Dopo aver configurato il nostro server web con Debian 7 abbiamo la necessità di installare un servizio FTP che ci permetta la connessione al server e il caricamento di file da parte nostra e dei nostri clienti.
Di servizi utili per questa finalità ce n’è moltissimi a disposizione ma oggi vi vogliamo mostrare PROFTPD, una soluzione open source che vi permetterà di avere una gestione semplice e immediata senza però correre rischi a livello di sicurezza.
ProFTPD mette a disposizione:
- singolo file di installazione con direttive molto simili a quelli del web server apache
- file .ftpaccess e server FTP virtuali (anch’essi simili ad Apache)
- non permette comandi SITE EXEC (riducendo i rischi per la sicurezza)
- supporta IPv6
Innanzi tutto è necessario loggare sul nostro server e digitare i seguenti comandi:
apt-get update
apt-get install proftpd
L’installer del server FTP chiederà in che modalità volete procedere a far girare proftpd, se attraverso inetd o in modalità standalone.
Come staff consigliamo di usare la modalità standalone in quanto offre maggiori garanzie anche con ingenti quantità di traffico.
Una volta terminata la nostra installazione sarà necessario configurare il nostro server ProFTPD.
Il file di configurazione si trova nella cartella: /etc/proftpd/proftpd.conf
Vi segnaliamo i principali punti da modificare per avere una prima personalizzazione:
- ServerName “proftp server” : indica il nome che apparirà agli utenti
- ServerIdent on “Welcome to proftp server” : Imposta il messaggio di benvenuto
- UseReverseDNS off : Imposta il Reverse DNS
- IdentLookups : può essere settato a on e off . Usato per verificare l’username remoto
- DefaultRoot ~ : imposta la chroot directory di default (può essere usata anche per spostare un utente su una determinata cartella. ad esempio: “DefaultRoot /tmp bob” sposterà l’utente “bob” sulla cartella “/tmp“).
- Maxclients 30 : limita il numero di utenti che possono effettuare una connessione contemporaneamente
- MaxClientsPerHost 50 : limita il numero di connessioni per singolo client
Per visualizzare tutte le possibilità di configurazione visualizzare la guida completa qua
Terminata la fase di configurazione è necessario riavviare il demone. Per riavviare il Demone di Proftp Server usare il seguente comando:
# /etc/init.d/proftpd restart
Un’ottimo strumento per la gestione di ProFTPD è ProFTPD-admin, un’interfaccia web scritta in PHP che necessita di un server LAMP (Apache, PHP, MySQL).
ProFTPD permette inoltre l’installare di un certificato SSL per TLS. Se si vuole procedere con l’installazione del certificato usare il seguente comando:
apt-get install openssl
mkdir /etc/proftpd/ssl
openssl req -new -x509 -days 365 -nodes -out /etc/proftpd/ssl/profrpd.cert.pem -keyout /etc/proftpd/ssl/proftpd.key.pem
Alle successive domande che vi verranno proposte dovrete rispondere in maniera analoga a quella che vi suggeriamo di seguito:
Country Name (2 letter code) [AU]: IT
State or Province Name (full name) [Some-State]: La_Vostra_Provincia
Locality Name (eg, city) []: La_Vostra_Città
Organization Name (eg, company) [Internet Widgits Pty Ltd]: Il_Nome_della_Vostra_Società
Organizational Unit Name (eg, section) []: Etichetta_del_Dipartimento (Esempio: Dipartimento IT)
Common Name (eg, YOUR name) []: FQDN del server (ad esempio: ftp.dominio.estensione)
Email Address []: L’E-mail_dell’amministratore
A questo punto per abilitare TLS in ProFTPD bisogna aprire il file in /etc/proftpd/proftpd.conf e cercare la sezione:
<IfModule mod_tls.c>
TLSEngine off
</IfModule>
e impostatela come sotto:
<IfModule mod_tls.c>
TLSEngine on
TLSLog /var/log/proftpd/tls.log
TLSProtocol SSLv23
TLSOptions NoCertRequest
TLSRSACertificateFile /etc/proftpd/ssl/proftpd.cert.pem
TLSRSACertificateKeyFile /etc/proftpd/ssl/proftpd.key.pem
TLSVerifyClient off
TLSRequired on
</IfModule>
Se impostate, come nell’esempio, la direttiva “TLSRequired on” verrà dato accesso solo alle connessioni TLS. Questa opzione bloccherà tutti gli utenti FTP che non hanno il supporto TLS. Valutare se tenerla attivata o meno a seconda delle poliche che intendete mantenere per il vostro server.
Riavviate nuovamente il server come fatto prima e il vostro ProFTPD sarà pronto e operativo.
Se ci dovessero essere errori o problemi nella cartella /var/log/proftpd/ sarà possibile visualizzare i log del server.
