Product SiteDocumentation Site

5.3. Absichern von FTP

Wenn Sie wirklich FTP benutzen mssen (ohne ihn mit sslwrap zu umhllen oder innerhalb eines SSL- oder SSH-Tunnels), sollten Sie ftp in das Home-Verzeichnis der FTP-Benutzer mit chroot einsperren, so dass diese nichts anderes sehen knnen als ihr eigenes Verzeichnis. Andernfalls knnen sie die Wurzel Ihres Dateisystems durchforsten, als htten sie Shell-Zugriff darauf. Sie knnen die folgende Zeile in Ihre proftpd.conf-Datei im globalen Abschnitt hinzufgen, um die chroot-Fhigkeiten zu nutzen:
DefaultRoot ~
Starten Sie ProFTPd neu, indem Sie /etc/init.d/proftpd restart eingeben, und prfen Sie, ob Sie noch aus Ihrem Home-Verzeichnis heraus kommen knnen.
Um ProFTPd-DoS-Angriffe durch ../../../ zu verhindern, fgen Sie die folgende Zeile Ihrer /etc/proftpd.conf hinzu: DenyFilter \*.*/
Vergessen Sie nicht, dass FTP Login- und Authentifizierungs-Passwort als Klartext sendet (dies ist kein Problem, wenn Sie einen anonymen, ffentlichen Dienst anbieten) und es gibt bessere Alternativen in Debian hierzu. Zum Beispiel sftp (aus dem Paket ssh). Es gibt auch freie Implementierungen von SSH fr andere Betriebssysteme, zum Beispiel http://www.chiark.greenend.org.uk/~sgtatham/putty/ oder http://www.cygwin.com.
Wenn Sie dennoch einen FTP-Server verwalten, whrend Sie den Benutzern Zugriff via SSH gewhren, knnten Sie auf ein typisches Problem stoen. Benutzer, die innerhalb eines mit SSH abgesicherten Systems auf einen anonymen FTP-Server zugreifen wollen, knnen versuchen, sich auf dem FTP-Server einzuloggen. Whrend der Zugriff verweigert werden wird, wird das Passwort trotzdem als Klartext ber das Netz gesendet. Um dies zu verhindern, hat der ProFTPd-Entwickler TJ Saunders einen Patch erstellt, der verhindert, dass Benutzer den anonymen FTP-Server mit gltigen SSH-Zugangsdaten fttern. Mehr Informationen und den Patch finden Sie unter: http://www.castaglia.org/proftpd/#Patches. Dieser Patch wurde auch an Debian gesandt, vergleiche http://bugs.debian.org/145669.