Google Groups no longer supports new Usenet posts or subscriptions. Historical content remains viewable.
Dismiss

ProFTPD - Zugriff intern/extern

7 views
Skip to first unread message

Christian Winther

unread,
Jan 6, 2010, 9:06:30 AM1/6/10
to
Hallo NG,

bin dabei, mir ein Konzept fï¿œr den Einsatz eines FTP-Servers zu ï¿œberlegen.

Grund: Alternative fï¿œr ausufernden Mailanhï¿œnge

Bestehendes Netz:

+-->[DMZ]
|
V
I-Net <-->[router]<-->[FW]
^
|
+-->[internes Netz]

- Router hat extern eine feste IP
- Portforwarding etc. muss auf der FW eingerichtet werden


Anforderungen:

- FTP-Server soll in DMZ

- anonymous nicht notwendig
- separate Bereiche:
/var/ftp/customer/<c1>
...
/var/ftp/customer/<cn>
/var/ftp/internal/<i1>
...
/var/ftp/internal/<in>

==> lᅵᅵt sich ᅵber diverse virtuelle Nutzer abbilden ==> OK

- Zugriff von Innen und von Auï¿œen mgl.

Frage(n):

Wie macht man das am Besten/Sichersten/Sinnvollsten bei
o.g. Gegebenheiten?

- 2. Bein des FTP-Servers ins internes Netz ==> Sicherheitsrisiko(!)
- virtuelles Server?

...

Bin aus dem Durchackern der Docs und FAQs auf http://www.proftpd.org/
nicht so recht schlau geworden und bevor ich Blï¿œdsinn baue, frage ich
hier lieber mal nach.

MfG CW

Peter Gröhlmann

unread,
Jan 6, 2010, 9:34:12 AM1/6/10
to
On Jan 6, 2:06 pm, Christian Winther <cw200...@gmx.de> wrote:
> Hallo NG,
>
> bin dabei, mir ein Konzept für den Einsatz eines FTP-Servers zu überlegen.
>
> Grund: Alternative für ausufernden Mailanhänge

>
> Bestehendes Netz:
>
>                          +-->[DMZ]
>                          |
>                          V
>  I-Net <-->[router]<-->[FW]
>                          ^
>                          |
>                          +-->[internes Netz]
>
> - Router hat extern eine feste IP
> - Portforwarding etc. muss auf der FW eingerichtet werden
>
> Anforderungen:
>
> - FTP-Server soll in DMZ
>
> - anonymous nicht notwendig
> - separate Bereiche:
>   /var/ftp/customer/<c1>
>   ...
>   /var/ftp/customer/<cn>
>   /var/ftp/internal/<i1>
>   ...
>   /var/ftp/internal/<in>
>
>   ==> läßt sich über diverse virtuelle Nutzer abbilden ==> OK
>
> - Zugriff von Innen und von Außen mgl.

>
> Frage(n):
>
>   Wie macht man das am Besten/Sichersten/Sinnvollsten bei
>   o.g. Gegebenheiten?
>
>   - 2. Bein des FTP-Servers ins internes Netz ==> Sicherheitsrisiko(!)
>   - virtuelles Server?
>
>   ...
>
> Bin aus dem Durchackern der Docs und FAQs aufhttp://www.proftpd.org/
> nicht so recht schlau geworden und bevor ich Blödsinn baue, frage ich
> hier lieber mal nach.

Man sollte hier gar kein FTP nehmen, weil das keine Verschlüsselung
kann.

Ich würde jedem Benutzer einen Shell-Account geben, dann können sie
SCP machen

--
Peter Gröhlmann

Peter Köhlmann

unread,
Jan 6, 2010, 10:12:37 AM1/6/10
to
linuxw...@hotmail.com wrote:


< snip >

>> Frage(n):
>>
>> Wie macht man das am Besten/Sichersten/Sinnvollsten bei
>> o.g. Gegebenheiten?
>>
>> - 2. Bein des FTP-Servers ins internes Netz ==> Sicherheitsrisiko(!)
>> - virtuelles Server?
>>
>> ...
>>
>> Bin aus dem Durchackern der Docs und FAQs aufhttp://www.proftpd.org/
>> nicht so recht schlau geworden und bevor ich Blödsinn baue, frage ich
>> hier lieber mal nach.
>
> Man sollte hier gar kein FTP nehmen, weil das keine Verschlüsselung
> kann.
>
> Ich würde jedem Benutzer einen Shell-Account geben, dann können sie
> SCP machen
>

SFTP existiert, "linuxw...@hotmail.com"
--
The Day Microsoft makes something that does not suck is probably
the day they start making vacuum cleaners.

Message has been deleted
Message has been deleted

Peter Gröhlmann

unread,
Jan 6, 2010, 12:31:22 PM1/6/10
to
On Jan 6, 3:12 pm, Peter Köhlmann <peter-koehlm...@t-online.de> wrote:

> linuxwich...@hotmail.com wrote:
>
> < snip >
>
>
>
> >> Frage(n):
>
> >> Wie macht man das am Besten/Sichersten/Sinnvollsten bei
> >> o.g. Gegebenheiten?
>
> >> - 2. Bein des FTP-Servers ins internes Netz ==> Sicherheitsrisiko(!)
> >> - virtuelles Server?
>
> >> ...
>
> >> Bin aus dem Durchackern der Docs und FAQs aufhttp://www.proftpd.org/
> >> nicht so recht schlau geworden und bevor ich Blödsinn baue, frage ich
> >> hier lieber mal nach.
>
> > Man sollte hier gar kein FTP nehmen, weil das keine Verschlüsselung
> > kann.
>
> > Ich würde jedem Benutzer einen Shell-Account geben, dann können sie
> > SCP machen
>
> SFTP existiert, "linuxwich...@hotmail.com"

Hör auf rumzulabern

--
Peter Gröhlmann

Christian Winther

unread,
Jan 7, 2010, 12:51:06 AM1/7/10
to
Am 06.01.2010 15:34, schrieb Peter Gr�hlmann:
[Einrichtung FTP-Server mit externem+internen Zugriff]
> Man sollte hier gar kein FTP nehmen, weil das keine Verschl�sselung
> kann.
>
> Ich w�rde jedem Benutzer einen Shell-Account geben, dann k�nnen sie
> SCP machen

Sehe ich nicht so, weil

- Nutzer nicht unbedingt Computerfreaks sein werden
- FTP etabliert ist und nach einmaliger Einrichtung des Clients (z.Bsp.
FileZilla) weitgehend schmerzfrei nutzbar ist
- Verschl�ssselung mgl. (z.B. TLS)

MfG CW

Christian Winther

unread,
Jan 7, 2010, 1:03:18 AM1/7/10
to
Am 06.01.2010 16:41, schrieb Heiko Schlenker:

[FTP-Server - intern/extern]
> Das Thema ist aber nicht Linux-spezifisch. ;-) Daher bist Du hier
> nicht richtig. Thematisch sind die Newsgroups
> de.comp.os.unix.networking.misc und de.comp.security.misc besser
> geeignet.

OK. Dann frage ich dort nochmal nach.

> Im ï¿œbrigen ist es grundsï¿œtzlich eine schlechte Idee, als Anfï¿œnger
> gleich einen ï¿œffentlich erreichbaren Dienst anzubieten. Und dann
> auch noch einen so sicherheitstechnisch brisanten wie FTP. :-( Das
> Lernen sollte in abgeschotteten, privaten Netzen stattfinden.
> Nachdem man dann eine hinreichende Sachkunde erworben hat, kann man
> darï¿œber nachdenken, einen ï¿œffentlich erreichbaren Dienst anzubieten.

Die Tests finden in abgeschotteten, privaten Netzen statt: aktuell auf
VMs, danach auf einem "Test-Blech".

> Alles andere ist (grob) fahrlï¿œssig. Alternative: Die Sache von einem
> Dienstleister erledigen lassen.
>

Bei unserem Haus- und Hof-Dienstleister bekomme ich da MS+ISA. Das will
ich - fï¿œr den anvisierten Zweck - nicht.

MfG CW

Henning Paul

unread,
Jan 7, 2010, 4:00:03 AM1/7/10
to
Christian Winther wrote:

Es gibt doch z.B. WinSCP.

> - Verschl�ssselung mgl. (z.B. TLS)

Das erledigt sich dann bei SCP von selbst.

Gru�
Henning

Realname [m]

unread,
Jan 7, 2010, 6:47:22 AM1/7/10
to
Christian Winther <cw20...@gmx.de> schrieb:

> Am 06.01.2010 15:34, schrieb Peter Gröhlmann:
> [Einrichtung FTP-Server mit externem+internen Zugriff]
>> Man sollte hier gar kein FTP nehmen, weil das keine Verschlüsselung
>> kann.
>>
>> Ich würde jedem Benutzer einen Shell-Account geben, dann können sie

>> SCP machen
>
> Sehe ich nicht so, weil
>
> - Nutzer nicht unbedingt Computerfreaks sein werden

Ist kein Grund dagegen; SSH, SCP und SFTP sind durchaus etabliert und sollten
den wenigsten unbekannt sein.

> - FTP etabliert ist und nach einmaliger Einrichtung des Clients (z.Bsp.
> FileZilla) weitgehend schmerzfrei nutzbar ist

WinSCP

> - Verschlüssselung mgl. (z.B. TLS)

Kann die auch erzwungen werden? Wenn der Server sich da nach dem Client
richtet, musst du damit rechnen, dass viele deiner Benutzer ohne
Verschlüsselung arbeiten werden.

Ich sehe dennoch den Einsatz von SSH kritisch. Denn der SSHD läuft als root.
Muss er auch, weil er sich jeweils zu dem angefragten Benutzer "machen"
können muss. Bei FTP hingegen hast du virtuelle Benutzer, das läuft alles in
der Welt des FTPD. Dieser könnte also als non-root laufen, nachdem er sich an
Port 80 gebunden hat.

Bei SSH musst du auf jeden Fall absichern, dass nichts anderes als SCP oder
SFTP möglich ist! Dafür gibt es aber etliche Tutorials im Netz.

0 new messages