Startseite > RHCE > FTP: rein anonymer Download, anonymer Dropbox-Upload (provisorisch)

FTP: rein anonymer Download, anonymer Dropbox-Upload (provisorisch)

2012/01/17

Anonyme Dateifreigabe via FTP ist bereits in der Standardkonfiguration des vsftpd (Very Secure FTP Daemon) aktiviert. Dieses Prüfungsziel ist also bereits nach Installation und Aktivierung des FTP-Servers erfüllt. Freizugebende Dateien sind einfach in das Verzeichnis /var/ftp/pub (Heimatverzeichnis des Benutzers ftp) zu kopieren.

Installation des FTP-Servers vsftpd und des Werkzeuges für die Firewallkonfiguration:

yum install vsftpd system-config-firewall-tui

Anpassung der Konfiguration für rein anonymen Download

Anonymer Download ist zwar schon in der Standardkonfiguration möglich, jedoch ist auch ein Login lokal vorhandener Benutzer möglich. Falls der FTP-Server ausschließlich für anonyme Benutzer verwendbar sein soll ist die Direktive local_enable in /etc/vsftpd/vsftpd.conf entsprechend abzuändern oder auch einfach auszukommentieren:

local_enable=NO

Nach erfolgreicher Installation und Konfiguration wird vsftpd gestartet und außerdem sichergestellt, dass der Dienst beim Hochfahren des Systems automatisch startet:

service vsftpd start
chkconfig vsftpd on

Mit Hilfe von system-config-firewall-tui erlauben wir noch den Zugriff auf den FTP-Dienst:

system-config-firewall-tui

–> Anpassen –> „FTP“ markieren –> Schließen

Der FTP-Server ist danach unter der IP-Adresse bzw. dem Hostnamen des Servers erreichbar.

Dateien für anonymen Download bereitstellen

Freizugebende Dateien werden einfach in das Heimatverzeichnis des Benutzers ftp kopiert:

cp myfile /var/ftp

Wichig ist hierbei, dass Dateien kopiert und nicht verschoben werden. Bei Kopieren wird der SELinux-Kontext des Zielverzeichnisses übernommen, bei Verschieben der Datei bleibt der Kontext der Datei erhalten, was ziemlich sicher zu Problemen mit SELinux führen wird. In einer normalen Arbeitsumgebung ist das kein Problem, der Kontext kann mit einem Aufruf von

restorecon -R /var/ftp

korrigiert werden. Für die Prüfung sollte man aber einfach cp verwenden.

Anonymer Dropbox-Upload

Um anonymen FTP-Benutzern Schreibrechte zu geben sind weitere Änderungen notwendig. Zunächst muss die Konfigurationsdatei entsprechend abgeändert werden. Danach sind ausreichende Zugriffsrechte für das Verzeichnis zu setzen und zuletzt der SELinux-Kontext und ein SELinux Boolean setzen.

Ein Dateiupload für anonyme Benutzer kann durch Entfernung des Kommentar-Zeichens vor anon_upload_enable in /etc/vsftpd/vsftpd.conf erlaubt werden. Falls anonyme Benutzer auch Verzeichnisse erstellen sollen können, muss auch anon_mkdir_write_enable gesetzt sein:

anon_upload_enable=YES
anon_mkdir_write_enable=YES

Das Upload-Verzeichnis (hier: /var/ftp/pub) inklusive aller eventuell vorhandener Unterverzeichnisse für den Benutzer ftp beschreibbar machen:

chown -R ftp /var/ftp/pub

Um möglichst unkompliziert SELinux-Kontexte ändern zu können ist die Installation des Pakets policycoreutils-python empfehlenswert:

yum install policycoreutils-python

Der SELinux-Sicherheitskontext des Verzeichnisses muss von public_content_t auf public_content_rw_t geändert werden, um vsftpd schreibenden Zugriff auf das enstprechende Verzeichnis zu erlauben:

semanage fcontext -a -t public_content_rw_t /var/ftp/pub
restorecon -R /var/ftp/pub

Zuletzt wird der SELinux Boolean allow_ftpd_anon_write permanent (-P) gesetzt, um vsftpd Schreiboperationen anonymer Benutzer zu erlauben:

setsebool -P allow_ftpd_anon_write 1
Anonyme FTP-Benutzer haben nun die Möglichkeit, Dateien hochzuladen und Verzeichnisse zu erstellen.
 
Weiterführende Informationen bieten die Befehle
man vsftpd
man ftpd_selinux
getsebool -a | grep ftp
semanage boolean -l
Advertisements
%d Bloggern gefällt das: