{"id":2524,"date":"2014-11-16T07:28:26","date_gmt":"2014-11-16T06:28:26","guid":{"rendered":"http:\/\/helgekoenig.de\/?p=2524"},"modified":"2014-11-16T10:49:07","modified_gmt":"2014-11-16T09:49:07","slug":"vsftp-mit-ssltls-ueber-dyndns-auf-ubuntu-14-04-01","status":"publish","type":"post","link":"https:\/\/helgekoenig.de\/?p=2524","title":{"rendered":"vsFTP mit SSL\/TLS \u00fcber DynDNS auf Ubuntu 14.04.01 und Filezilla"},"content":{"rendered":"

Nachdem mein letzter Heimserver das Zeitliche gesegnet hat, musste ich einen neuen aufsetzten und habe dies gleich zum Anlass genommen einiges anders zu machen. Mein alter Heimserver hatte einen FTP Server ohne SSL, was nat\u00fcrlich sehr einfach ist aber die komplette Kommunikation ist unverschl\u00fcsselt und in Klartext. Mein neuer Server sollte verschl\u00fcsselt sein und bei der Umsetzung bin ich auf ein paar Probleme gesto\u00dfen, aber dazu sp\u00e4ter mehr.<\/p>\n

Installation von vsftpd<\/h2>\n

Beginnen wir mit der Installation mit dem FTP Server, vsftpd.<\/p>\n

sudo apt-get install vsftpd<\/pre>\n
Danach m\u00fcssen wir uns erst einmal mit der Konfiguration von vsftp besch\u00e4ftigen.\u00a0\u00d6ffnet diese in dem Texteditor eurer wahl, ich benutzte vim:<\/p>\n
vim \/etc\/vsftpd.conf<\/pre>\n
Diese ist ziemlich selbsterkl\u00e4rend, aber wir sollten ein paar Sachen \u00e4ndern um nur System Benutzer (Schreib-) Zugriff zu erlauben.<\/p>\n
anonymous_enable=NO\r\n<\/span>local_enable=YES\r\nwrite_enable=YES<\/pre>\n
Mit diesen wenigen Einstellungen h\u00e4tten wir schon einen FTP Server der unverschl\u00fcsselt funktioniert (nach einem Neustart des Dienstes).<\/p>\n
SSL Zertifikat erstellen und vsftp anpassen<\/h2>\n
Wir m\u00f6chten\u00a0einen verschl\u00fcsselten FTP Server und m\u00fcssen dazu ein Zertifikat erstellen:<\/p>\n
sudo openssl req -x509 -nodes -days 365 -newkey rsa:1024 -keyout \/etc\/ssl\/private\/vsftpd.pem -out \/etc\/ssl\/private\/vsftpd.pem<\/pre>\n
Bei Bedarf (oder aus Faulheit) l\u00e4sst sich die G\u00fcltigkeit des Zertifikates erweitern in dem man den Parameter „days 365“ anpasst.<\/p>\n
Jetzt m\u00fcssen wir vsftpd noch sagen das er das Zertifikat benutzten soll und m\u00fcssen die\u00a0\/etc\/vsftpd.conf abermals anpassen. Je nach Distribution k\u00f6nnen davon schon ein paar Sachen in der config\u00a0stehen, bitte achtet darauf keine Doppeleintr\u00e4ge zu machen.<\/p>\n
Hiermit sagen wir dem Server welche Zertifikate er wie benutzten soll:<\/p>\n
rsa_cert_file=\/etc\/ssl\/private\/vsftpd.pem\r\nrsa_private_key_file=\/etc\/ssl\/private\/vsftpd.pem<\/pre>\n
ssl_enable=YES\r\nallow_anon_ssl=NO\r\nforce_local_data_ssl=YES\r\nforce_local_logins_ssl=YES<\/pre>\n
ssl_tlsv1=YES\r\nssl_sslv2=NO\r\nssl_sslv3=NO<\/pre>\n
require_ssl_reuse=NO\r\nssl_ciphers=HIGH<\/pre>\n
Die folgenden\u00a0Einstellungen sagen vsftp das er Passive Datei\u00fcbertragungen verwenden soll. Dies ist n\u00f6tig da der FTP Server keine statische IP Adresse hat (wir benutzten dem Server ja Zuhause). Dazu m\u00fcssen wir noch noch die (TCP) Portrange definieren die ihr\u00a0auch in der Firewall eures Router freigeben m\u00fcsst (zus\u00e4tzlich zu TCP Port 20 und 21). Die Portrange kann fast frei beliebig gew\u00e4hlt werden, solange sie aufeinander folgen und frei sind. Geht davon aus das ihr f\u00fcr jede gleichzeitig aktive Datei\u00fcbertragung einen Port braucht. Wenn ihr also 10 Dateien gleichzeitig \u00fcbertragen wollt, \u00f6ffnet 10 Ports. Da ich viele kleine Dateien hin und her schiebe, hab eich 20 Ports ge\u00f6ffnet. Dies Definiert ihr mit pasv_min_port<\/strong> und\u00a0pasv_max_port<\/strong>. Die\u00a0pasv_address<\/strong> ist eure aktuelle IP Adresse und\u00a0bekommt sp\u00e4ter noch mehr Aufmerksamkeit.<\/p>\n
pasv_enable=YES\r\npasv_promiscuous=YES\r\npasv_min_port=40000\r\npasv_max_port=40020\r\npasv_address=111.222.333.444<\/pre>\n
Filzilla konfigurieren<\/h2>\n
Wenn wir vsftp neustarten w\u00fcrden, k\u00f6nnten wir schon verschl\u00fcsselt\u00a0auf den FTP Server aus dem lokalen Netzwerk zugreifen. Den Dienst neu zu starten k\u00f6nnt ihr mit diesem Befehl:<\/p>\n
service vsftpd restart<\/pre>\n
Startet Filezilla<\/a>,\u00f6ffnet den Server Manager und erstellt einen neuen Server.<\/p>\n
\"Filezilla\"<\/code><\/p>\n
Bei Server gebt ihr den Hostnamen ein, in meinem Fall „fileserver“.<\/p>\n
Den Port k\u00f6nnt ihr frei lassen,\u00a0solange ihr\u00a0connect_from_port_20=YES nicht ge\u00e4ndert habt findet Filzilla den schon alleine.<\/p>\n
Wichtig ist das ihr die Verschl\u00fcsselung auf „Explizites FTP \u00fcber TLS erfordern<\/strong>“ stellt.<\/p>\n
Als n\u00e4chstes m\u00fcsst ihr nat\u00fcrlich noch euren Benutzernamen und Passwort des Servers eingeben. Dies ist der Benutzter des Servers auf den ihr zugreifen wollt.<\/code><\/p>\n
Bei allen anderen Einstellungen solltet ihr nichts mehr anpassen m\u00fcssen, au\u00dfer vielleicht die Anzahl der gleichzeitigen Datei\u00fcbertragungen.
\n<\/code><\/p>\n
 <\/p>\n
 <\/p>\n
vsFTP mit euer aktuellen DynDNS IP Adresse versorgen<\/h2>\n
Da wir den Server Zuhause im Netzwerk betreiben haben die meisten von uns keine Statische IP Adresse, sondern eine Dynamische. Besonders diejenigen unter euch die Internet \u00a0\u00fcber DSL beziehen haben i.d.R. mindestens eine neue IP alle 24 Stunden. Damit kommt vsftp nicht klar in Verbindung mit SSL\/TLS und der Verbindungsaufbau scheitert so lange die IP Adresse unter pasv_address in\u00a0\/etc\/vsftpd.conf Konfigurationsdatei nicht mit der aktuellen \u00fcberein stimmt. Wir m\u00fcssen also entweder h\u00e4ndische bei jedem IP wechsel die Konfigurationsdatei anpassen und den Service neu starten oder wir automatisieren das.<\/p>\n
Bei meiner Recherche zu diesem Problem, bin ich auf verschiedene L\u00f6sungswege gesto\u00dfen. F\u00fcndig wurde ich schlussendlich im\u00a0Gentoo Forum<\/a>, dort hat der Benutzter Tomcat ein Bash Script ver\u00f6ffentlicht, das mit Hilfe von Lynx die IP Adresse von dem Webserver hinter der DynDNS Adresse erfragt. Ich Betreibe aber keinen Webserver, also musste ich das Script etwas modifizieren und ein paar andere Kleinigkeiten anpassen.<\/p>\n
Zuerst pr\u00fcft das Script auf root Rechte, da sonst die Konfigurationsdatei nicht modifiziert oder der FTP Dienst neu gestartet werden kann. Danach kommt der vergleich der IP Adresse die in der Konfigurationsdatei hinterlegt ist und der aktuellen. Dies passiert mit dem Tool dig<\/a> (domain information groper) das einige Abfragem\u00f6glichkeiten in Bezug auf DNS bietet. Sind diese IPs unterschiedlich wird ein Eintrag in der vsftp Log Datei geschrieben und danach mit Hilfe von sed<\/a>\u00a0(stream editor)\u00a0die IP in der Konfigurationsdatei von vsftp ausgetauscht und nach einem weiteren Logeintrag der Dienst neu gestartet.<\/p>\n
Mein modifiziertes\u00a0Script findet ihr weiter unten oder hier als Download<\/strong>:\u00a0vsftpd_IP_change<\/a><\/p>\n
Das Script m\u00fcsst ihr f\u00fcr euch noch etwas anpassen, im Speziellen m\u00fcsst ihr eure eigene DynDNS Adresse eintragen, \u00e4ndert dazu „meineadresse.dyndns.org<\/strong>“ in dieser Zeile:<\/p>\n
CURRENTIP=$(dig meineadresse.dyndns.org<\/strong> +\"short\")<\/pre>\n
Hier ist das komplette Bash Script. Die Passage die ihr \u00e4ndern m\u00fcsst habe ich hervorgehoben hervorgehoben.<\/p>\n
#!\/bin\/bash\r\nif [ `\/usr\/bin\/whoami` = 'root' ]<\/pre>\n
then \r\n OLDIP=`cat \/etc\/vsftpd.conf | grep pasv_address | sed -e 's\/pasv_address=\\([0-9]\\{1,3\\}\\.[0-9]\\{1,3\\}\\.[0-9]\\{1,3\\}\\.[0-9]\\{1,3\\}\\)\/\\1\/'` \r\n CURRENTIP=$(dig meineadresse.dyndns.org<\/strong> +\"short\")<\/pre>\n
if [ \"$OLDIP\" != \"$CURRENTIP\" ]; \r\n then \r\n echo \"$(date +'%a %b %d %T %Y') *** Public IP changed from $OLDIP to $CURRENTIP\" >> \/var\/log\/vsftpd.log \r\n sed 's\/\\(pasv_address=\\)\\([0-9]\\{1,3\\}\\.[0-9]\\{1,3\\}\\.[0-9]\\{1,3\\}\\.[0-9]\\{1,3\\}\\)\/\\1'$CURRENTIP'\/' \/etc\/vsftpd.conf > \/etc\/vsftpd.conf.new &&\r\n mv \/etc\/vsftpd.conf.new \/etc\/vsftpd.conf && \r\n echo \"$(date +'%a %b %d %T %Y') *** Pasv_address setting updated successfully - restarting daemon\" >> \/var\/log\/vsftpd.log &&\r\n service vsftpd restart<\/pre>\n
# this will spam much output in your log terminal \r\n# else \r\n# echo \"$(date +'%a %b %d %T %Y') *** IP check OK - IP unchanged\" >> \/dev\/tty12 \r\n fi \r\nelse \r\n echo \"Permission denied\" \r\nfi<\/pre>\n
Bash Script mit Cron St\u00fcndlich ausf\u00fchren<\/h2>\n
Wie bereits erw\u00e4hnt m\u00fcsst ihr das Script unter root ausf\u00fchren, da ihr sonst nicht die n\u00f6tigen Berechtigungen habt die Konfigurationsdatei zu modifizieren oder den FTP Dienst neu zu starten. Speichert das Script am besten im Root Ordner, damit das nicht verloren geht. Zum Beispiel unter \/root\/vasftp_IP.sh und kontrolliert nochmal \u00fcb ihr\u00a0eure eigene DynDNS Adresse eingef\u00fcgt habt.<\/p>\n
Wir m\u00f6chten auch das ausf\u00fchren dieses Scriptes automatisieren und benutzten dazu Cronjobs<\/a>. Wechselt in root oder \u00f6ffnet mit diesem Befehl\u00a0die Cronjobs (m\u00f6glicherweise m\u00fcsst ihr noch den gew\u00fcnschten Editor definieren mit dem ihr diese Datei editieren wollt):<\/p>\n
sudo crontab -e<\/pre>\n
Um das Skript St\u00fcndlich aus zu f\u00fchren f\u00fcgt die untere Zeile (die mit der 0 Beginnt), falls ihr das Script unter eiem anderen Namen oder nicht in \/root gespeichert habt m\u00fcsst ihr das auch anpassen:<\/p>\n
#m h dom mon dow command\r\n0 * * * * \/root\/vsftpd_IP.sh<\/pre>\n
Und das wars, mit den Cronjobs wird das Script jede Stunde ausgef\u00fchrt und pr\u00fcft ob sich die Internet IP ge\u00e4ndert hat. Ist dies der Fall wird der Konfigurations Datei angepasst und der vsftp Dienst neu gestartet.Ich empfehle auch den SSH Port 22 in eurer Firewall frei zu geben, so das ihr\u00a0notfalls auch mit Putty oder ssh auf euren Server zugreifen k\u00f6nnt. Damit k\u00f6nnt ihr das Script manuell ausf\u00fchren oder sonstige Administrative arbeiten durchf\u00fchren.<\/p>\n
Quellen:<\/h3>\n