Per un’azienda e non solo, la condivisione di dati e file di medio/grosse dimensioni (grafica, presentazioni, media, etc.) è una necessità sempre più presente nel business svolto.

Anche se gli utenti si ostinano ad inviare grossi file via email fino a saturare il loro inbox o vedersi respingere il messaggio dal destinatario (per questo gli amministratori mettono le quote sulle caselle!), l’utilizzo di un servizio FTP è spesso la soluzione del problema.

Tra le varie proposte del mercato, uno dei più quotati sistemi FTP in ambiente Linux è vsftpd.

1. PREREQUISITI
Per implementare il server FTP, sono richiesti i seguenti componenti:

1. Linux CentOS 5.x
2. Package vsftpd
3. Consigliata la creazione di una partizione dedicata home per le home directory

2. PROCEDURA
Data la tipologia del servizio da implementare, effettuare un’installazione tipo “bare minimum” di Linux CentOS 5.x (trovate un esempio questo articolo).

Successivamente installare il package vsftpd tramite il comando yum.

# yum install vsftpd

Terminata l’installazione, la configurazione risiede nel file /etc/vsftpd/vsftpd.conf. Per avviare il servizio durante il reboot della macchina, impostare il parametro tramite chkconfig.

# chkconfig vsftpd on

Nel firewall bisogna aprire la porta TCP 21 per permettere il corretto funzionamento dell’FTP. Utilizzando il comando system-config-securitylevel-tui si accede alla configurazione base del firewall.

# system-config-securitylevel-tui

Abilitare il firewall cliccando nel campo Security Level il parametro Enabled, disabilitare SELinux e cliccare sul bottone Customize.

Nel campo Allow incoming cliccare sulla voce FTP (abilita la porta TCP 21). Lasciare SSH attivo per la connessione remota sulla macchina. Cliccare su OK per impostare.

Si ripresenta la finestra precedente. Cliccare sul bottone OK per attivare il firewall.

Editare il file di configurazione vsftpd.conf per impostare i parametri di funzionamento.

# vi /etc/vsftpd/vsftpd.conf

Rimuovere dal file di configurazione il simbolo # dalle varie voci per abilitare le specifiche funzioni.

Per permettere la scrittura, il listing delle directory e assegnare i diritti di read & write alle directory:

local_enable=YES
write_enable=YES
local_umask=022

Per abilitare il chroot degli utenti su determinate directory:

chroot_list_enable=YES
chroot_list_file=/etc/vsftpd/chroot_list

Creare il file /etc/vsftpd/chroot_list per inserire la lista degli utenti che dovranno essere “jailed” nella loro home directory.

# vi /etc/vsftpd/chroot_list

Una configurazione tipo di vsftpd può essere impostata come riportato in figura.

Configurato il servizio, non rimane che creare nel sistema gli utenti che utilizzeranno l’FTP.

Per rendere operativa la configurazione, riavviare il daemon vsftpd.

# service vsftpd restart

3. TEST DEL SERVIZIO
Per verificare che il tutto funzioni correttamente, utilizzare un client FTP per testare la connessione e provare ad effettuare l’upload di un file.

Utilizzando Internet Explorer (mezzo utilizzato da molte aziende), connettersi al server FTP ed effettuare il download del file. Digitando l’indirizzo del server FTP, si presenta la finestra di autenticazione. Inserire le credenziali (nell’esempio ftptest) e cliccare su Log on.

Si accede all’area FTP dell’utente (ftptest in questo caso) dove è presente il file precedentemente caricato. Come si nota, l’utente non ha modo di “uscire” dalla propria directory poichè è soggetto a chroot dal sistema.

Il server FTP è adesso operativo e pronto per essere messo in produzione. Generalmente, dato l’utilizzo, è consigliabile posizionare il server FTP nell’area DMZ della rete, configurando opportunamente il firewall.

Hai già letto questi articoli?

• Installare un server FTP con proFTPd + proFTPd Administrator
• Monitorare AS/400 con Nagios in CentOS
• Monitorare server ESX(i) con Nagios tramite plugin check_esx su CentOS
• Installare l’addon NagVis per Nagios su CentOS

Come precedentemente visto nell’articolo dedicato alla configurazione di un sistema FTP tramite proFTPd e proFTPd Administrator, le home directory dei nuovi utenti definiti devono essere create manualmente.

Per automatizzare la procedura di creazione delle home directory tramite l’interfaccia web, è necessario l’utilizzo di uno script che abbia un accesso con permessi di root al sistema. Ovviamente non è opportuno far girare il web server con l’utente root per non compromettere l’intera sicurezza del sistema.

Tramite il comando sudo è possibile eseguire lo script mantenendo il fattore sicurezza invariato. Per utilizzare questa soluzione è necessario editare il file /etc/sudoers per inserire le definizioni  richieste.

# visudo

Aggiungere le seguenti linee nel file:

Cmnd_Alias CREATE_USER = /var/www/html/ftpadmin/misc/user_script/create_user.sh

apache ALL=(ALL) NOPASSWD: CREATE_USER

Se durante la creazione di un nuovo utente via web viene visualizzato l’errore:

# sudo: sorry, you must have a tty to run sudo

è sufficiente commentare nel file /etc/sudoers l’istruzione:

#Defaults requiretty

Per fare in modo che proFTPd Administrator utilizzi lo script quando viene invocata la creazione di un nuovo utente, editare il file /var/www/html/ftpadmin/include_config.php ed aggiungere l’istruzione:

$config_createuser_command = “sudo /var/www/html/ftpadmin/misc/user_script/create_user.sh”;

Per creare le home directory e assegnare i permessi tramite l’interfaccia web, modificare il file /var/www/html/ftpadmin/misc/user_script/create_user.sh aggiungendo le istruzioni:

# vi /var/www/html/ftpadmin/misc/user_script/create_user.sh

mkdir -p /ftp/$USER
chown $USER_ID.$GROUP_ID /ftp/$USER

Per evitare che il sistema diventi vulnerabile a causa dei permessi di accesso dello script, proteggiamo lo script permettendo l’accesso e l’esecuzione al solo utente root.

# chown root.root /var/www/html/ftpadmin/misc/user_script/ -R
# chmod 700 /var/www/html/ftpadmin/misc/user_script/ -R

A questo punto la configurazione è terminata. Dal browser avviare proFTPd Administrator e provare a definire un nuovo utente.

Verificando il contenuto della directory /ftp è possibile notare che la home directory appena creata ha i permessi di accesso assegnati al nuovo utente definito.

Il server FTP è adesso completo e con la funzione di poter gestire i nuovi utenti e la creazione delle home directory direttamente via web.

Hai già letto questi articoli?

• Installare un server FTP con proFTPd + proFTPd Administrator
• Installare un server FTP con vsftpd su CentOS
• Proteggere una pagina web in Apache con .htaccess
• Visualizzare il nome utente in una pagina web con IIS 7.5 in Windows 2008

I continui tagli di budget inflitti ai reparti IT, costringe i sistemisti ad orientare le soluzioni informatiche su prodotti che non incidano pesantemente sui costi cercando di mantenere il più alto fattore di sicurezza/prestazioni.

Un PC considerato obsoleto o poco performante con un sistema operativo Linux può essere molto utile per realizzare un buon server FTP contenendo i costi ed assicurando una certa affidabilità e sicurezza.

Utilizzando il robusto proftpd appoggiato ad un’installazione bare minimum di CentOS 5.4 è possibile implementare un server FTP molto robusto ed efficiente.

1. PREREQUISITI
Per utilizzare proftpd e l’interfaccia web proftpd Administrator, sono richiesti quattro packages principali:

1. mysql
2. apache
3. proftpd
4. proftpd administrator

Procediamo con l’installazione dei requisiti di sistema:

# yum install mysql-server httpd php php-mysql mod_ssl

# chkconfig mysqld on
# chkconfig httpd on

Una volta installato il repository rpmforge, possiamo installare proftpd tramite il comando yum:

# rpm -Uvh rpmforge-release-0.3.6-1.el5.rf.i386.rpm

# yum install proftpd proftpd-mysql
# chkconfig proftpd on

Dal sito http://proftpd-adm.sourceforge.net scarichiamo l’ultima versione di proftpd Administrator e la scompattiamo. La directory sarà poi copiata nella root di Apache impostata in /etc/http/conf/httpd.conf, nell’esempio /var/www/html/.

# tar -xzvf proftpd_admin_v1.2.tar.gz
# mv proftpd_admin_v1.2 /var/www/html/ftpadmin

2. IMPOSTAZIONI DI mySQL
Per incrementare la sicurezza di mySQL, è opportuno impostare la password di root ed eliminare ciò che non è necessario:

# service mysqld start
# mysql_secure_connection

• impostare la password di root
• rimuovere l’utente anonymous
• disabilitare l’accesso remoto root
• rimuovere il database test

Una volta installato proftpd, bisogna impostare la password precedentemente assegnata a mySQL root editando il file della struttura del database che sarà importato in mySQL. Da /var/www/html/ftpadmin/misc/database_structure_mysql/, editiamo le ultime tre righe del file db_structure.sql:

# cd /var/www/html/ftpadmin/misc/database_structure_mysql/
# vi db_structure.sql

A questo punto dalla directory /var/www/html/ftpadmin/misc/database_structure_mysql/ importiamo la struttura del database in mySQL:

# mysql -u root -p < db_structure.sql

3. IMPOSTAZIONI DI APACHE
Configurare Apache /etc/http/conf/httpd.conf impostando il ServerName ed avviare il servizio:

# service httpd start

4. IMPOSTAZIONI DI proFTPd
Prima di avviare il servizio, bisogna configurare proftpd per rispecchiare le impostazioni del sistema. Come riferimento è possibile utilizzare il file di esempio proftpd.conf incluso nella directory /var/www/html/ftpadmin/misc/sample_config/.

Editare il file proftpd.conf e settare la stessa password impostata precedentemente in mySQL nella riga dove viene riportato:

SQLConnectInfo proftpd_admin@localhost proftpd newpassword

Verifichiamo che non ci siano errori di configurazioni in proftpd lanciando semplicemente il comando:

# proftpd

Se non viene visualizzato nessun errore, proftpd è pronto per essere avviato.

# service proftpd start

5. IMPOSTAZIONI DI proFTPd Administrator
Precedentemente abbiamo spostato la directory proftpd_admin in /var/www/html/ftpadmin, quindi è qui che sposteremo adesso la nostra attenzione. Per poter configurare il sistema tramite l’interfaccia web e abilitare la scrittura dei log, dobbiamo assegnare i diritti di scrittura al file configuration.xml e alle directory groups e users in /var/www/html/ftpadmin/logs:

# cd /var/www/html/ftpadmin
# chmod o+w configuration.xml
# chmod 733 logs/*

Creiamo il gruppo e l’utente utilizzati dal programma:

# groupadd -g 1000 grouptable
# useradd -u 1000 -s /bin/false -d /bin/null -c “proftpd user” -g grouptable usertable

Per come sono le impostazioni di default, creiamo la directory /ftp nella root di sistema:

# mkdir /ftp

Per aumentare la sicurezza del sistema è consigliato creare una partizione dedicata a ftp.

Per configurare correttamente l’ambiente operativo, riavviamo il servizio httpd e richiamiamo dal browser l’interfaccia web di proftpd Administrator tramite http://ip_address/ftpadmin/configure.php. Per configurare correttamente i parametri di sistema, cliccare su Configure e impostare i parametri come riportato in figura:

Database

proFTPd

Filepath

Terminata la configurazione, richiamando dal browser l’indirizzo http://ip_address/ftpadmin si accede alla Main Page:

6. SICUREZZA
Poichè presumibilmente il server FTP sarà messo in DMZ, è necessario impostare determinati parametri di sicurezza per garantirne una certa affidabilità contro eventuali tentativi di intrusione. Tramite il comando system-config-securitylevel-tui impostare il firewall come attivo lasciando passare solo i servizi necessari:

• ssh
• ftp
• https

# system-config-securitylevel-tui

Fare riferimento anche a quanto riportato nell’articolo Mettere in sicurezza un sistema Linux precedentemente pubblicato per rafforzare la robustezza del sistema.

Con l’installazione del modulo mod_ssl di Apache, utilizzeremo il protocollo SSL per accedere all’interfaccia web tramite l’indirizzo https://ip_address/ftpadmin.

Non ci resta poi che definire gli utenti con le home directory operative e il server FTP, dopo averlo testato per qualche giorno, è pronto per essere messo in produzione.

Hai già letto questi articoli?

• Installare un server FTP con vsftpd su CentOS
• Creazione automatica delle home directory di proFTPd tramite proFTPd Administrator
• Monitorare AS/400 con Nagios in CentOS
• Monitorare server ESX(i) con Nagios tramite plugin check_esx su CentOS