|
Size: 2033
Comment:
|
Size: 2948
Comment: "Miksi käyttää FTP:tä tietoturvallisemman SSH:n sijaan" lisätty, komennot sisennetty.
|
| Deletions are marked like this. | Additions are marked like this. |
| Line 2: | Line 2: |
| FTP-palvelimen käyttäminen on tietoturvasyistä järkevää käytännössä ainoastaan lähiverkossa. Etuna salattuun SSH-palvelimeen nähden on lähinnä vain hieman nopeampi tiedonsiirto, joten käytettäessä nykyaikaisia nopeita lähiverkkoja (Gigabit) saavutettu etu on todella pieni. Mikäli haluat jakaa tiedostoja globaalisti, esim. itse tekemäsi ohjelman tms., on FTP-palvelin tietysti hyvä vaihtoehto, ole silloin kuitenkin erityisen tarkkana turvallisuusasetusten kanssa (ainakin kirjoitusoikeus pois tunnistautumattomilta käyttäjiltä). | |
| Line 3: | Line 4: |
| Aluksi asennetaan palvelinohjelmisto: {{{ |
== Palvelinohjelmiston asennus == {{{ |
| Line 7: | Line 8: |
| Suosittelen asentamaan palvelimen standaloneksi, kun asennus ohjelma sitä kysyy, helpomman toiminnallisuuden vuoksi. Standalonena ftp-palvelin on siis aina käytettävissä, kun kone on päällä. | |
| Line 9: | Line 9: |
| Asennusohjelma kysyy mihin tilaan FTP-palvelin halutaan asettaa. Suosittelen asentamaan palvelimen tilaksi "standalone", koska "Standalone"-tilassa ftp-palvelin on aina käytettävissä, kun kone on päällä. | |
| Line 10: | Line 11: |
| Muokataan tiedostoa '''/etc/proftpd.conf''' Muista sudoilla root oikeudet! | == FTP-käytön rajoittaminen käyttäjän kotihakemistoon == Avaa tiedosto '''/etc/proftpd/proftpd.conf''' komentamalla päätteessä Huom. Ubuntu Dapper ja aikaisemmat, tiedosto on '''/etc/proftpd.conf''' {{{ gksudo gedit /etc/proftpd/proftpd.conf }}} |
| Line 12: | Line 18: |
| Lisää rivin '''DenyFilter \*.*/''' alle rivi '''DefaultRoot ~''' Niin ftp:n käyttäjä ei pääse kuin ko. tunnuksen home hakemistoon. Tähän voi tietysti laittaa ihan minkä vaan hakemiston '''~''':n tilalle. Portti kannattaa turvallisuuden nimissä vaihtaa, jos annat ftp:n toimia muualla kuin lähiverkossa. |
Lisää tiedostoon kohdan '''DenyFilter \*.*/''' alle uusi rivi '''DefaultRoot ~''' Näin voit rajoittaa FTP-yhteyden käytön omaan kotihakemistoosi. Voit halutessasi käyttää myös jotain muuta hakemistoa '''~''':n tilalla. |
| Line 18: | Line 21: |
| {{{ | {{{ |
| Line 21: | Line 25: |
| Line 23: | Line 28: |
| == Turvallisuusasetusten säätö == Halutessasi FTP-palvelimelle lisäturvaa, voit asettaa rajoituksia, joilla parannetaan tietoturvatasoa. |
|
| Line 24: | Line 31: |
| Ja sitten hieman lisäsäätöä. Laita code-tagissa olevat koodit tiedoston '''/etc/proftpd.conf''' loppuun. | Tässä on listattuna muutamia erilaisia tietoturva-asetuksia. Jos haluat asetuksen käyttöön, lisää haluamasi asetukset tiedoston '''/etc/proftpd/proftpd.conf''' loppuun. |
| Line 26: | Line 33: |
| Vain lähiverkolle oikeus käyttää ftp:tä: {{{ |
FTP:n käytön salliminen ainoastaan oman lähiverkon sisällä: . {{{ |
| Line 31: | Line 39: |
| Line 36: | Line 43: |
| }}} | }}} |
| Line 38: | Line 45: |
| Kirjoitusoikeudet pois kaikkialta. {{{ |
Kirjoitusoikeuksien poistaminen. . {{{ |
| Line 45: | Line 53: |
| }}} | }}} |
| Line 47: | Line 55: |
| Kirjoitusoikeus tiettyyn hakemistoon. Tämä vaikuttaa vain jos edellinen on laittettu. {{{ |
Kirjoitusoikeuden asettaminen tiettyyn hakemistoon. (Vaikuttaa vain jos edellinen on laittettu). . {{{ |
| Line 54: | Line 63: |
| }}} | }}} |
| Line 57: | Line 66: |
| {{{ | . {{{ |
| Line 63: | Line 73: |
}}} |
}}} |
| Line 68: | Line 77: |
[http://forum.ubuntu-fi.org/index.php?topic=2823.0 Keskustelu Ubuntu-fi:nn foorumilla] |
[http://forum.ubuntu-fi.org/index.php?topic=2823.0 Keskustelu Ubuntu-fi foorumilla] |
FTP-Palvelimen asennus
FTP-palvelimen käyttäminen on tietoturvasyistä järkevää käytännössä ainoastaan lähiverkossa. Etuna salattuun SSH-palvelimeen nähden on lähinnä vain hieman nopeampi tiedonsiirto, joten käytettäessä nykyaikaisia nopeita lähiverkkoja (Gigabit) saavutettu etu on todella pieni. Mikäli haluat jakaa tiedostoja globaalisti, esim. itse tekemäsi ohjelman tms., on FTP-palvelin tietysti hyvä vaihtoehto, ole silloin kuitenkin erityisen tarkkana turvallisuusasetusten kanssa (ainakin kirjoitusoikeus pois tunnistautumattomilta käyttäjiltä).
Palvelinohjelmiston asennus
sudo apt-get install proftpd
Asennusohjelma kysyy mihin tilaan FTP-palvelin halutaan asettaa. Suosittelen asentamaan palvelimen tilaksi "standalone", koska "Standalone"-tilassa ftp-palvelin on aina käytettävissä, kun kone on päällä.
FTP-käytön rajoittaminen käyttäjän kotihakemistoon
Avaa tiedosto /etc/proftpd/proftpd.conf komentamalla päätteessä Huom. Ubuntu Dapper ja aikaisemmat, tiedosto on /etc/proftpd.conf
gksudo gedit /etc/proftpd/proftpd.conf
Lisää tiedostoon kohdan DenyFilter \*.*/ alle uusi rivi DefaultRoot ~ Näin voit rajoittaa FTP-yhteyden käytön omaan kotihakemistoosi. Voit halutessasi käyttää myös jotain muuta hakemistoa ~:n tilalla.
Käynnistä palvelin uudelleen komennolla:
sudo /etc/init.d/proftpd restart
Nyt ftp-palvelimen pitäisi olla jo käyttövalmis. Käytä jotain koneessa olevia tunnuksia sisään kirjautumiseen. Jos homma ei pelaa, niin tarkasta että et ole blockannut ftp:n porttia (oletus 21) iptablesilla (firestarte/guarddog).
Turvallisuusasetusten säätö
Halutessasi FTP-palvelimelle lisäturvaa, voit asettaa rajoituksia, joilla parannetaan tietoturvatasoa.
Tässä on listattuna muutamia erilaisia tietoturva-asetuksia. Jos haluat asetuksen käyttöön, lisää haluamasi asetukset tiedoston /etc/proftpd/proftpd.conf loppuun.
FTP:n käytön salliminen ainoastaan oman lähiverkon sisällä:
<Class internal> From 192.168.0.0/16 </Class> <Limit ALL> AllowClass internal DenyAll </Limit>
Kirjoitusoikeuksien poistaminen.
<Directory /> <Limit WRITE> DenyAll </Limit> </Directory>
Kirjoitusoikeuden asettaminen tiettyyn hakemistoon. (Vaikuttaa vain jos edellinen on laittettu).
<Directory /home/tunnus/kirjoitusoikeudellinen_hakemisto> <Limit WRITE READ> AllowAll </Limit> </Directory>
Luku -ja kirjoitusoikeus pois tietystä hakemistosta:
<Directory /home/tunnus/ykstyinen> <Limit READ WRITE> DenyAll </Limit> </Directory>
FTP-palvelin on tietysti aina muokkausten jälkeen käynnistettävä uudelleen (sudo /etc/init.d/proftpd restart).
[http://forum.ubuntu-fi.org/index.php?topic=2823.0 Keskustelu Ubuntu-fi foorumilla]