{"id":1428,"date":"2018-04-13T15:05:13","date_gmt":"2018-04-13T13:05:13","guid":{"rendered":"http:\/\/clark.tipistrani.it\/?p=1428"},"modified":"2018-10-11T10:22:34","modified_gmt":"2018-10-11T08:22:34","slug":"server-ftp-riveduto-e-corretto","status":"publish","type":"post","link":"http:\/\/clark.tipistrani.it\/?p=1428","title":{"rendered":"Server FTP riveduto e corretto"},"content":{"rendered":"

Visto che il precedente server FTP ha deciso di colpo di non funzionare pi\u00f9 senza un apparente motivo, e che comunque era vecchiotto come SO Debian 7 (2013) ho deciso che era ora di rifare la macchina pertanto questo articolo \u00e8 l’evoluzione di quanto scritto qui<\/a>.
\nVisto che ho imparato diverse cose su systemd e adesso mi sta ancora pi\u00f9 sullo stomaco la scelta del sistema operativo e’ caduta su Devuan che con ogni probabilit\u00e0 diventer\u00e0 la mia distro di riferimento.
\nLa macchina \u00e8 sempre la solita dedicata a questo servizio, un Dell PowerEdge T100 con un HD SATA da 250 GB che ho partizionato in questo modo<\/p>\n

\/dev\/sda1 63 4209029 4208967 2G b W95 FAT32
\n\/dev\/sda2\u00a0 282,4M \/boot
\n\/dev\/sda3 1,9G 82 Linux swap
\n\u251c\u2500\/dev\/sda5 23,3G\u00a0 \/
\n\u251c\u2500\/dev\/sda6 18,6G\u00a0 \/var
\n\u251c\u2500\/dev\/sda7\u00a0 953M \/tmp
\n\u251c\u2500\/dev\/sda8\u00a0 1,4G \/home
\n\u2514\u2500\/dev\/sda9 184,5G \/jail
\nInstallazione il pi\u00f9 base possibile, vale a dire sistema base e server ssh, per avere un kernel un po pi\u00f9 recente ho installato il kernel da backport ma francamente non era necessario.
\nUna volta installati e configurati i miei soliti tools per lavorare come mi piace (vim,gpm, postfix,logcheck, e poco altro) sono passato ad installare debootstrap, tool che in sostanza permette di creare un ambiente di lavoro completo in un ambiente chroot, vale a dire separato da quello della chiamiamola macchina padre.
\nL’operazione molto semplice da compiere una volta installato debootstrap\u00a0 da root dare questo comando
\ngrecale:~# debootstrap jessie \/jail http:\/\/auto.mirror.devuan.org\/merged\/
\ne una volta finito di installare tutte le sue cose propone autonomamente un\u00a0 mkdir \/target\/lib\/modules che va modificato in mkdir \/jail\/lib\/modules.
\nModifichiamo adesso nella macchina padre il file \/etc\/fstab in modo che faccia l’automount del filesystem proc e il device devpts, aggiungiamo queste righe:
\nproc-chroot \/jail\/proc proc none 0 0
\ndevpts \/jail\/dev\/pts devpts defaults 0 0
\ne copiamo il file \/etc\/hosts in \/jail\/etc\/hosts per configurare la rete.
\nCol comando chroot \/jail ci spostiamo nell’ambiente chroot, e giusto come comodit\u00e0 aggiungiamo al .bashrc della root in jail questa riga:
\nPS1=’\\[\\e[1;31m\\][\\u@\\h \\W]\\$\\[\\e[0m\\] ‘
\nche colora di rosso il prompt in modo da capire al volo quando siamo in chroot e quando no.
\nInstalliamo e configuriamo locales in chroot per non avere messaggi strani quando si lavora, e quindi installiamo proftpd, dopo di che aggiungiamo al file \/etc\/shell un \/bin\/false e con adduser aggiungiamo l’utente\u00a0 archivio, sostituendo in \/etc\/passwd la shell con \/bin\/false, cloniamo in \/etc\/passwd e shadow archivio come manager, e aggiungiamo manager anche a group, aggiorniamo la password di manager con passwd, questo serve ad avere un altro utente con la stessa home di archivio.
\nL’utente archivio sar\u00e0 l’utente ftp vero e proprio, quello che viene dato ai clienti per prelevare o mettere materiale, l’utente manager \u00e8 quello che usano all’interno della ditta e che ha permessi di lettura e scrittura ovunque nella directory deputata all’FTP, per non dare accesso di root agli utenti interni.
\nL’idea \u00e8 quella di creare due directory all’interno della \/home di archivio, una di download da cui prendere dati e una di upload in cui mettere dati quando necessario e di dare i permessi giusti ad entrambe in modo tale che per l’utente archivio sia possibile leggere ma non scrivere nella directory download e scrivere ma non leggere nella directory upload, in quanto essendo un unico login per diverse realt\u00e0 non \u00e8 il caso che chiunque possa vedere cosa viene mandato a noi.
\nIn sostanza avremo una situazione di questo tipo:
\n\/
\n|—home
\n|—archivio
\n|—download
\n|—upload<\/p>\n

Ma all’utente apparir\u00e0 una cosa di questo tipo<\/p>\n

\/
\n|—download
\n|—upload
\nperch\u00e9 imporremo nel file di configurazione di proftpd che la \/home di archivio sia la sua root directory, in altre parole un chroot all’interno di un chroot, paranoia? S\u00ec senza dubbio, si tratta solo di capire quanta essa sia, nel dubbio Si vis pacem para bellum.
\nCreiamo le directory con mkdir download upload quindi chown archivio.manager download e chown archivio.manager upload dopo di che rendiamo non leggibile all’utente archivio\u00a0 la directory upload con chmod -R u-r upload\/\u00a0 quindi rendiamo non scrivibile download all’autente archivio con un chmod -R u-w download\u00a0 e la rendiamo scrivibile al gruppo (manager) chmod -R g+w download\u00a0 se adesso diamo un:
\n[root@grecale archivio]# ls -al<\/p>\n

drwxr-xr-x 4 archivio archivio 4096 apr 12 11:57 .
\ndrwxr-xr-x 4 root root 4096 apr 9 07:59 ..
\ndr-xrwxr-x 2 archivio manager 4096 apr 13 14:21 download
\nd-wxrwxr-x 2 archivio manager 4096 apr 13 14:23 upload
\nE coi permessi siamo a posto, mettiamo a posto adesso il file di configurazione di proftpd che al solito si trova sotto \/etc\/proftpd
\nproftpd.conf<\/p>\n

 <\/p>\n

# Includes DSO modules
\nInclude \/etc\/proftpd\/modules.conf<\/p>\n

# Set off to disable IPv6 support which is annoying on IPv4 only boxes.
\nUseIPv6 off
\n# If set on you can experience a longer connection delay in many cases.
\nIdentLookups off<\/p>\n

ServerName “grecale”
\nServerType standalone
\nServerAdmin edp@zincometal.com
\nDeferWelcome off<\/p>\n

MultilineRFC2228 on
\nDefaultServer on
\nShowSymlinks on<\/p>\n

TimeoutLogin 120
\nTimeoutNoTransfer 120
\nTimeoutStalled 240
\nTimeoutIdle 300<\/p>\n

DisplayLogin .benvenuto
\nDisplayChdir filetodisplay true<\/p>\n

ListOptions “-l”<\/p>\n

DenyFilter \\*.*\/<\/p>\n

# Use this to jail all users in their homes
\nDefaultRoot ~<\/p>\n

# Port 21 is the standard FTP port.
\nPort 21<\/p>\n

# In some cases you have to specify passive ports range to by-pass
\n# firewall limitations. Ephemeral ports can be used for that, but
\n# feel free to use a more narrow range.
\n#PassivePorts 49152 65534<\/p>\n

# If your host was NATted, this option is useful in order to
\n# allow passive tranfers to work. You have to use your public
\n# address and opening the passive ports used on your firewall as well.
\n# MasqueradeAddress xxx.xxx.xxx.xxx<\/p>\n

# This is useful for masquerading address with dynamic IPs:
\n# refresh any configured MasqueradeAddress directives every 8 hours
\n<IfModule mod_dynmasq.c>
\n# DynMasqRefresh 28800
\n<\/IfModule><\/p>\n

MaxInstances 30<\/p>\n

# Set the user and group that the server normally runs at.
\nUser nobody
\nGroup nogroup<\/p>\n

# Umask 022 is a good standard umask to prevent new files and dirs
\n# (second parm) from being group and world writable.
\nUmask 022 022
\n# Normally, we want files to be overwriteable.
\nAllowOverwrite on<\/p>\n

 <\/p>\n

TransferLog \/var\/log\/proftpd\/xferlog
\nSystemLog \/var\/log\/proftpd\/proftpd.log<\/p>\n

# Logging onto \/var\/log\/lastlog is enabled but set to off by default
\n.c>
\nQuotaEngine off
\n<\/IfModule><\/p>\n

<IfModule mod_ratio.c>
\nRatios off
\n<\/IfModule><\/p>\n

 <\/p>\n

# Delay engine reduces impact of the so-called Timing Attack described in
\n# http:\/\/www.securityfocus.com\/bid\/11430\/discuss
\n# It is on by default.
\n<IfModule mod_delay.c>
\nDelayEngine on
\n<\/IfModule><\/p>\n

<IfModule mod_ctrls.c>
\nControlsEngine off
\nControlsMaxClients 2
\nControlsLog \/var\/log\/proftpd\/controls.log
\nControlsInterval 5
\nControlsSocket \/var\/run\/proftpd\/proftpd.sock
\n<\/IfModule><\/p>\n

<IfModule mod_ctrls_admin.c>
\nAdminControlsEngine off<\/p>\n

<\/IfModule><\/p>\n

 <\/p>\n

# A basic anonymous configuration, no upload directories.<\/p>\n

 <\/p>\n

# Include other custom configuration files
\n<Directory \/*>
\nAllowOverwrite on
\n<\/Directory>
\n<Anonymous ~archivio>
\nAccessGrantMsg “Accesso consentito all’utente %u.”
\nAllowRetrieveRestart on
\nAllowStoreRestart off
\nExtendedLog \/var\/log\/proftpd\/grecale.log read,write,auth
\nAnonRequirePassword yes
\nMaxClients 10 “\u00c8 stato raggiunto il limite di utenti ammessi (%m).”
\nMaxClientsPerHost 1 “\u00c8 gi\u00e0 connesso 1 utente dal tuo dominio.”
\nRequireValidShell yes<\/p>\n

<Directory *>
\n<Limit WRITE>
\nDenyAll
\n<\/Limit><\/p>\n

<Limit READ>
\nDenyAll
\n<\/Limit><\/p>\n

<Limit DIRS>
\nAllowAll
\n<\/Limit>
\n<\/Directory><\/p>\n

<Directory \/home\/archivio\/download>
\n<Limit STOR>
\n###
\norder deny,allow
\nAllow 192.168.2.0\/24
\nAllowUser manager
\nDeny from all
\n###
\nDenyAll
\n<\/Limit>
\n<\/Directory><\/p>\n

<Directory \/home\/archivio\/upload>
\nUmask 222
\n<Limit STOR>
\nAllowAll
\n<\/Limit>
\n<Limit READ>
\nDenyAll
\n<\/Limit><\/p>\n

<\/Directory>
\n<\/Anonymous><\/p>\n

Include \/etc\/proftpd\/conf.d\/<\/p>\n

A questo punto si rilancia il demone proftpd e si fa un test con un browser ftp:\/\/xxx.xxx.xxx.xxx:21<\/p>\n

Chiede login e password a cui si da archivio e pwarchivio e…
\nresta li senza fare piu’ un tubo…
\nSenza stare a spiegare tutta la storia nei log si trova questa scritta:<\/p>\n

Passive data transfer failed, possibly due to network issues
\ngrecale proftpd[4167] grecale.oceano.lan (sangiorgio.oceano.lan[192.168.2.237]): Check your PassivePorts and MasqueradeAddress settings,
\ngrecale proftpd[4167] grecale.oceano.lan (sangiorgio.oceano.lan[192.168.2.237]): and any router, NAT, and firewall rules in the network path.
\ngrecale proftpd[4167] grecale.oceano.lan (sangiorgio.oceano.lan[192.168.2.237]): FTP no transfer timeout, disconnected
\ngrecale proftpd[4167] grecale.oceano.lan (sangiorgio.oceano.lan[192.168.2.237]): FTP session closed.
\nA farla breve per qualche strano motivo di sicurezza adesso lavora solo in modo passivo quindi dobbiamo scommentare le righe:
\nPassivePorts 49152 65534
\ne dato che grecale e dietro NAT anche<\/p>\n

MasqueradeAddress xxx.xxx.xxx.xxx
\ndove xxx.xxx.xxx.xxx \u00e8 l’indirizzo IP pubblico a cui si chiama il server FTP.
\nSi tratta quindi anche di modificare lo script di firewall permettendo il NAT delel porte passive, quindi il blocco regole di IPTABLES per l’FTP diventa qualcosa di simile a questo
\n### FTP RULES
\n$IPT -A INPUT -p tcp –dport 21 -j ACCEPT
\n$IPT -A INPUT -p tcp –dport 49152:65534 -j ACCEPT
\n$IPT -A FORWARD -i $EXTIF -p tcp –dport 21 -j ACCEPT
\n$IPT -A FORWARD -p tcp –dport 49152:65534 -j ACCEPT
\n$IPT -A OUTPUT -p tcp –sport 20 -j ACCEPT
\n$IPT -t nat -A PREROUTING -s 0\/0 -i $EXTIF -p tcp -d $EXTIP –dport 21 -j DNAT \\
\n–to-destination $GRECALE:21
\n$IPT -t nat -A PREROUTING -s 0\/0 -i $EXTIF -p tcp -d $EXTIP –dport 49152:65534 -j DNAT \\<\/p>\n

–to-destination $GRECALE:49152-65534 #### NOTA MOLTO BENE per il –to-destination ci vuole il – (dash) e NON i : (colon) e ci ho messo 2 ore a capirlo…
\nResta solo da far partire il server FTP in automatico quando si riavvia la macchina padre e, visto che il vecchio sistema a script di init funziona non vedo un solo motivo al mondo per cambiarlo, quindi nella macchina in chroot nella directry init.d andiamo a mettere questo script<\/a>
\ne nella macchina padre questo script<\/a><\/p>\n

ADDENDUM<\/p>\n

Dopo qualche tempo mi chiamano dei colleghi e mi dicono che non riescono a collegarsi internamente al server mentre invece se escono su internet si collegano senza problemi, il proftpd.log dice:
\n2018-10-11 08:04:59,748 grecale proftpd[7549] grecale.oceano.lan (pc0.oceano.lan[192.168.2.254]): SECURITY VIOLATION: Passive connection from 192.168.2.237 rejected.
\nrapida ricerca tramite google e la soluzione \u00e8 aggiungere queste tre voci:<\/p>\n

IdentLookups off
\nUseReverseDNS off
\nAllowForeignAddress on
\ne anche dalla LAN si arriva al server senza problemi.<\/p>\n","protected":false},"excerpt":{"rendered":"

Visto che il precedente server FTP ha deciso di colpo di non funzionare pi\u00f9 senza un apparente motivo, e che comunque era vecchiotto come SO Debian 7 (2013) ho deciso che era ora di rifare la macchina pertanto questo articolo \u00e8 l’evoluzione di quanto scritto qui. Visto che ho imparato diverse cose su systemd e […]<\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[8,7,6],"tags":[53,121,119,120,122],"class_list":["post-1428","post","type-post","status-publish","format-standard","hentry","category-linux","category-sistemi-operativi","category-work","tag-chroot","tag-debootstrap","tag-ftp","tag-jail","tag-proftpd"],"_links":{"self":[{"href":"http:\/\/clark.tipistrani.it\/index.php?rest_route=\/wp\/v2\/posts\/1428","targetHints":{"allow":["GET"]}}],"collection":[{"href":"http:\/\/clark.tipistrani.it\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"http:\/\/clark.tipistrani.it\/index.php?rest_route=\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"http:\/\/clark.tipistrani.it\/index.php?rest_route=\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"http:\/\/clark.tipistrani.it\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=1428"}],"version-history":[{"count":9,"href":"http:\/\/clark.tipistrani.it\/index.php?rest_route=\/wp\/v2\/posts\/1428\/revisions"}],"predecessor-version":[{"id":1493,"href":"http:\/\/clark.tipistrani.it\/index.php?rest_route=\/wp\/v2\/posts\/1428\/revisions\/1493"}],"wp:attachment":[{"href":"http:\/\/clark.tipistrani.it\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=1428"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"http:\/\/clark.tipistrani.it\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=1428"},{"taxonomy":"post_tag","embeddable":true,"href":"http:\/\/clark.tipistrani.it\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=1428"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}