FTP-Server Installation mit VSFTPD

FTP-Server Installation mit VSFTPD und Absicherung mit Fail2ban

Very Secure File Transfer Protocol Deamon (VSFTPD), wie uns das gleichnamige Dienstprogramm verspricht, ist VSFTPD ein sicherer FTP-Daemon, dieser als Standard-FTP-Server von den meisten Linux Distributionen verwendet wird, so in Debian, Ubuntu, CentOS, Fedora, RHEL und weiteren mehr. VSFTPD ist ein sicherer und stabiler FTP-Server und ist unter der GNU General Public License autorisiert. VSFTPD wurde entwickelt für eine sichere und einfache Unterstützung virtueller Clients mit PAM (Pluggable Authentication Modules). In diesem Tutorial wird gezeigt, wie man VSFTPD installiert und mit Fail2ban auf Debian 10 (buster) oder anderen Linux Versionen implementiert. Fail2ban ist ein in Python geschriebenes Intrusion Prevention System, das auf jedem Linux Betriebssystem läuft, dieses eine manipulierbare Firewall beinhaltet.

INSTALLATION

Unter Debian und Ubuntu wird VSFTPD mit dem apt Paket Manager aus dem Standard Repository installiert.

Bei CentOS und RHEL wird VSFTPD mit YUM installiert.

Nach der Installation geht’s zur Konfiguration von VSFTPD.

Bei CentOS / RHEL / Fedora ist vsftpd.conf unter /etc/vsftpd.

  Wer nicht mit VIM arbeitet, kann mit nano oder ne editieren.

Wir deaktivieren die anonyme Anmeldung und erlauben lokalen Benutzern zu schreiben.

chroot für FTP Benutzer

chroot steht für change root und ist eine Funktion für Unixoide Systeme, um das Rootverzeichnis zu ändern. chroot wirkt sich nur auf den aktuellen Prozess und seine Child-Prozesse aus, es ist ein einfacher Jail-Mechanismus in dem das FTP-Dienstprogramm verhindert das Benutzer auf Dateien ausserhalb seines Verzeichnisses zugreifen können. chroot bietet auch eine einfache Möglichkeit, nicht vertrauenswürdige Daten in eine Sandbox zu versetzen. Die chroot Einstellungen für VSFTPD Benutzer findet man in der Datei vsftpd.conf bei Zeile chroot_local_user und ändere dort auf YES, so auch bei chroot_list_enable.

Alle Benutzer werden chroot zugeteilt, bis auf einige die befreit sind, dazu wird die Datei /etc/vsftpd.chroot_list erstellt, diese Benutzer enthält, die von chroot ausgeschlossen werden.

  CentOS / RHEL Pfad /etc/vsftpd/vsftpd.chroot_list

Um für bestimmte Benutzer die Anmeldung ganz zu verweigern, fügen wir der Datei vsftpd.conf folgende Zeilen hinzu.

Erstelle eine Datei vsftpd.userlist und füge Benutzer hinzu diese abgeleht werden sollen. Abgelehnt werden sollten die Service Accounts, da diese gerne für Angriffe genutzt werden. Benutzer pro Zeile hinzufügen, Beispiel: vsftpd.userlist

SFTP verschlüsselte Authentifizierung

Damit Passwörter nicht im Klartext gesendet werden, diese Optionen zur Konfigurationsdatei hinzufügen, einige davon sind bereits verhanden, überprüfe diese und ändere ggf. die Optionen.

Anmerkung: Wird der SSH Server auf dem System ausgeführt, muss beachtet werden, das per Standard SFTP durch den SSH Daemon bereits ausgeführt wird, deshalb die Datei /etc/ssh/sshd_config überprüfen.

TIP! Weitere empfohlene VSFTPD Einstellungen

VSFTPD Schutz mit Fail2ban

Um den FTP-Server vor Brute-Force Angriffe zu schützen, wird Fail2ban (Fehlschlag führt zum Bann) für VSFTPD aktiviert. Bei einer definierten Anzahl fehlgeschlagener Anmeldeversuche, wird der verdächtige Host für eine bestimmte Zeit gesperrt. Fail2ban liest die Anmeldeversuche aus den Logdateien. Hierzu wird Fail2ban auf dem FTP-Server installiert.

Für Fail2ban und VSFTPD die Datei jail.local erstellen, falls nicht bereits vorhanden.

  Weiter kann die Datei jail.conf kopiert werden, oder es werden einzelne Blöcke der Services in jail.local hinzugefügt.

Der Fail2ban Filter für VSFTPD enthält die Datei unter /etc/fail2ban/filter.d/vsftpd.conf

  Im Standard wird /var/log/vsftpd.log ausgelesen, was mit der Variable %(vsftpd_log)s vordefiniert ist.

Für die funktionsweise von Fail2ban sind die Logs von bedeutung. Der FTP-Server (VSFTPD) protokolliert in der Logdatei /var/log/vsftpd.log. Fail2ban ist flexibel und kann für die meisten Anforderungen angepasst werden, wird zusätzlich ein weiteres Diensprogramm eingesetzt, dieses xferlog voraussetzt, kann mit dual_log_enable=YES in beide Logdateien protokolliert werden.

Um änderungen von Fail2ban zu übernehmen, muss der Daemon neu gestartet werden.

Die von Fail2ban gesperrten IP Adressen können überprüft werden, hier als root mit folgendem fail2ban-client Kommando.

Windows Dateiendungen anzeigen

Ausgeblendete Dateiendungen in Explorer anzeigen

Bei Windows 10 werden per Voreinstellung die Dateiendungen ausgeblendet, bei Explorer-Optionen – Erweiterte Einstellungen:

Erweiterungen bei bekannten Dateitypen ausblenden – deaktivieren

Die Dateiendung wird oft eingesetzt, um das Format einer Datei erkennbar zu machen. Zum Beispiel: name.txt kennzeichnet eine Textdatei. Moderne Windows Versionen kennen die Begrenzung von Dateinamen nicht, wie die von MS-DOS eingeführte 8.3 Konvention (8-Zeichen Dateiname, 3-Zeichen Extension), neuere Programme wie MS-Office nutzen Dateiendungen mit mehr als 3 Zeichen, so zum Beispiel .docx für Word. Bei Windows 10 ist voreingestellt, dass im Explorer alle dem System bekannten Dateiendungen ausgeblendet werden. Dieser Umstand wird von diversen Schadprogrammen ausgenutzt. Um die Dateierweiterung sichtbar zu machen, geht man über die Systemsteuerung zu den Explorer-Optionen, oder ruft die Explorer-Optionen direkt auf.

Mit der Win + R Taste öffnet man das Fenster Ausführen, und trägt control folders ein und bestätigt mit OK.

Bei den Explorer-Optionen kann man die Einstellung für bekannte Dateitypen, die Dateierweiterungen ausblenden oder einblenden, im Abschnitt Ansicht unter dem Bereich Erweiterte Einstellungen.

Explorer-Optionen - Versteckte Dateiendungen in Explorer anzeigen

Bei Erweiterungen bei bekannten Dateitypen ausblenden den Haken entfernen und mit OK bestätigen. Die Dateien werden nun mit Erweiterung angezeigt.

SSH Login mit PuTTY Key Authentifizierung

PuTTY SSH Anmeldung mit puttygen Schlüsselpaare

Die SSH Authentifizierung über asymmetrische Schlüssel ist nicht nur sicherer als die Passwortabfrage, auch ermöglicht die Public-Key-Authentifizierung eine automatisierte Anmeldung, beispielsweise bei der Script Ausführung. Bei PuTTY dient der PuTTY Key Generator puttygen.exe zum Erzeugen von RSA-(Standard) oder DSA- und ECDSA Schlüsselpaaren.

Das Tool findet man auf putty.org mit Download PuTTY, hat man den putty-installer.msi gewählt, ist puttygen bereits im Windows-Startmenü unter PuTTY zu finden. Zum Erzeugen eines RSA-Schlüsselpaares genügt ein Klick auf die Schaltfläche Generate. Möchte man DSA- oder ECDSA-Schlüssel erzeugen, kann der gewünschte Algorithmus unten im Parameter Optionsfeld gewählt werden.

PuTTY Key Schlüsselpaar erzeugen

Für die Generierung des Schlüssels wird währenddessen der nötige Zufallsmechanismus erzeugt, indem man im freien Bereich des Dialogfensters die Maus frei bewegt. Anschliessend gibt man bei Key passphrase optional das gewünschte Schlüssel Passwort ein.

PuTTY Key generate

Zum Speichern des Private-Key die Schaltfläche Save private key wählen, beim Dialog „ob man sich sicher ist den Key ohne passphrase zu schützen!„, kann man sich entscheiden mit oder ohne Passphrase zu Speichern. Den Public Key speichern ist nicht zwingend erforderlich, weil dieser sich jederzeit aus dem privaten Schlüssel errechnen lässt.

  Der Private Schlüssel sollte an einem sicheren Ort aufbewahrt werden, dies gilt vor allem dann, wenn der Private Schlüssel nicht durch eine Passphrase geschützt ist. Ist ein Privat Key einmal abhandengekommen, können unbefugte damit nichts anfangen, wenn dieser durch eine Passphrase geschützt ist. Hingegen ist bei der automatisierten Verarbeitung durch Scripts eine Passphrase nicht erwünscht.

Der Dateiname und der Pfad beim Speichern ist frei wählbar, es hat sich aber für PuTTY-Schlüssel die Endung .ppk verbreitet, da es den Hinweis auf das vom Linux abweichende Format gibt. PuTTY akzeptiert OpenSSH-Keys nicht, im Menü Conversions ist es jedoch möglich, vorhandene OpenSSH-Keys zu importieren, und auch PuTTY-Keys zu exportieren.

Public Key auf Server Speichern

Der Public Key ist öffentlich und soll auf dem Server publiziert werden, diesen mit der Maus im Feld Key vollständig markieren und mit Strg + C in die Zwischenablage kopieren.

PuTTY Key Generator Public key pasting into authorized_keys

Nun loggt man sich mit PuTTY noch einmal mit Benutzername und Passwort auf dem entfernten Linux Server ein, öffnet die Datei ~/.ssh/authorized_keys mit einem Editor der Wahl und fügt den Public Key aus der Zwischenablage ein.

  Es darf am Schlüssel nichts verändert werden, einfach nur copy & paste. Es können in der Datei authorized_keys mehrere Schlüssel nacheinander stehen, ohne Leerzeichen oder Zeilen dazwischen.

PuTTY mit Private Key verwenden

Um beim nächsten Login die Public-Key-Authentifizierung zu verwenden, beginnt man beim öffnen von PuTTY gleich bei Basic options for your PuTTY session im Bereich Session, und gibt die IP-Adresse oder der Host Name ein, bei Saved Sessions trägt man den gewünschten Name ein und klickt auf Save, zuvor aber noch im Bereich Category unter Connection auf + SSH klicken, bei Auth im Feld Private key file for authentication den Dateinamen des Private Keys eintragen. Das geht am einfachsten, indem man auf Browse klickt und die entsprechende Datei im Dateiauswahl Fenster auswählt.

PuTTY SSH Key Authentication

Die Anmeldedaten für jede einzelne Verbindung kann als Session gespeichert werden. Wird nun eine Verbindung zum Linux Server aufgebaut, verlangt dieser nach der Identität, so dass der angegebene Benutzername einen in der Datei authorized_keys angegebenen öffentlichen Schlüssel besitzen muss, dieser zum Privaten Schlüssel passt.

Es wird zur Eingabe der Passphrase aufgefordert (falls eingetragen), um den in der lokalen Datei .ppk gespeicherten privaten Schlüssels zu aktivieren. Sind beide Schlüssel identisch, wird der Zugang gestattet.

SSH Konfiguration auf Linux Server

Auf dem Linux Server muss die SSH Server Konfiguration für SSH Authentifizierung über asymmetrische Schlüssel aktiviert sein, bei den meisten Linux Distributionen ist standardmässig die Public-Key-Authentifizierung aktiviert.

  OpenSSH: Ein führendes Hash (#) Zeichen bedeutet, das es sich um den Default Wert handelt, soll der Wert geändert werden, wird # entfernt und der Parameter entsprechend modifiziert.

Die Benutzer verwalten ihre Public Keys unter $home in ~/.ssh/authorized_keys, nach dem erstellen mit adduser ist das Verzeichnis .ssh meist nicht vorhanden, es wird in diesem Fall als root für den User Max wie folgt erstellt.

  Das Verzeichnis .ssh ist für andere Benutzer nicht einsehbar.