Различия между версиями 2 и 14 (по 12 версиям)
Версия 2 от 2008-08-06 00:20:18
Размер: 9523
Редактор: PavelSutyrin
Комментарий: кусочек
Версия 14 от 2008-08-20 22:27:15
Размер: 14633
Редактор: VsevolodKrishchenko
Комментарий:
Удаления помечены так. Добавления помечены так.
Строка 3: Строка 3:
## 00:26:40 === Установка FTP-сервера ===
Строка 5: Строка 5:
Поставим {{{vsftpd}}}, а также {{{anonftp}}}. В ALTLinux, уделяющем много
внимания безопасности, есть много разных закладок для защиты от дурака, чтобы
человек не поставил себе ftp-сервер, а он сразу заработал и открыл всем доступ
на запись. Поэтому нужно поставить {{{anonftp}}}, он состоит из одного файлаa
{{{/var/ftp}}}, при появлении этого файла ftp начинает хотя бы нормально
работать. Чтобы настроить FTP-сервер, нужно проделать еще три упражнения:
Развернем на нашей машине FTP-сервер. Установим для этого пакеты vsftpd и anonftp:
Строка 12: Строка 7:
 * Нужно включить сам метадемон {{{inetd}}}: {{{$chkconfig xinetd on}}}
 * Нужно включить сам {{{vsftpd}}}: {{{$chkconfig vsftpd on}}}
 * В файле ({{{/etc/xinetd.conf}}}) надо проверить, а не ждет ли нас замечательная фича ALTLinux — что все сетевые сервисы по умолчанию запускаются так, что они доступны только с этой же машины. Для этого закомментируем строчку
Строка 16: Строка 8:
only_from 127.0.0.1 # apt-get install vsftpd anonftp
Строка 19: Строка 11:
Это если вы понаставили служб, которые пользуются {{{inetd}}} и повключали их, то с
ними соединиться можно будет только с адресе {{{127.0.0.1}}}.
Поясним сперва, почему одного пакета FTP-сервера vsftpd недостаточно. Первая причина заключается в следующем. Программ, предоставляющих нужную нам функциональность, в хранилище более одной: это proftpd, vsftpd (которую мы и собираемся использовать), pure-ftpd. При этом дерево каталогов, которое соответствует содержимому FTP-сервера, не должно быть жестко привязано к пакету какому-то конкретного FTP-сервера, но в тоже время должно создаваться при развертывании сервера. Именно за это и отвечает пакет anonftp:
Строка 22: Строка 13:
Можно зайти на ftp: {{{
$ rpmquery -l anonftp
/var/ftp
}}}
Строка 24: Строка 18:
{{{$lftp localhost Есть, вторая причина существования пакета anonftp. В дистрибутивах ALT Linux, уделяющих большое внимание безопасности, включено множество разных "защит от дурака". В данном случае защита заключается в следующем: установка FTP-сервера и его запуск с настойками по-умолчанию не должны приводить к его автоматическому включению в режиме доступа на запись для всех желающих.

Итак, требуемые пакеты в систему установлены. Займемся их включением. Сервер vsftpd (от ''Very Secure FTP Daemon'') использует при своей работе сетевой метасервер xinetd. Для настройки того, какие службы запускаются в системе в процессе инициализации, используется утилита chkconfig. Используемая в ПСПО версия этой утилиты умеет управлять системными службами разного типа: как оформленными в стиле сценариев "start-stop", котореы располагаются в {{{/etc/init.d/}}}, так и использующими мета-сервер xinetd. При применении chkconfig из командной строки администратор избавлен от необходимости запоминать различный синтаксис для этих двух групп. Посмотрим, какие службы сейчас включены:

## Лучше оставим разнобой, считая синонимами
## ''Нужно определиться, используем мы термин '''служба''' или '''сервис'''. Оставляю пока "разнобой".'' -- DmitryChistikov <<DateTime(2008-08-15T14:15:15+0400)>>

{{{
# chkconfig --list | grep xinetd -A 20

xinetd based services:
        chargen-tcp: off
        chargen-udp: off
        cups-lpd: off
        daytime-tcp: off
        daytime-udp: off
        discard-tcp: off
        discard-udp: off
        echo-tcp: off
        echo-udp: off
        rsync: off
        time-tcp: off
        time-udp: off
        vsftpd: off
}}}

Как видно, все использующие мета-сервер xinetd сетевые службы в настоящее время выключены (в том числе и vsftpd). Если нужно, чтобы FTP-сервер запускался каждый раз при старте машины, нужно проделать следующие операции:

 * обеспечить запуск мета-сервера xinetd:
 {{{
# chkconfig xinetd on
}}}

 * включить сам FTP-сервер vsftpd:
 {{{
# chkconfig vsftpd on
}}}


После чего мы обнаружим, что мы встретились еще с одной отличительной особенностью дистрибутивов ПСПО. Дело в том, что все сетевые сервисы по умолчанию доступны только с локальной машины --- иными словами, подключиться к ним можно только с адреса 127.0.0.1. Это сделано по соображения безопасности, поскольку при таком подходе конфигурация системы по-умолчанию является безопасной. В данном случае следует при помощи текстового редактора закомментировать в файле {{{/etc/xinetd.conf}}} строку с параметром only_from. Для примера мы воспользуемся утилитой sed для внесения этих изменений:
 {{{
# sed -e 's/^\s*only_from/##&/ /etc/xinetd.conf
# grep only_from /etc/xinetd.conf
## only_from = 127.0.0.1
}}}

Отметим, что файл /etc/xinetd.conf содержит настройки, общие для всех использующих xinetd сервисов. Теперь, поскольку мы изменили содержимое этого конфигурационного файла, нужно перезапустить метасервер xinetd, чтобы внесенные нами поправки вступили в силу:

{{{
# service xinetd restart
}}}

После этого локальный FTP-сервер начнет принимать входящие соединения на 21-й порт. Для проверки функционирования сервера можно воспользоваться FTP-клиентом lftp.
{{{
$ lftp localhost
Строка 29: Строка 77:
Сообщений об ошибках не было, а файлов на нём никаких пока нет.
Вообще, Если места на жестком диске мало (20-30 Гб), и режим работы компьютера
щадящий (включил-поработал-выключил, а не круглосуточно включенный сервер с
файлами), то можно не думать о разбиении диска, а весь диск сделать одним
корневым разделом. Хранилище ({{{ALTLinux/}}} с DVD-диска перепишем в
{{{/var/ftp/pub}}}: В при работе с FTP используется дисциплина: в каталоге,
который является корнем для службы FTP, в нашем случае {{{/var/ftp}}}, должен
быть подкаталог {{{pub/}}}, в котором файлы доступны на чтение, это файлы для
публичных пользователей. В документации можно прочитать, как организовать
доступ по FTP обычным пользователям системы.
Сообщений об ошибках, как видим, нет. Впрочем, файлов на сервере тоже пока нет. Скажем еще несколько слов о дисциплине организации FTP-сервера. В каталоге, который является корнем для службы FTP (в нашем случае это {{{/var/ftp}}}) традиционно создается подкаталог {{{pub}}}, файлы в котором доступны на чтение. Именно этот каталог и предназначен для работы "публичных" пользователей.
Строка 40: Строка 79:
(о копировании файлов.)
Команда {{{cp -l}}} создаёт дерево каталогов, населяя их преимущественно
жесткими ссылками на файлы-источники, а фактическое копирование она производит
только если жесткую ссылку создать нельзя, например если это разные файловые
системы. Такое копирование может делаться очень быстро.
## Описание же того, как организовать доступ по FTP для обычных пользователей системы, приводить не будем, ограничившись отсылкой к документации.
Строка 46: Строка 81:
Вообще говоря, уже сейчас можно этот каталог делать доступным
в качестве хранилища нашего класса. Доступ по ftp сейчас разрешён
=== Настройка и использование FTP-сервера ===
Строка 49: Строка 83:
Залогинимся на другой компьютер и попробуем для него
подключить свежесозданный FTP-сервер как хранилище.
Поговорим немного о настройке и использовании FTP-сервера. Во-первых, использовать FTP с системными логином и паролем пользователя совершенно неразумно. Эти данные в протоколе FTP передаются по сети открытым текстом, поэтому "подслушать" их не составляет труда. По этой причине FTP-серверы чаще всего используются лишь для предоставления анонимного доступа на чтение к тем или иным данным. Некоторые FTP-клиенты, заметим, требуют при их использовании обязательного ввода логина и пароля даже при работе с "анонимными" FTP-серверами. В таких случаях используется логин anonymous (иногда ftp) и какой угодно, но содержащий символ коммерческого at (@) пароль. Последнее требование, впрочем, предъявляется не всеми FTP-серверами.
Строка 52: Строка 85:
## 00:40:30.5 (pause) Отметим, однако, что в некоторых случаях доступ к данным по протоколу FTP все же защищается паролем. Этим могут заниматься, к примеру, владельцы FTP-серверов, распространяющие сомнительные с точки зрения лицензионной чистоты программы и данные. Трюк заключается в следующем: в случае возникновения каких-либо претензий всегда можно сослаться на использование пароля и объяснить, что защищенные таким способом файлы не являются общедоступными и, следовательно, свободно по сети не распространяются, а лежат для личного использования.
## То есть выкладывать на FTP-сервер следует только те материалы,
Строка 54: Строка 88:
##Кусок от 080730 Поясним теперь, зачем в хранилище помещено более одной программы, реализующей функциональность FTP-сервера. В случае, когда аппаратная конфигурация используемой в качестве сервера машины и скорость ее канала передачи данных оставляют желать лучшего, а компьютеры-клиенты образуют несколько различных категорий пользователей, может возникнуть необходимость использовать специальные возможности таких программ. К таким возможностям относится выставление приоритетов в соответствии с IP-адресами клиентов, ограничения на число одновременных соединений, защита от множественного скачивания программами типа ReGet и пр. В случае же, когда такие возможности не требуются, разумно использовать более "легковесные" программы.
Строка 56: Строка 90:
Развёртывание ftp. Для уст. ftp-сервера необх. выполнить неск. операций.
 * Установка двух пакетов: пакет с фтп-сервером (vsftpd) и специальный пакет (anonftp). Таке раздление нужн вт для чего: фтп-серверов в репозитрии много, у них у всех есть общ. часть, а именно дерево каталогов, которые надо разворачивать в домашний каталог ftp, и чтобы неск. раз это не делать, оно вынесено в отд. пакет, кроме ого, это защита дурака в стиле альтлинукс
 * Уст. пакета ни к чему не ведёт, поск. vsftpd работает через xinetd. xinetd по умолчанию тв. только на запросы с лок. машины, и в его конфиге (.уес.чштуевюсщта) надо закомм. строчку only from 127.0.0.1
 * Дальше можно сделать chkconfig --list, chkconfig отвечает за настр. разных сервисов. По умолч. всё в xinetd выключено.
Включим vsftpd: chkconfig vsftpd on, после чего перезапустить xinetd. Если ни одна служба в нём не запущена, то он молча останавливается
 * После чего мы мжем туда подкл. по ftp, и увидим, что ничего там нет.
Теперь туда можно складывать файлы, которые будут доступны с любой машины.
С использованием протокола FTP может быть связана еще одна проблема. Дело в том, что скачивание файлов по протоколу FTP требует создание специального соединения для передачи данных. IP-адрес и порт для создания этого соединения передаются по сети в пакетах прикладного уровня (в рамках так называемого "управляющего" соединения). В случае "активного" FTP передаются адрес и порт клиента, а случае "пассивного" --- адрес и порт сервера. Понятно, что при использовании трансляции адресов (Network Address Translation, NAT) такой механизм работы может индуцировать довольно неприятные ситуации. К примеру, при работе с "пассивным" сервером строго следующий описанию протокола FTP клиент (примером может служить Mozilla Firefox) не может проигнорировать полученный таким способом IP-адрес и, если этот адрес оказывается локальным для сети сервера, терпит неудачу при попытке соединения.
Строка 64: Строка 92:
Использовать ftp с логином и парлем польз. нехорошо. Разные клиенты требуют ввода логина и пароля, даже если он анонимный, в этом случае логин --- anonymous или ftp, пароль с @.

Этих ftp-серверов так много, во-первых, потому что там есть штуки, связанные с пользователем (это в первую чередь для того, чтобы отмазаться от того, что вы раздаёте что-то всем подряд). Есть другая довольно непр. картина: пусть у вас есть не очень мщная машина, кторая что0то раздаёт и есть разные категории машин. Напр, если кто-то подкл. по локальной сети, то приоритет высокий, а если по удалённой --- то низкой. В этом случае потребуются фишки настройки, где ограничивается количество соединений, сеансов.... Вторая прблема --- протокол ftp, гад, передаёт ip-адрес сервера прям на прикладном уровне. То есть, когда вы подкл. по ftp, то надо иметь ip одной из сторон, чтобы к ней подкл. и передать данные. ftp скорей всего придётся делать пассивныМ, но в жтом случае взн. прблема: по упр., 21, порту уст. соед. между клиентом и сервером, и клиент говорит, что хочет чего-то взять. Сервер после этого говорит ip и порт, по которому клиент сможет это взять. Если машина за натом, то далеко не каждый клиент способен это проигнорировать (например, мозилла не мжет). Пэтому у ftp-сервера должна быть взм. в зависимости от того, с каким ip клиент пришёл, раздавать ему сотв. ip. Лектор у себя это разруливал на урвне фаервлла. Но надо иметь в виду, что если
это не разрулить, т кто-то не сможет пдкл.
Возможным решением данной проблемы может служить тонкая настройка FTP-сервера таким образом, чтобы передаваемый IP-адрес для подключения в "пассивном" режиме различался для клиентов из разных сетей. Иногда оказывается полезным держать несколько FTP-серверов на одной машине и "разруливать" подключения к 21-му порту (ftp) с помощью средств файрвола. При настройке маршрутизатора хорошую службу может сослужить также специальный модуль ip_nat_ftp к iptables.
Строка 75: Строка 100:
|| 10 || 1 || 1 || 1 || || 1 || PavelSutyrin, ОльгаТочилкина, VsevolodKrishchenko || || || || 52 || 1 || 1 || 1 || || 1 || PavelSutyrin, DmitryChistikov, VsevolodKrishchenko || || ||

Установка и настройка FTP-сервера

Установка FTP-сервера

Развернем на нашей машине FTP-сервер. Установим для этого пакеты vsftpd и anonftp:

# apt-get install vsftpd anonftp

Поясним сперва, почему одного пакета FTP-сервера vsftpd недостаточно. Первая причина заключается в следующем. Программ, предоставляющих нужную нам функциональность, в хранилище более одной: это proftpd, vsftpd (которую мы и собираемся использовать), pure-ftpd. При этом дерево каталогов, которое соответствует содержимому FTP-сервера, не должно быть жестко привязано к пакету какому-то конкретного FTP-сервера, но в тоже время должно создаваться при развертывании сервера. Именно за это и отвечает пакет anonftp:

$ rpmquery -l anonftp
/var/ftp

Есть, вторая причина существования пакета anonftp. В дистрибутивах ALT Linux, уделяющих большое внимание безопасности, включено множество разных "защит от дурака". В данном случае защита заключается в следующем: установка FTP-сервера и его запуск с настойками по-умолчанию не должны приводить к его автоматическому включению в режиме доступа на запись для всех желающих.

Итак, требуемые пакеты в систему установлены. Займемся их включением. Сервер vsftpd (от Very Secure FTP Daemon) использует при своей работе сетевой метасервер xinetd. Для настройки того, какие службы запускаются в системе в процессе инициализации, используется утилита chkconfig. Используемая в ПСПО версия этой утилиты умеет управлять системными службами разного типа: как оформленными в стиле сценариев "start-stop", котореы располагаются в /etc/init.d/, так и использующими мета-сервер xinetd. При применении chkconfig из командной строки администратор избавлен от необходимости запоминать различный синтаксис для этих двух групп. Посмотрим, какие службы сейчас включены:

# chkconfig --list | grep xinetd -A 20

xinetd based services:
        chargen-tcp:    off
        chargen-udp:    off
        cups-lpd:       off
        daytime-tcp:    off
        daytime-udp:    off
        discard-tcp:    off
        discard-udp:    off
        echo-tcp:       off
        echo-udp:       off
        rsync:          off
        time-tcp:       off
        time-udp:       off
        vsftpd:         off

Как видно, все использующие мета-сервер xinetd сетевые службы в настоящее время выключены (в том числе и vsftpd). Если нужно, чтобы FTP-сервер запускался каждый раз при старте машины, нужно проделать следующие операции:

  • обеспечить запуск мета-сервера xinetd:
    # chkconfig xinetd on
  • включить сам FTP-сервер vsftpd:
    # chkconfig vsftpd on

После чего мы обнаружим, что мы встретились еще с одной отличительной особенностью дистрибутивов ПСПО. Дело в том, что все сетевые сервисы по умолчанию доступны только с локальной машины --- иными словами, подключиться к ним можно только с адреса 127.0.0.1. Это сделано по соображения безопасности, поскольку при таком подходе конфигурация системы по-умолчанию является безопасной. В данном случае следует при помощи текстового редактора закомментировать в файле /etc/xinetd.conf строку с параметром only_from. Для примера мы воспользуемся утилитой sed для внесения этих изменений:

  • # sed -e 's/^\s*only_from/##&/ /etc/xinetd.conf
    # grep only_from /etc/xinetd.conf
    ##        only_from = 127.0.0.1

Отметим, что файл /etc/xinetd.conf содержит настройки, общие для всех использующих xinetd сервисов. Теперь, поскольку мы изменили содержимое этого конфигурационного файла, нужно перезапустить метасервер xinetd, чтобы внесенные нами поправки вступили в силу:

# service xinetd restart

После этого локальный FTP-сервер начнет принимать входящие соединения на 21-й порт. Для проверки функционирования сервера можно воспользоваться FTP-клиентом lftp.

$ lftp localhost
lftp localhost:~> ls
lftp localhost:/> exit

Сообщений об ошибках, как видим, нет. Впрочем, файлов на сервере тоже пока нет. Скажем еще несколько слов о дисциплине организации FTP-сервера. В каталоге, который является корнем для службы FTP (в нашем случае это /var/ftp) традиционно создается подкаталог pub, файлы в котором доступны на чтение. Именно этот каталог и предназначен для работы "публичных" пользователей.

Настройка и использование FTP-сервера

Поговорим немного о настройке и использовании FTP-сервера. Во-первых, использовать FTP с системными логином и паролем пользователя совершенно неразумно. Эти данные в протоколе FTP передаются по сети открытым текстом, поэтому "подслушать" их не составляет труда. По этой причине FTP-серверы чаще всего используются лишь для предоставления анонимного доступа на чтение к тем или иным данным. Некоторые FTP-клиенты, заметим, требуют при их использовании обязательного ввода логина и пароля даже при работе с "анонимными" FTP-серверами. В таких случаях используется логин anonymous (иногда ftp) и какой угодно, но содержащий символ коммерческого at (@) пароль. Последнее требование, впрочем, предъявляется не всеми FTP-серверами.

Отметим, однако, что в некоторых случаях доступ к данным по протоколу FTP все же защищается паролем. Этим могут заниматься, к примеру, владельцы FTP-серверов, распространяющие сомнительные с точки зрения лицензионной чистоты программы и данные. Трюк заключается в следующем: в случае возникновения каких-либо претензий всегда можно сослаться на использование пароля и объяснить, что защищенные таким способом файлы не являются общедоступными и, следовательно, свободно по сети не распространяются, а лежат для личного использования.

Поясним теперь, зачем в хранилище помещено более одной программы, реализующей функциональность FTP-сервера. В случае, когда аппаратная конфигурация используемой в качестве сервера машины и скорость ее канала передачи данных оставляют желать лучшего, а компьютеры-клиенты образуют несколько различных категорий пользователей, может возникнуть необходимость использовать специальные возможности таких программ. К таким возможностям относится выставление приоритетов в соответствии с IP-адресами клиентов, ограничения на число одновременных соединений, защита от множественного скачивания программами типа ReGet и пр. В случае же, когда такие возможности не требуются, разумно использовать более "легковесные" программы.

С использованием протокола FTP может быть связана еще одна проблема. Дело в том, что скачивание файлов по протоколу FTP требует создание специального соединения для передачи данных. IP-адрес и порт для создания этого соединения передаются по сети в пакетах прикладного уровня (в рамках так называемого "управляющего" соединения). В случае "активного" FTP передаются адрес и порт клиента, а случае "пассивного" --- адрес и порт сервера. Понятно, что при использовании трансляции адресов (Network Address Translation, NAT) такой механизм работы может индуцировать довольно неприятные ситуации. К примеру, при работе с "пассивным" сервером строго следующий описанию протокола FTP клиент (примером может служить Mozilla Firefox) не может проигнорировать полученный таким способом IP-адрес и, если этот адрес оказывается локальным для сети сервера, терпит неудачу при попытке соединения.

Возможным решением данной проблемы может служить тонкая настройка FTP-сервера таким образом, чтобы передаваемый IP-адрес для подключения в "пассивном" режиме различался для клиентов из разных сетей. Иногда оказывается полезным держать несколько FTP-серверов на одной машине и "разруливать" подключения к 21-му порту (ftp) с помощью средств файрвола. При настройке маршрутизатора хорошую службу может сослужить также специальный модуль ip_nat_ftp к iptables.


Сведения о ресурсах

Готовность (%)

Продолжительность (ак. ч.)

Подготовка (календ. ч.)

Полный текст (раб. д.)

Предварительные знания

Level

Maintainer

Start date

End date

52

1

1

1

1

PavelSutyrin, DmitryChistikov, VsevolodKrishchenko


CategoryLectures CategoryPspo CategoryMpgu CategoryUneex

PspoClasses/080722/00FtpInstallConfigure (последним исправлял пользователь eSyr 2009-03-23 02:11:30)