serwer FTP pure-ftpd-mysql konfiguracja

[NaTaN]

-------- ten pierwszy post jest o serwerze proftpd jednak kolega @jacekalex przekonał mnie do innego serwera czyli pure-ftpd-mysql który okazał się rewelacyjny bez nakładki graficznej!!! konfiguracja jest srednio-trudna dla początkującego, kwestia zapoznania sie ze sposobami konfiguracyjnymi!
-------------------------------------
witam, mam podobny problem, mam zainstalowany proftpd, gadmin-proftpd i apache2 i mysql

tworzylem bazy danych o rozne opisy aby serwer ftp dzialal z mysql ( probowalem tez bez mysql )

np.

Kod: Zaznacz cały

1. Instalacja pakietów
Bierzemy się do roboty i ściągamy potrzebne pakiety. Użuwamy do tego wydajemy polecenie:
apt-get install proftpd-mysql proftpd-common mysql-client mysql-common mysql-server libmysqlclient10

2. Konfiguracja ProFTPd-mysql
W pliku konfiguracyjny proftpd-mysql, to znaczy w katalogu /etc znajduje plik proftpd.conf w którym musimy dopisać następujące linijki:

---------------( w moim przypadku ten plik proftpd.conf był pusty ) !!!
sciezka ktora podaje tutorial /etc/proftp.conf, tam taki plik nie istnial, znalazłem go w /etc/proftpd/proftpd.conf <---- jednak tam wpisalem konfiguracje do komuinikacji z bazą danych to podczas restartu serwera zgłosił się bład

Kod: Zaznacz cały

- Fatal: unknown configuration directive 'SQLAuthTypes' on line 5 of '/etc/proftpd/proftpd.conf'

Kod: Zaznacz cały

SQLConnectInfo 	proftpd@localhost:3306 proftpd tu_wpisałem_moje_hasło
SQLUserInfo 	users name pass uid gid home shell
SQLGroupInfo 	groups name gid members
SQLAuthenticate 	users* groups*
SQLAuthTypes 	PlainText

A teraz opisze co każda z tych zmiennych oznacza.
SQLConnectInfo - ta zmienna określa połącznie z bazą danych, czyli nazwę bazy danych, adres serwera bazy danych oraz port. Następnie po spacji podajemy użytkownika i hasło, które podajemy w formie zwykłego tekstu (plaintext).
SQLUserInfo - Dyrektywa ta zawiera informacje o wyszukiwaniu informacji o użytkowniku w bazie danych. Podajemy tu najpierw nazwę bazy, a następnie nazwy kolumn o użytkowniku.
SQLGroupInfo - Podobnie jak zmienna SQLUserInfo, tylko że zawiera informacje o grupach.
SQLAuthenticate - Tu podajemy metodę autoryzacji. W przykładzie mamy opcje: users* groups*. Takie parametry pozwalają na zalogowanie się jedynie użytkowników zapisanych w bazie, wraz z weryfikacją ich przynależności do grup. W przeciwnym przypadku (brak groups*), gid = 65533 ew. inny jeśli zdefiniujemy SQLDefaultGID. Obowiązuje również powiązanie numerów z bazy z numerami systemowymi.
SQLAuthTypes - Zmienna ta określa jak kodowane są hasła. Dla PlainText pozwala na umieszczenie haseł w tabeli w postaci zwykłego tekstu. Dostępne są również inne opcje, które oczywiście decydują o bezpieczeństwie dotępu do serwera. W przypadku braku tej dyrektywy, jak i poprzedniej, MySQL nie będzie używany do autoryzacji użytkowników. Można także zamiast PlainText użyć: OpenSSL, Crypt oraz Backend.

No to mamy skonfigurowany ProFTPd do działania z bazą MySQL, teraz wystarczy utworzyć tylko bazę i tabele, lecz najpierws omówię jeszcze parę przydatnych dyrektyw.
DefaultRoot - ta dyrektywa określa nam do jakiego katalogu ma się logować użytkownik. Można ją np. ustawić na ~/public_html/. Teraz użytkownik będzie miał dostęp tylko do katalogu public_html w swoim katalogu domowym.
MaxClients - tu ustawiamy ile użytkowników może byc jednocześnie zalogowanych na serwerze.
MaxClientsPerHost - podobneie jak wyżej, tylko że to jest ograniczenie z jednego adresu IP.

3. Konfiguracja MySQL
Teraz zajmiemy się konfiguracją serwera MySQL, lecz to wiąże się tylko z utworzeniem bazy danych.

USE mysql;
INSERT INTO user (Host, User, Password) VALUES ('localhost','proftpd','tu_wpisalem_moje_haslo);

CREATE DATABASE proftpd;

USE proftpd;
CREATE TABLE users (
name varchar(30) NOT NULL default '',
pass varchar(30) NOT NULL default '',
uid int(11) NOT NULL auto_increment,
gid int(11) NOT NULL,
home varchar(255) NOT NULL,
shell varchar(255) NOT NULL,
PRIMARY KEY (uid),
UNIQUE KEY name (name)
) TYPE=MyISAM AUTO_INCREMENT=50 ;

USE proftpd;
CREATE TABLE groups (
name varchar(30) NOT NULL default '',
gid int(11) NOT NULL,
members text NOT NULL,
PRIMARY KEY (gid),
UNIQUE KEY name (name)
) TYPE=MyISAM AUTO_INCREMENT=50 ;

I to już wyszystko :)

4. Dodanie nowego konta ftp
No to kończymy, czyli dodamy użytkownika ftp.

USE proftpd;
INSERT INTO users (name,pass,gid,home,shell) VALUES ('konto1','haslo','2000','/home/ftp/konto1','/bin/sh');
INSERT INTO groups (name,gid,members) VALUES ('grupa1','2000','konto1');

-------- wiec korzystajac z tego opisu nic sie nie zmienilo, nie moge sie zalogowac na konto, po wpisaniu ftp://localhost wyskakuje mi okienko logowania, wpisuje login i haslo jakie utworzylem w konsoli wedlug 4 polecenia, caly czas jeden text "530 Login incorrect." i tak wiecznie, nic sie nie zmienia

probowalem utworzyc urzytkownikow w gadmin-proftpd jednak w bazie danych mysql nic sie nie zmienilo, nie utworzyl sie tam zaden nowy uzytkownik

i tak to nic nie dalo

prosze mi napisac jakei logi wkleic i skad to to zrobie, dziekuje bardzo za wszelka pomoc i pozdrawiam

[jacekalex]

1. Czy na pewno masz Ubuntu?

Bo komunikat wskazuje na brak paczki:
proftpd-mod-mysql.

2. Ile kont użyszkodnikow ma to proftpd obrabiać.
Bo z mojego doświadczenia, to jest najwiekszy i najbardziej skomplikowany serwer ftp, jaki widziałem.
Zarówno pure-ftpd, jak i vsftpd są łatwiejsze i prostsze w konfiguracji.

Jeżeli używasz gadmin - to znaczy, że to nie jest wielki serwer, ale raczej desktop z zainstalowanym serwerem ftp.
Osobiście gadmina nie polecam, webmin jest dużo lepszy - ale też nie jest doskonały.

3. Logi
po próbie zalogowania, serwer loguje taką próbe - powinien być ślad w logach.

Poszukaj w konfigu proftpd opcji logowania debug, a potem odpalasz na przykład:

Kod: Zaznacz cały

sudo tail -f /var/log/syslog | grep -i ftp

A na drugin terminalu uruchamiiasz proftpd - i patrzysz, co pojawia się w logach.
Z logowaniem tak samo, z tym, że wtedy lepiej śledzić równocześnie /var/log/auth.log

A jak masz kod błędu - to go do google, i zazwyczaj ktoś kiedyś miał podobny problem.
I znalazł rozwiązanie....

Na konic jedna uwaga:
Należy robić wg. jendego tutoriala, nie tysiaca.
Jeżeli wg. tego tutoriala nie działa, to wtedy szukasz przyczyny błędu, i na forum podajesz błąd i link do tutoriala.
Wtedy ktoś może zobaczyć, co robiłeś wcześniej -i pomóc znaleźć rozwiązanie.
Poczytaj też to.

I oczywiście dokumentację proftpd czytałeś, prawda?

To by było na tyle

[NaTaN]

witam ponownie, przez te wszystkie posty na tym forum cały czas rewelacyjnie odpowiadzasz, dziekuje za tą odp tak to jest desktop ubuntu 9,10 z zainstalowanym apachem2 i mysql pod obsluge joomli, chcialem postawić serwer ftp, jednak po przeczytaniu watku "ktory serwer jest najlepszy z gui" to juz nic nie wiedziale, expertem nie jestem, powoli przekonuje sie do edycji plikow konfiguracyjnych chcialem rozpoczac zabawe z ftp i gui, jednak nic mi nie wychodzilo,

potrzebuje serwera ftp do obslugi ok 100 kont wirtualnych, oczywiscie bezpieczenstwo i prostota konfiguracji configa txt byloby milo np. ograniczenie wielkosci obszaru, dodolne rozmiary plikow wgrywanych, itp

@jacekalex
co byś zaproponował ?

[jacekalex]

Najłatwiejszy w konfiguracji, z niezłym wsparciem np. do chrootowania usera jest pure-ftpd.
Proftpd - jest teoretycznie najlepszy do setek kont, ale ma tą wadę, że do jego konfiguracji może się przydać karta pływacka

ja bym radził pure-ftpd, do tego upload-script, do skanowania na obecnośc wirusów i trojanów.
Tu masz upoload-script (przepis)
http://www.howtoforge.com/how-to-integr ... bian-lenny
A to działający sposób na pure-ftpd:
http://www.howtoforge.com/virtual-hosti ... bian-lenny

A tu kilka słów o podstawowym zabezpieczaniu usług sieciowych:
http://www.gentoo.org/doc/pl/security/s ... =printable

Do tego, jeśli 100 kont wirtualnych, - to ma być hosting, to radziłbym:
Nginx zamiast apacha - konfiguracja trudna (bezpieczeństwo) ale znacznie większa wydajność serwera ( i odporność na ataki dos).
Snort -łapiący ataki dos i ddos - też się może przydać.
Php poprzez php-fpm - najwydajniejsza metoda.
Grsecurity+pax - do zabezpieczenia całego serwera.
(Dostępne w każdej dystrybucji - kompilacja kernela i gradm2).

I skompilowanie całego softu na serwer kompilatorem:

Kod: Zaznacz cały

 [3] i686-pc-linux-gnu-4.4.4-hardenednopiessp

Ale to niestety wykonalne tylko w Gentoo Hardened.

Po za tym - chroot/jail, dla wszystkich userów.

Tak to się w skrócie robi.

Quota jest dostępna w praktycznie każdym serwerze ftp, po za tym do WWW będzie potrzebny serwer smtp - do wysyłania poczty z poziomu php.
Niemniej jednak - do ograniczenia plików generowanych na serwerze, potrzebne są limity dyskowe dla użytkowników, i system ostrzegania o wykorzystaniu przestrzeni dyskowej.

To jak pacież: http://dug.net.pl/tekst/42/pam___limito ... tkownikow/

W wielkim skrócie - normalna maszyna hostingowa.
Ale maszyna hosingowa - to nie desktop, to 2 różne pojęcia.

A polecanie usług, to nie jest temat na jeden post.

To by bylo na tyle

[NaTaN]

dziękuje bardzo za tak rewelacyjną odp, na razie zająłem się samym postawieniem serwera ftp, pure-ftpd, nie wiem jak to się stało ale ftp zadziałał , stworzyłem konto razem z hasłem, próbuje ftp przez przeglądarkę firefox, wpisuje ftp://localhost i wszystko elegancko mi śmiga, jednak gdy wpiszę [url]ftp://nr_ip[/url] serwera to wyskakuje okienko logowania i koniec, łączy i łączy i tak bez końca

podczas tworzenia serwera ftp z wyzej podanego opisu jest taki moment który nie chciał mi zadziałać

w drugiej części opisu ma zrobić

Kod: Zaznacz cały

cat /dev/null > /etc/pure-ftpd/db/mysql.conf 

probowałem przez sudo ale pisze mi ze nie mam uprawnień

program gFTP wypisuje taki log

Kod: Zaznacz cały

Nawiązano połączenie z 82.*.*.*:21
220---------- Welcome to Pure-FTPd [privsep] [TLS] ----------
220-You are user number 2 of 50 allowed.
220-Local time is now 19:11. Server port: 21.
220-This is a private system - No anonymous login
220-IPv6 connections are also welcome on this server.
220 You will be disconnected after 15 minutes of inactivity.
USER maciek

331 User maciek OK. Password required
PASS xxxx
230-Your bandwidth usage is restricted
230-User maciek has group access to:  ftpgroup  
230-OK. Current restricted directory is /
230 0 Kbytes used (0%) - authorized: 10240 Kb
SYST

215 UNIX Type: L8
TYPE I

200 TYPE is now 8-bit binary
CWD /

250 OK. Current directory is /
PWD

257 "/" is your current location
Wczytywanie zawartości katalogu / z serwera (LC_TIME=pl_PL.UTF-8)
PASV

227 Entering Passive Mode (10,10,10,105,121,40)
LIST -aL

pozdrawiam

[jacekalex]

Kod: Zaznacz cały

cat /dev/null > /etc/pure-ftpd/db/mysql.conf

Co to za bzdura?
Po co chcesz czyścić zawartość pliku konfiguracyjnego?

Zrób wg opisu do końca, i sprawdź wtedy, co nie działa.
U mnie pure śmiga na takim konfigu mysql (/etc/pure-ftpd/db/mysql.conf):

Kod: Zaznacz cały

MYSQLSocket      /var/run/mysqld/mysqld.sock
MYSQLServer     localhost
MYSQLPort       3306
MYSQLUser       <baza-user-ftp>
MYSQLPassword   <hasło-do-bazy>
MYSQLDatabase   <nazwa-bazy-ftp>
#MYSQLCrypt md5, cleartext, crypt() or password() - md5 is VERY RECOMMENDABLE uppon cleartext
MYSQLCrypt      md5
MYSQLGetPW      SELECT Password FROM ftpd WHERE User="\L" AND status="1" AND (ipaccess = "*" OR ipaccess LIKE "\R")
MYSQLGetUID     SELECT Uid FROM ftpd WHERE User="\L" AND status="1" AND (ipaccess = "*" OR ipaccess LIKE "\R")
MYSQLGetGID     SELECT Gid FROM ftpd WHERE User="\L"AND status="1" AND (ipaccess = "*" OR ipaccess LIKE "\R")
MYSQLGetDir     SELECT Dir FROM ftpd WHERE User="\L"AND status="1" AND (ipaccess = "*" OR ipaccess LIKE "\R")
MySQLGetBandwidthUL SELECT ULBandwidth FROM ftpd WHERE User="\L"AND status="1" AND (ipaccess = "*" OR ipaccess LIKE "\R")
MySQLGetBandwidthDL SELECT DLBandwidth FROM ftpd WHERE User="\L"AND status="1" AND (ipaccess = "*" OR ipaccess LIKE "\R")
MySQLGetQTASZ   SELECT QuotaSize FROM ftpd WHERE User="\L"AND status="1" AND (ipaccess = "*" OR ipaccess LIKE "\R")
MySQLGetQTAFS   SELECT QuotaFiles FROM ftpd WHERE User="\L"AND status="1" AND (ipaccess = "*" OR ipaccess LIKE "\R")

A serwer jak widać zaczyna działać

[NaTaN]

wydaje mi sie że chyba znalazłem przyczynę, ponieważ mam router, i mam tylko przekierowany port 21, jak widać z loga którego wkleiłem on chce przejść na inny port,
gdzie mogę ustalić jakie porty ma serwer losować ??? ustalę jakąś pulę i przekieruje na routerze

ps. ten konfig nic nie dał, dalej to samo, czekasz i czekasz

znalazłem w manualu pureftpd taką opcję,

Kod: Zaznacz cały

- '-p <first port>:<last port>': Use only ports in the range <first port>
to <last port> inclusive for passive-mode downloads. This is especially
useful if the server is behind a firewall without FTP connection tracking.
Use high ports (40000-50000 for instance), where no regular server should be
listening.

czy da sie wpisac na stałe żeby serwer cały czas się uruchamiał z tym parametrem zakresu portów ???

pozdrawiam

[jacekalex]

A ja widzę - że jedziesz po bandzie z tym serwerem, i nic w ten sposób nawet za miesiąc nie osiągniesz.

Czemu nie spróbowałeś się zalogować z maszyny, na której zainstalowałeś pure-ftpd?

Prosty test u mnie:

Kod: Zaznacz cały

 telnet box 21
Trying 127.0.0.1...
Connected to box.
Escape character is '^]'.
220-Witaj na Pure-FTPd.
220-Jesteś 1 użytkownikiem z 20 możliwych
220-Lokalny czas: 20:45. Port serwera: 21.
220-To jest prywatny system - Bez anonimowych logowań
220-IPv6 connections are also welcome on this server
220 Zostaniesz rozłączony po 15 minutach nieaktywności.
user <użytkownik>
331 Użytkownik <użytkownik> OK. Wymagane hasło
pass <hasło>
230-Użytkownik <user> ma grupowy dostęp do:  users       vboxusers  kvm       
230- ssmtp      messagebus lpadmin    paludisbui games      video     
230- at         dialout    audio      cron       wheel     
230 OK. Aktualny, ograniczony katalog to /
quit
221-Żegnaj. Wgrałeś 0 oraz ściągnąłeś 0 kbajtów.
221 Wylogowywanie.
Connection closed by foreign host.

Pure-ftpd kompilowany ze źródeł - wersja 1.0.29
kompilacja:

Kod: Zaznacz cały

./configure --with-language=polish --with-tls  --with-certfile=/etc/ssl/private/pure-ftpd.pem --with-ratios --with-throttling --with-peruserlimits --with-paranoidmsg --with-mysql --with-probe-random-dev=/dev/urandom --with-quotas --with-virtualchroot --with-virtualhosts --with-welcomemsg --with-rfc2640 --without-inetd --without-capabilities --without-shadow --without-pam --prefix=/usr --sysconfdir=/etc/pure-ftpd --with-boring --with-altlog --with-welcomemsg --with-uploadscript

A potem kompilacja:

Kod: Zaznacz cały

make install-strip

i uruchomienie:

Kod: Zaznacz cały

sudo /usr/sbin/pure-ftpd -l mysql:/etc/pure-ftpd/db/mysql.conf -b -C 5 -O clf:/var/log/pure-ftpd/transfer.log -8 UTF-8  -u 30 -A -E -c 20 -B -d -Y 3

Łącząc sie z zewnątrz na domowy IP - żadnego routera z maskaradą po drodze - publiczne IP, otwarty port 21 na firewallu, i gotowe.
Tylko że u mnie normalnie chodzi z wymuszonym szyfrowaniem tls.

Opcje konfiguracyjne przed kompilacją:

Kod: Zaznacz cały

./configure --help

Opcje konfiguracji do uruchomienia:

Kod: Zaznacz cały

sudo pure-ftpd --help

A jak ściągniesz żródła - to tam jest spora dokumentacja w plikach README.

Kod: Zaznacz cały

 pure-ftpd-1.0.29 # ls | grep README
README
README.Authentication-Modules
README.Configuration-File
README.Contrib
README.Debian
README.Donations
README.LDAP
README.MacOS-X
README.MySQL
README.PGSQL
README.TLS
README.Virtual-Users
README.Windows

A tu masz między innymi napisane - jak zrobić szyfrowanie: http://en.gentoo-wiki.com/wiki/Pure-ftp ... LS_support

To by było na tyle.

[NaTaN]

Kod: Zaznacz cały

wpisuje ftp://localhost i wszystko elegancko mi śmiga, jednak gdy wpiszę ftp://nr_ip serwera to wyskakuje okienko logowania i koniec, łączy i łączy i tak bez końca

pisałem wcześniej że jak loguje sie z mojej maszyny to wszystko ok, z małą różnicą, localhost jest ok, jednak [url]ftp://moj_nr_ip[/url] nic nie daje

teraz z innej beczki

dodałem do /etc/pure-ftpd/conf plik o nazwie PassivePortRange, w nim zakres portów pasywnych 40000-41000, jednak przy restarcie serwera

Kod: Zaznacz cały

sudo /etc/init.d/pure-ftpd-mysql restart

wyskakuje napis

Kod: Zaznacz cały

Restarting ftp server: /usr/sbin/pure-ftpd-wrapper: Invalid configuration file /etc/pure-ftpd/conf/passiveportrange~: No corresponding directive

---------------- nie no masakra juz wszystko wiem i wszystko smiga

tworząc plik PassivePortRange potworzyły się w katalogu ukryte pliki PassivePortRange~

taaakk, 4h szukania dlaczego serwer przestał sie uruchamiać pomimo że plik był prawidłowo stworzony:) bo nie miałem włączonego podglądu ukrytych plików

@jacekalex serwer smiga na standardowych ustawieniach z tutoriala, localhost jak nr ip jest przyjmowane, problem leżał po stronie routera i przekierowaniu portów pasywnych, w moim przykładzie przekierowałem porty 21 (wczesniej byl przekierowany) oraz 40000-41000 porty pasywne dla serwera

pzodrawiam na razie i dziekuję w konfiguracji serwera ftp

[jacekalex]

Pierwszy raz widzę taki błąd.
Proponuję trochę teorii: http://pl.wikipedia.org/wiki/FTP
A potem poszukać opcji uaktywnienia w pure-ftpd tylko trybu aktywnego polączeń, a szyfrowany dostęp zrealizować przez sftp ( z pakietu ssh) - prostsze to i bezpieczniejsze w użyciu.
U mnie po otwarciu portu 21 wszystko działa.
Radziłbym tez sprawdzić - co ma firewall do powiedzenia.

Czyli logowanie wszystkich połączeń na port ftp, i nawiązywanych przez serwer ftp.
I wyszukanie zablokowanych połączeń.

Pokaż jeszcze wynik polecenia:

Kod: Zaznacz cały

grep -i ftp /boot/config-$(uname -r)

Może brakuje modułu CONNTRACK_FTP.
To też może być przyczyną kłopotów.

dodałem do /etc/pure-ftpd/conf plik o nazwie PassivePortRange

Nigdy nie musiałem takiego parametru podawać.

EDYTA:
Spróbuj logowania przy wyłączonym zabezpieczeniu apparmor:

Kod: Zaznacz cały

sudo /etc/init.d/apparmor stop

Apparmor - to ważny moduł zabezpieczający, przez który ja nie mogłem się zalogować przez ssh do komputera.
Za dobrze zabezpieczał
W każdym razie potrafi mieszac w takich sytuacjach.
Po za tym włącz w serwerze ftp tryb debug - i po odrzuceniu logowania powinien napisać w logach, o co poszło.
Przy kompilacji można w pure włączyć opcję --with-debug - powodująca bardzo szczególowe logowanie działania.
Jednak na obecnie zainstalowanym też możesz się conieco z logów dowiedzieć.

To by było na tyle.

[NaTaN]

hmmm patrzę na godzinę edycji naszych postów i teraz rozumiem zamieszanie

jak pisałem na koniec że wszystko już działa, tak jak twierdziłem musiałem wymusić na serwerze pure-ftpd zakres portów pasywnych i przekierować je też na routerze

nie mogłem tego zrobić ponieważ nie miałem włączonego podglądu ukrytych plików w folderze /etc/pure-ftpd/conf i jak tworzyłem plik o nazwie PassivePortRange potworzyły się w katalogu ukryte pliki PassivePortRange~ z tyldą i podczas restartu serwer a właściwie /usr/sbin/pure-ftpd-wrapper nie chciał przyjąć błędnie nazwanego pliku i się nie uruchamiał po wykasowaniu plików z tyldą wszystko wróciło do normy, i wszystko elegancko działa

tak przy okacji jeżeli ktoś będzie chciał wymusić na serwerze zakres portów to robi się komendą

Kod: Zaznacz cały

sudo echo "40110 40210" > /etc/pure-ftpd/conf/PassivePortRange

oczywiście 40110 40210 to zakres portów

ps. chyba zmienię nazwę tematu bo to raczej temat o pure-ftpd-mysql niż o proftpd

@ jacekalex - dziekuję jeszcze raz za pomoc, do zabezpieczeń i profesjonalnej konfikguracji maszyny hostingowej napewno wrócę tylko musze osobny komp uzywany zakupić

pozdrawiam

[jacekalex]

potworzyły się w katalogu ukryte pliki PassivePortRange~

-gedit do edycji plików konfiguracyjnych - współczuję, radziłbym edytor geany, albo konsolowe nano.

Kod: Zaznacz cały

do zabezpieczeń i profesjonalnej konfikguracji maszyny hostingowej

- radzę testować na virtualboxie.

To by było na tyle