Le tradizionali connessioni FTP sono afflitte da un problema da non sottovalutare, ossia nome utente e password vengono trasmesse in chiaro durante la sessione di autenticazione. La risposta a questo problema è l’adozione del protocollo FTPS o FTPES. Vediamo come configurare vsftpd affinché effettui una criptazione del canale sul quale effettuiamo la connessione e la trasmissione dei dati.

Installare vsFTPd e OpenSSL

Se non avete già installato vsftpd, potete seguire questo articolo. Per quanto riguarda OpenSSL, il famosissimo progetto open source per l’implementazione dei protocolli SSL e TLS, è sufficiente eseguire il seguente comando senza necessità di alcuna configurazione:

# apt-get install openssl

Generare un certificato di sicurezza

Per generare un certificato di sicurezza per il nostro server vsftpd useremo l’appena installato OpenSSL. Anche qui è sufficiente eseguire un unico comando:

# openssl req -x509 -nodes -days 365 -newkey rsa:1024 -keyout /usr/share/ssl/certs/vsftpd.pem -out /usr/share/ssl/certs/vsftpd.pem

• L’opzione req -x509 indica che stiamo per generare un certificato usando il sistema di gestione X.509, dall’inglese X.509 Certificate Signing Request (CSR) Management.
• L’opzione -days 365 indica il numero di giorni nei quali il certificato sarà valido. In genere si supera difficilmente i 365 giorni.
• L’opzione -newkey rsa:1024 indica che genereremo una nuova chiave di crittografia usando l’algoritmo di cifratura RSA a 1024 bit.
• Le opzioni -keyout e -out servono ad indicare dove verrà generato il certificato. Il percorso riportato è quello di default usato da vsftpd, ma potete benissimo usare un qualunque altro percorso.

Configurare vsftpd per l’uso del protocollo SSL/TLS

Editiamo il file di configurazione di vsftpd.

# nano /etc/vsftpd.conf

Di seguito vi riporto tutte le principali opzioni di cui avete bisogno per l’uso del protocollo SSL/TLS.

ssl_enable

ssl_enable=YES
Abilitando questa opzione si dichiara di voler usare un protocollo di cifratura. Tale protocollo verrà applicato in tutte le connessioni di controllo e le connessioni dati. Ovviamente avrete bisogno di un client FTP che supporti le connessioni cifrate. Potete trovare una lista di client FTP, ed i protocolli che supportano, a questo indirizzo.

ssl_tlsv1

ssl_tlsv1=YES
Se abilitata, imposta vsftpd per usare il protocollo di cifratura TLS che in pratica è il successore dell’SSL. È sempre preferibile usare TLS che SSL. In caso vogliate usare l’SSL l’opzione da usare è ssl_sslv3.

force_local_data_ssl

force_local_data_ssl=YES
Se abilitata, tutte le connessione non anonime saranno forzate ad usare una connessione cifrata per l’invio e la ricezioni di dati.

force_local_logins_ssl

force_local_logins_ssl=YES
Se abilitata, tutte le connessione non anonime saranno forzate ad usare una connessione cifrata per l’invio di nome utente e password.

rsa_cert_file

rsa_cert_file=/usr/share/ssl/certs/vsftpd.pem
Questa opzione specifica il percorso in cui si trova il certificato RSA da usare per le connessioni cifrate.

Se avete bisogno di opzioni più specifiche, potete dare uno sguardo al manpage di vsftpd.conf. In ogni caso ricordatevi di riavviare il servizio di vsftpd affinché le modifiche abbiano effetto.

# /etc/init.d/vsftpd restart

Articoli correlati:

1. Come impostare utenti virtuali in “vsftpd” su Debian
2. FTP Server sicuro con “vsftpd”

I motivi per desiderare un indirizzo IP statico invece che dinamico, possono essere i più disparati. Nel mio caso, dovevo configurarlo sul mio server di casa in modo da renderlo raggiungibile, sempre e comunque, senza dover fare ricerche sul DNS.

Iniziamo col visualizzare alcune informazioni sull’interfaccia di rete. Nel mio caso è l’ethernet (eth0), ma il concetto vale anche per il wifi (wlan0/wifi0) o qualsiasi altra interfaccia di rete.

hive:/home/donlimo# ifconfig
eth0    Link encap:Ethernet  HWaddr 08:27:00:2f:08:a5
        inet addr:192.168.1.62  Bcast:192.168.1.255  Mask:255.255.255.0
        inet6 addr: fe80::a00:a7ff:fe5a:984d/64 Scope:Link
        UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
        RX packets:805 errors:0 dropped:0 overruns:0 frame:0
        TX packets:606 errors:0 dropped:0 overruns:0 carrier:0
        collisions:0 txqueuelen:1000
        RX bytes:796490 (777. KiB)  TX bytes:52540 (51.3 KiB)
        Interrupt:11 Base address:0xd020

L’output del comando è molto chiaro. Le informazioni che ci interessano in particolare sono tre:

• inet addr:192.168.1.62
• Bcast:192.168.1.255
• Mask:255.255.255.0

Il primo è l’indirizzo IP, il secondo è l’indirizzo di Broadcast ed il terzo è la Submet Mask. Sono tutti dati importantissimi ai fini della corretta configurazione della scheda di rete. In aggiunta a questi tre dati, ci serve sapere qual’è l’indirizzo IP del gateway: in una rete locale casalinga, di norma corrisponde ai primi tre numeri del nostro indirizzo IP con “1″ come quarto numero. Nel mio caso è 192.168.1.1. Se per voi è differente, fate riferimento al manuale delle istruzioni del vostro router/modem adsl dove è in genere messo in evidenza. A questo punto, non ci rimane che editare il file di configurazione /etc/network/interfaces per configurare il nostro IP statico.

# nano /etc/network/interfaces

Assicuratevi di inserire le seguenti righe all’interno del file:

# The primary network interface
auto eth0
iface eth0 inet static
address 192.168.1.62
netmask 255.255.255.0
broadcast 192.168.1.255
gateway 192.168.1.1

La terza riga potrebbe non apparire chiara alla maggior parte di voi, quindi vi do una veloce descrizione:

• auto: identifica i dispositivi che vengono portati in stato di up al boot del sistema
• iface: identifica le interfacce da configurare
• inet: indica che l’interfaccia sarà collegata con una rete IPv4
• static: indica che l’indirizzo è impostato staticamente

Per rendere effettive le modifiche, sarà necessario riavviare il servizio di rete.

# /etc/init.d/networking restart

Configurare i server DNS

Se avete bisogno di configurare i DNS dovrete editare il file /etc/resolv.conf.

# nano /etc/resolv.conf

Inserite le seguenti righe:

nameserver 208.67.222.222
nameserver 208.67.220.220

Gli indirizzi IP che vedete corrispondo al servizio di DNS OpenDNS, ma nessuno vi vieta di configurare qualunque altro DNS vogliate.

Ripristinare un indirizzo IP dinamico

Se cambiate idea o volete tornare ad un indirizzo IP dinamico, cancellate le righe che abbiamo inserito e ripristinate quelle standard:

auto eth0
iface eth0 inet dhcp

Ulteriori informazioni

Per chi ha esigenze più avanzate, può trovare informazioni più dettagliate nei manuali di ifup ed /etc/network/interface.

Articoli correlati:

1. Come impostare utenti virtuali in “vsftpd” su Debian
2. Oven Trick, riparare la scheda video mettendola in forno

Il motivo per il quale vengono impostati utenti virtuali in un server FTP, è generalmente per consentire l’accesso ftp al web server e di conseguenza ai diversi siti web che mantiene online. Ogni utente può avere uno o più login di accesso all’ftp, e nome utente e password possono essere condivisi con il web server.

Installazione

Come si può ben capire dal titolo, prenderemo in esame vsftpd come server FTP e apache come web server. Entrambi li ho scelti per il loro rinomato livello di sicurezza, leggerezza e stabilità e per quanto concerne la loro installazione vi rimando alle rispettive guide: vstfpd e apache (appena ho due minuti per scriverla). Adesso, andremo ad installare il modulo pam_pwdfile che permette una semplice e rapida condivisione delle credenziali di autenticazione fra l’ftp ed il web server.

# apt-get install libpam-pwdfile

Configurazione

Lo scopo principale di impostare utenti virtuali, è il fatto di fornire accesso ftp ai vari siti web hostati da apache che di standard si trovano in /var/www/, prevenendo accessi anonimi o accessi ad altri siti da parte di utenti non autorizzati. A questo punto, tutto quello che dobbiamo fare è creare un file dove andremo a salvare tutte le password degli utenti. Utilizzeremo lo strumento htpasswd fornito da apache. C’è da dire però, che quest’ultimo supporta unicamente password fino ad 8 caratteri. Di conseguenza, se volete usare password più lunghe, potete usare tranquillamente un altro modulo PAM o fare ricorso a md5-crypt.

# htpasswd -c /etc/vsftpd/passwd user
Per gli utenti successivi è sufficiente eseguire lo stesso comando senza l’opzione “-c”.

# htpasswd /etc/vsftpd/passwd user2
Affinché gli utenti riescano a loggarsi ed uppare/modificare/cancellare file correttamente è necessario creare la loro home directory e dargli i permessi di scrittura.

# mkdir /var/www/user
# chown user1 /var/www/user
# chmod +w /var/www/user

Ovviamente l’operazione va ripetuta per tutti gli utenti creati:

# mkdir /var/www/user2
# chown user1 /var/www/user2
# chmod +w /var/www/user2

Adesso, se non sono già presenti, è necessario aggiungere delle opzioni al file di configurazione di vsftpd che si trova in /etc/vsftpd.conf:

anonymous_enable=NO
local_enable=YES
virtual_use_local_privs=YES
secure_chroot_dir=/var/run/vsftpd
pam_service_name=vsftpd
guest_enable=YES
user_sub_token=$USER
local_root=/var/www/$USER
chroot_local_user=YES
hide_ids=YES
Ora è il momento di passare a configurare il PAM per usare il file delle password che abbiamo creato.

# nano /etc/pam.d/vsftpd
Aggiungiamo le seguenti righe.

auth required pam_pwdfile.so pwdfile /var/www/conf/users
account required pam_permit.so

Riavviamo il serizio di vsftpd.

# /etc/init.d/vsftpd restart

Testiamone il funzionamento

La configurazione è finita, possiamo passare a testare il funzionamento effettivo degli utenti virtuali.

$ ftp 192.168.1.200
Connected to 192.168.1.200.
220-Welcome to Pandora's Chest.
220-All activities are logged.
220-Good work.
Name (192.168.1.200:donlimo): user
331 Please specify the password.
Password:
230 Login successful.
Remote system type is UNIX.
Using binary mode to transfer files.
ftp> ls
200 PORT command successful. Consider using PASV.
150 Here comes the directory listing.
drwxr-xr-x    3 ftp    ftp    4096 Jul 11 19:46    images
-rw-r--r--    1 ftp    ftp    5952 Jul 07 20:26    index.php
226 Directory send OK.

Articoli correlati:

1. FTP Server sicuro con “vsftpd”
2. Configurare vsftpd per le connessioni sicure
3. Assegnare un indirizzo IP statico alla scheda di rete su Debian

Desiderate salvare i vostri file dall’ufficio, o qualunque altro posto, direttamente sul vostro computer di casa senza dover fare affidamento su scomodi CD, DVD e penne USB o imbattervi nei limiti dei servizi di web hosting come Megaupload o RapidShare? Volete fare tutto questo in totale sicurezza? Quello che fa per voi è un server FTP, facilmente installabile e configurabile, con tutta la sicurezza che offre un sistema unix-like come Debian potenziato dal demone vsftpd.

Un server FTP può sembrare un protocollo obsoleto dato che la prima specifica risale al 1971, invece rimane tutt’oggi uno dei più usati in tutto il mondo. Inoltre presenta notevoli vantaggi rispetto ad i normali metodi di salvataggio dei dati sopra citati:

• Nessun limite sulla dimensione dei file che si vuole salvare.
• Per accedere al server FTP necessitate solamente di un normalissimo browser o di un client ftp.
• Tutela della privacy non dovendo affidare i vostri file a terzi. (Ad esempio Megaupload o RapidShare)

Tuttavia il server FTP sarà accessibile solamente quando il vostro computer sarà acceso e collegato ad internet. Inoltre, la banda di download/upload sarà direttamente proporzionale alla capacità della vostra linea ADSL o qualunque altro servizio di banda larga disponiate.

Avvertenza

Questa guida è stata scritta prendendo in considerazione la versione 2.0.7-1 di vsftpd con sistema operativo Debian GNU/Linux. È possibile quindi che vi siano differenze con altre versioni del demone, e molto più probabilmente, con altre distro. Nonostante questa guida sia molto semplice da seguire e capire, ci tengo a precisare che è consigliabile avere delle conoscenze di base per quanto riguarda il mondo linux, e delle conoscenze generali nel mondo dell’informatica, in modo da tutelare la sicurezza del vostro server, e di conseguenza la vostra. Bene, e adesso cominciamo!

Cos’è vsftpd?

vsftpd, acronimo di “Very Secure FTP Daemon“, è un demone che svolge il ruolo FTP Server su sistemi operativi unix-based, distribuito sotto licenza GPL. È pensato per essere sicuro, stabile ed estremamente veloce.

Presenta molti punti di forza che invogliano certamente l’utente ad installarlo, tra i quali troviamo:

• Possibilità di avvio sia da inetd, sia in standalone.
• Alta semplicità di configurazione.
• Possibilità di creare utenti virtuali.
• Controllo della banda.
• Controllo degli accessi IP.
• Supporto al nuovo protocollo di rete IPv6.
• Supporto al Secure Sockets Layer e Transport Layer Security (SSL e TLS) per FTPS e FTPES.

Installazione e configurazione

L’installazione è semplicissima, è sufficiente eseguire il seguente comando.

# apt-get install vsftpd
Una volta completata l’operazione, il server FTP è già perfettamente funzionante. Per testarlo potete accedere come utente “anonymous” o “ftp”: entrambi vengono riconosciuti di default come utenti per il login anonimo. Adesso è giunto il momento di rifinire i dettagli del nostro server, e per farlo, è necessario lavorare sul file principale di configurazione di vsftpd. Lo possiamo trovare in /etc/vsftpd.conf.

# nano /etc/vsftpd.conf
Di seguito vado a riportarvi le opzioni principali con la relativa spiegazione ed il mio personale consiglio su come debbano essere impostate. Ovviamente, nessuno vi vieta di fare diversamente da quanto da me consigliato, soprattutto per chi abbia delle esigenze particolari. Affinché le impostazioni funzionino, le opzioni dovranno essere inserite nel file di configurazione se non sono già presenti.

listen

listen=YES
Se abilitato, vsftpd si avvierà in modalità standalone e si prenderà carico dell’ascolto e della gestione delle connessioni in ingresso. Di conseguenza non dovrà essere avviato da inetd o demoni simili.

listen_ipv6

listen_ipv6=NO
Stessa storia del parametro listen, con la differenza che vsftpd si metterà in ascolto su socket IPv6.

anonymous_enable

anonymous_enable=NO
Stabilisce se i logins anonimi sono consentiti o meno.

local_enable

local_enable=YES
Se abilitato, gli utenti presenti nel file /etc/passwd (o qualsivoglia file di configurazione PAM) potranno loggarsi sul server. Questa opzione deve essere abilitata per il funzionamento in modalità non-anonima.

write_enable

write_enable=YES
Stabilisce se i comandi che operano sul filesystem sono consentiti o meno. Alcuni esempi sono: STOR, DELE, RNFR, RNTO, MKD, RMD, APPE e SITE.

anon_upload_enable

anon_upload_enable=NO
Se abilitato, gli utenti anonimi saranno abilitati ad effettuare uploads sul server sotto certe condizioni. Perché funzioni, l’opzione write_enable deve essere attiva e l’utente “ftp” deve avere permessi di scrittura sulle cartelle nelle quali volete permettere gli uploads.
Abilitate questa opzione con prudenza.

xferlog_enable

xferlog_enable=YES
Se abilitato, verrà creato un log dettagliato di tutti i downloads e gli uploads. Di default, il file si trova in /var/log/vsftpd.log, tuttavia potete cambiarne la posizione a vostro piacimento con l’opzione vsftpd_log_file.

nopriv_user

nopriv_user=nobody
Specifica l’utente con il quale verrà avviato il server. È preferibile che sia un utente dedicato e totalmente non-privilegiato, di conseguenza fate attenzione all’utente che scegliete.

ftpd_banner

ftpd_banner=quello che vi pare
Questa opzione mostra del testo da voi specificato quando qualcuno si connette al server. Se il testo è lungo, è preferibile usare l’opzione banner_file (es: banner_file=/etc/vsftpd.banner_file) per specificare un file a parte piuttosto che riempire il file di configurazione.

chroot_local_user

chroot_local_user=YES
Serve a “bloccare” gli utenti nella loro home directory impedendo che possano risalire l’albero delle cartelle.

delete_failed_uploads

delete_failed_uploads=YES
Cancella i frammenti di file di un upload non andato a buon fine.

userlist_enable

userlist_enable=YES
Se abilitato, vsftpd caricherà una lista di usernames presi dal file specificato da userlist_file. Se un utente tenta di loggarsi usando uno degli username presenti nella lista, gli verrà negato l’accesso prima di richiedergli la password. Questa opzione può essere utile per prevenire che vengano trasmesse passwords in chiaro. Leggi con attenzione anche userlist_deny.

userlist_deny

userlist_deny=YES
Questa opzione viene presa in considerazione solo se userlist_enable è attiva. Se impostata su YES, stabilisce che la lista di usernames caricati da userlist_file, diventa una lista di utenti ai quali negare l’accesso. In caso contrario diventa una lista di utenti ai quali consentire il login.

max_clients

max_clients=100
Se vsftpd parte in modalità standalone, questa opzione stabilisce il numero massimo di utenti che possono connettersi simultaneamente al server. Settando “0″, si stabilisce un numero illimitato. Se volete limitare gli utenti, scegliete tale numero in base alla banda alla quale avrebbe accesso il server.

local_max_rate

local_max_rate=0
Imposta la velocità massima in bytes al secondo per gli utenti locali autenticati correttamente. Questa variabile è molto soggettiva, dipenderà tutto dalla disponibilità della vostra linea, quindi cercate di non esagerare. Settando “0″, si stabilisce un numero illimitato di bytes al secondo.

anon_max_rate

anon_max_rate=10240
Di rilevanza solamente se avete deciso di lasciare abilitata l’autenticazione anonima. Il concetto è lo stesso di local_max_rate scritto subito sopra.

hide_ids

hide_ids=YES
È consigliabile abilitare questa opzione per una questione di privacy, in quanto nasconde tutte le informazioni riguardanti i proprietari di file e cartelle durante il “directory listings” sostituendole con “ftp”.

Se non siete ancora soddisfatti di queste opzioni, e volete conoscerne altre, potete consultare il manpage di vsftpd.conf, ma una volta che avrete finito di configurare il vostro server, sarà necessario riavviare il servizio di vsftpd eseguendo il seguente comando:

# /etc/init.d/vsftpd restart

Creare e cancellare utenti vsftpd

La creazione di utenti per vsftpd ha senso solo se avete abilitato l’opzione “local_enable”. Per creare gli utenti useremo il comando “useradd”:

# useradd -d /home/nomeutente -m nomeutente
L’opzione “-d” definisce quale sia l’home directory dell’utente, che di norma si trova sotto /home.
L’opzione “-m” crea la home directory in caso non l’abbiate già fatto voi. L’unica differenza è che facendolo da useradd, la cartella viene già resa di proprietà dell’utente senza dover eseguire un ulteriore comando. Se preferite creare la home directory manualmente dovrete usare questi comandi:

# mkdir /home/nomeutente
# chown nomeutente: /home/nomeutente
Resta solo da assegnare una password al nostro utente:

# passwd nomeutente

Adesso il nostro utente è pronto per essere usato per collegarsi con l’ftp. Ovviamente non c’è limite al numero di utenti che è possibile creare, quindi non fatevi scrupoli. Se invece avete la necessità di cancellare un utente lo fate così:

# userdel nomeutente
Notate bene che in questa maniera la home directory e tutti i file contenuti rimarranno, di conseguenza se volete eliminare anche i dati dell’utente lo fate aggiungendo le opzioni “-f” e “-r”:

# userdel -f -r nomeutente

Problemi di connessione a vsftpd con alcuni browser

Ho notato di recente che alcuni browser in alcune versioni, tra cui anche Firefox, non riescono a connettersi all’ftp e ricevono l’errore “530 Permission Denied”. L’unica soluzione possibile al problema è dichiarare in anticipo con quale utente ci si vuole connettere seguendo la sintassi ftp://<nome_utente>@<indirizzo_ip_del_server>/. Quindi nella barra degli indirizzi del browser dovrete scrivere una cosa simile:

ftp://donlimo@192.168.1.200/
In aggiunta potete dichiarare anche la password seguendo la sintassi ftp://<nome_utente>:<password>@<indirizzo_ip_del_server>/. Di conseguenza:

ftp://donlimo:miapassword@192.168.1.200/
Mi sembra tutto. Se avete dubbi, perplessità o non avete capito come fare una cosa, non esitate a chiedere nei commenti.

Buon FTP a tutti.

Articoli correlati:

1. Come impostare utenti virtuali in “vsftpd” su Debian
2. Configurare vsftpd per le connessioni sicure
3. Assegnare un indirizzo IP statico alla scheda di rete su Debian