taką postać:
  

  Witaj %U z %R.
  Aktualnie jesteś %N z maksymalnej liczby %M możliwych połączeń.
  W razie problemów skontaktuj się z %E
  Jest %T, a ty masz jeszcze %F miejsca do wykorzystania.
  

  MagicCookies można również używać przy inych opcjach, ale o tym później
• LsDefaultOptions - co ma być zwracane podczas listowania zawartości katalogu - w gre wchodzą opcje dostępne dla polecenia ls, ujęte w " " czyli np:
  • "ls" - proste wyświetlenie zawartości katalogu
  • "ls -l" - wyświetlenie zawartości katalogu wraz z prawami i właścicielami każdego pliku/katalogu
  • "ls -la" - wyświetlenie zawartości katalogu wraz z prawami i właścicielami każdego pliku/katalogu + wyświetlenie wszystkich ukrytych plików
  Po pełen spis możliwych opcji prosze zajrzeć do man ls
• UseFtpUsers - czy proftpd ma używać wpisów zawartych w /etc/ftpusers do określenia praw do logowania
  W pliku /etc/ftpusers określamy osoby (loginy) osób (czy też usług) którym zakazujemy dostępu do serwera ftp.
  Możliwe ustawienia to on lub off
• TransferLog - w którym miejscu ma być zapisywany log z wszystkich działań logujących się użytkowników, możliwy wpis to np. /var/log/proftpd/xferlog.legacy - pamiętaj, że katalog który tu określisz musi istnieć !
• LogFormat - definicja składni logowania, przykładowo

  LogFormat         default "%h %l %u %t \"%r\" %s %b"

  Możliwe parametry, to:
  • %a Adres IP klienta
  • %A Użytkwnik anonymous (podane hasło), lub UNKNOWN jeśli nie anonymous
  • %b Ilość bajtów wysłana przez request
  • %d Nazwa katalogu (niepełna ścieżka) for CDUP, CWD, MKD, RMD, XCWD, XCUP, XMKD, XRMD
  • %D Nazwa katalogu (pełna ścieżka) for CDUP, CWD, MKD, RMD, XCWD, XCUP, XMKD, XRMD
  • %f Nazwa pliku ładowanego lub uploadowanego, pełna ścieżka (bez chroota)
  • %F Nazwa pliku ładowanego lub uploadowanego, tak jak widzi ją klient
  • %h Pełna nazwa (DNS) klienta
  • %l Nazwa użytkownika (pobrana z ident), lub UNKNOWN jesli ident nic nie zwrócił
  • %L Adres IP lokalnego serwera
  • %m Polecenie (metoda) wychodzące od klienta, np., RETR
  • %p Lokalny port serwera
  • %P Id odpalonego serwera (pid)
  • %r Pełna ścieżka polecenia wychodzącego od klienta
  • %s Numeryczny kod odpowiedzi FTP (status)
  • %t Lokalny czas
  • %{format}t Format lokalnego czasu
  • %T Czas potrzebny do transmisji/pobrania pliku, w sekundach
  • %u Userid lokalnego użytkownika
  • %U USERname przesłane przez klienta
  Parametrów jako takich jest więcejm lecz te są najbardziej istotnie - ciekawskich odsyłam do dokumentacji :)
• AccessDenyMsg - wiadomość zwracana klientowi w przypadku braku dostępu do serwera, nieprawidłowego hasła/loginu itd. itd, przykładowo:

  AccessDenyMsg 			"Sorry, lecz nie masz dostepu do tego serwera"

• IdentLookups - włączenie (wyłączenie) sprawdzania identów przychodzących połączeń, możliwe ustawienia to on/off
• RateReadFreeBytes - ustalenie maksymalnego transferu dla połączeń wychodzących - parametr ustawia się w bajtach, np

  RateReadFreeBytes 64000

  co daje nam max 64Kb na połączenia wychodzące. Parametr ten można użyc i w konfiguracji głownej, jak i w konfiguracji dla poszczególnych użytkowników (np.anonymous), serwerów wirtualnych i katalogów.
• Port - port na którym nasz proftpd będzie oczekiwał na połączenia
• Umask - umask z jakim zapisywane będą uploadowane pliki, np:

  Umask 022

  Zainteresowanych tym parametrem odsyłam do podręcznika man umask
• User - użykownik z jakiego prawami będzie odpalany proftpd, np:

  User ftp

• Group - grupa z jakiej prawami będzie odpalany proftpd, np:

   Group ftp

• MaxInstances - maksymalna ilość procesów (child) odpalonych przez proftpd:

  MaxInstances  5

• MaxLoginAttempts - maksymalna ilość połączen z jednego loginu, np:

  MaxLoginAttempts  2

• MaxClients - określenie maksymalnej ilości połączeń (klientów) w tym samym czasie - używane razem z komunikatem zwracanym w momencie przekroczenia określonej ilości, np:

  MaxClients                      5 ">>> Przekroczona ilosc mozliwych polaczen - sprobuj za chwile  <<<"

• MaxClientsPerHost - maksymalna ilość połączeń z jednego ip - używane razem z komunikatem, np:

  MaxClientsPerHost               3 ">>> Za duzo polaczen z jednego IP <<<"

  Konfiguracja anonymous

  Wpisy odnośnie konfiguracji dostępu anonymous wpisujemy poniżej konfiguracji głównej, w formacie

  parametry konfiguracji głównej (czyli to co napisałem powyżej)
  <Anonymous ~user>
  wpisy konfiguracji
  </anonymous>
  

  A więc po kolei:
  Parametr "~user" który widać we wpisie <Anonymous ~user> definiuje katalog do którego mają dostęp połączenia anonymous - w naszym wypadku jest to katalog domowy użytkownika ftp.
  Czyli - jeśli mamy katalog np. /home/ftp/anonymous i prawa do nigo nadaliśmy użytkownikowi ftp, wówczas zamiast ~user podajemy ~ftp.
  Ma to również ten skutek, iż katalogiem głównym dla połączeń anonymous staje się katalog domowy użytkowika ftp.
  Przykładowy konfig może wyglądać tak:

  <Anonymous ~ftp>
  User                         	ftp
  Group                        	ftp
  AnonRequirePassword       	off
  UserAlias			anonymous ftp
  AuthUsingAlias			on
  ShowSymlinks			on
  TransferLog             /var/log/proftpd/anonymoyus.ftp
  DisplayLogin                  .message
  DisplayQuit                   .quit
  DisplayFirstChdir             .message
  RateReadBPS              50000
  HideNoAccess                  on
  MaxClients                    5 ">>> Przekroczona ilosc mozliwych polaczen - sproboj za chwile <<<"
  MaxClientsPerHost             2 ">>> Z tego ip mozesz polaczyc sie tylko 2 razy !!! <<<"
  <Limit WRITE>
      DenyAll
    </Limit>
    <Limit READ DIRS>
      IgnoreHidden                on
    </Limit>
  </Anonymous>
  

  Z oczywistych względów ( no dobra .. z lenistwa) nie będę opisywał parametrów które opisane są powyżej w konfiguracji głównej.
• AnonRequirePassword - czy wymagamy od połączeń anonymous podawania hasła. Podczas połączenia anonymous serwer oczekuje na podanie hasła w postaci adresu email (user@domena.pl), jeśli włączymy ten parametr na on, wówczas serwer będzie oczekiwał na podanie hasła użytkownika z kórego prawami odpalane jest anonymous ( w naszym przypadku jest to user ftp).
  Defaultowo ustawione na off, możliwe ustawienia to on/off
• UserAlias - proftpd defaultowo wymaga, aby podczas logowania podawać użytkownika realnie istniejącego w systemie - może być to nie wygodne, ponieważ sporo klientów ftp podczas anonimowego logowania automagicznie wysyła login jako anonymous. Dzięki temu wpisowi, możemy "zaliasować" usera ftp do anonymous, dzięki czemu każdy zaloguje się bezproblemowo. Przykładowy wpis to:

  UserAlias			anonymous ftp

• AuthUsingAlias - czy podczas autentyfikacji ma być używany alias, czy realny user. W tej przykładowej konfiguracji zalecam raczej ustawienie na on.
• ShowSymlinks - czy podczas listowania katalogów mają być pokazywane symlinki - zalecam ustawienie na on, szczególnie jeśli mirrorujecie jakieś serwisy, gdzie dość często występują symlinki.
• TransferLog - określenie gdzie mają być zapisywane logi związane z połączeniami anonymous, np:

  TransferLog             /var/log/proftpd/anonymoyus.ftp

• DisplayLogin - nazwa pliku który ma być wyświetlany po zalogowaniu, np. jakaś wiadomość, powitanie etc..
• DisplayQuit - nazwa pliku który ma być wyświetlany po wylogowaniu
• DisplayFirstChdir - nazwa pliku który ma być wyświetlany podczas pierwszego wejścia do katalogu.
• HideNoAccess - zalecam ustawienie na on - powoduje nie wyświetlanie plików do których anonymous nie ma praw, po co wogóle ma wiedzieć że są ;)
• <Limit WRITE> - odpowiada za zakaz jakiegokolwiek zapisu w katalogu gdzie został zdefiniowany. W przypadku anonymous zdecydowanie zalecam ustawienie na DenyAll - ludzie mają czasem głupie pomysły ;) Można zdefiniować w postaci:

  <Limit WRITE>
      DenyAll
    </Limit>
  

  Jeśli kogoś bardzo lubicie i bardzo ufacie, można dodać parametr AllowFrom w postaci:

  <Limit WRITE>
      Order Allow,Deny
      AllowFrom 212.244.88.59
      DenyAll
    </Limit>
  

  Ale jest to ustawienie nie zalecane przez twórców proftpd.
• <Limit READ DIRS> - odpowiada za wyłączenie wyświetlania katalogów i plików okrytych podczas listowania zawartości.
  Zalecam ustawienie na IgnoreHidden on - skoro coś jest ukryte, to znaczy że anonymous nie powinien tego widzieć ;)
  
  

  Konfiguracja dla użytkowników

  Każdemu z użytkowników którego mamy w systemie możemy osobno skonfigurować połączenie po ftp. Składnia jest identyczna jak w przypadku konfiguracji dla anonymous, zmieniamy tylko katalog domowy, użytkownika i grupe, czyli te parametry wyglądały by mniej więcej tak:

  <Anonymous /home/users/jakis_user>
  User                         	jakis_user
  Group                        	grupa
  AnonRequirePassword       	on
  ShowSymlinks			on
  TransferLog             /var/log/proftpd/jakis_user.ftp
  RateReadBPS              20000
  HideNoAccess                  on
  MaxClients                    5 ">>> Przekroczona ilosc mozliwych polaczen - sproboj za chwile <<<"
  MaxClientsPerHost             2 ">>> Z tego ip mozesz polaczyc sie tylko 2 razy !!! <<<"
    <Limit READ DIRS>
      IgnoreHidden                on
    </Limit>
  </Anonymous>
  

  Jeśli chcemy ograniczyć użytkownika do połączeń z określonych serwerów (adresów) dodajemy wpis:

  <Limit LOGIN>
  Order Allow,Deny
  Allow From 212.244.88.,212.244.104.
  Deny All
  </Limit>
  

  Adres ip możemy podać w formie 212.244.88.59 - wówczas połączenia będą akceptowane tylko z tego jednego adresu, lub jako 212.244.88. - wówczas akceptowane będą połączenia ze wszystkich pasujących adresów.

  Wirtualne serwery

  Aby odpalić wirtualny serwer ftp, musimy niestety przeznaczyć dla niego osobny adres ip - lub odpalić go na innym porcie.
  Całość zależy też od konfiguracji DNS - wcale nie jest powiedziane iż musimy przeznaczyć na niego publiczne ip, których czasem jednak brakuje. Może to być adres z puli prywatnej (10.0.0.0/255.0.0.0) czego raczej nie zalecam - jest niezgodne z RFC i w przypadku niektórych sieci może powodować spore problemy. Idealnym wyjściem jest posiadanie jednak kilku wolnych ip, i przydzielenie ich do proftpd.
  Konkretny adres przydzielamy w konfiguracji dns do pożądanego hostname, i następnie konfigurujemy proftpd:

  <VirtualHost test.virtualhost.pl>
  ServerAdmin             user@virtualhost.pl
  ServerName              "testowy virtualhost"
  TransferLog             /var/log/proftpd/virtualhost.ftp
  MaxLoginAttempts        5
  RequireValidShell       no
  DefaultRoot             /home/user/virtualhost
  User                    jakis_user
  Group                   jakas_grupa
  AllowOverwrite          yes
  <Anonymous  /home/user/virtualhost/anon>
          User                    jakis_user
  	Group                   jakas_grupa
          UserAlias               anonymous ftp
          RequireValidShell       no
          MaxClients              20
  	DisplayLogin                  .mirrors
  	DisplayFirstChdir             .current-version
          <Limit WRITE>
                  DenyAll
           </Limit>
  </Anonymous>
  </VirtualHost>
  

  Jak widać konfiguracja praktycznie nie różni się od GlobalConfig i Anonymous - całośc ujęta jest tylko w dyrektywe
  <VirtualHost test.virtualhost.pl>
  
  Jeśli nie mamy wolnego IP, nie pozostaje nam nic innego jak odpalić wpis na osobnym porcie.. Czyli w dns robimy wpis typu
  test IN CNAME virtualhost.pl
  , a w dział <VirtualHost test.virtualhost.pl> co następuje:

  <VirtualHost test.virtualhost.pl>
  /--reszta wpisów normalnie--/
  port			8000
  /--a tu reszte wpisów z VirtualHost--/
  </VirtualHost>
  

  Konfiguracja jaką podaje powyżej, jest konfiguracją działającą na kilku serwerach i sprawdzoną.
  Jest to pierwsza wersja tego dokumentu, z czasem zapewne będe dodawał wpisy.
  Jeśli masz jakieś uwagi, pisz proszę na adres argail at histeria dot pl