Welcher FTP-Server / Ideen für's Wiki

F

free

Well-Known Member
Hi,

ich möchte mir einen leichten FTP-Server auf meinen Server setzen, zu dem ich max. 15 Usern Zugriff geben möchte, denen ich nicht 100% vertraue. Also sollten sie mit ihren Konten nichts machen dürfen ausser ftp. Ausserdem muss das durch eine Firwall funktionieren und ausschliesslich verschlüsselt sein.
Als mir diese Anforderungen klar waren, habe ich im Forum gesucht, aber nichts gefunden. Dann habe ich gedacht, dass ich die Frage poste, damit die anderen auch was davon haben. Aber, wie finden die das denn, wenn ich vorher ja auch nichts gefunden habe? Deshalb ist mir die Idee gekommen, im Wiki eine Art Softwareliste zu machen, in der Aufgabenbereiche aufgelistet sind (FTP-server/client, Mail, Texteditor), dazu jeweils einige Programme, die das können (wu-, pro-, hastenichgesehen-ftp) mit einer kurzen Vor- und Nachteile Beschreibung (einfach zu konfigurieren, kann kein sftp, ...).
Deshalb stelle ich jetzt nicht die Frage, welcher FTP-Server für meinen bescheidenen Einsatzzweck geeignet wäre, sondern warte, bis ich im Wiki eine solche Liste finde, in der auch ich meine Erfahrungen hinterlassen kann, oder für einen total bescheuerten Vorschlag niedergemacht zu werden...
 
Du könntest Ihnen ssh Zugriff geben. Auf ssh kann man mit einem sftp client (gibt es viele kostenlose, auch für wind00m) wie auf ftp zugreifen.
 
Hatte ich auch schon überlegt, aber: "[...]denen ich nicht 100% vertraue. Also sollten sie mit ihren Konten nichts machen dürfen ausser ftp."
 
Vielleicht aus den Ports shells/scponly:

[Excerpted from the README:] "scponly" is an alternative "shell" (of sorts)
for system administrators who would like to provide access to remote users to
both read and write local files without providing any remote execution
privileges. Functionally, it is best described as a wrapper to the
tried-and-true ssh suite.

scponly validates remote requests by examining the third argument passed to the
shell upon login. (The first argument is the shell itself, and the second is
-c.) The only commands allowed are "scp", "sftp-server" and "ls". Arguments
to these commands are passed along unmolested.

Sowas suchst du doch, oder?
 
Dann würde ich vsftpd aufsetzen.

Du sagst du willst außschließlich verschlüsseln.

dann würde ich SSL Zertifikate erstellen und SFTP realisieren.

ich hätte ne Anleitunf für vsftpd für Fedora Linux (sollte sich aber für FreeBSD umbauen lassen ...)

Interesse ?
 
Also "nicht ganz vertraue" schreit IMHO nach einem chroot/jail o.ä.

Für ssh (und damit sftp) gibt es einen Patch, der es erlaubt, daß bestimmte User nur in einem chroot sich bewegen können. In der letzten freeX ist darüber ein Artikel.
 
Also sollten sie mit ihren Konten nichts machen dürfen ausser ftp. Ausserdem muss das durch eine Firwall funktionieren und ausschliesslich verschlüsselt sein.
Zum Vergrößern anklicken....
Mit dem ProFTPD (http://www.proftpd.org/) lässt sich sowas ohne Probleme realisieren:
- er kann seine eigene Password/Group - Datei benutzen (Man muss den Benutzer also nicht im System einrichten)
- er kann FTPS (SSL/TLS)
 
Schwierig im Moment zu sagen. Ich hatte bis vor einer Weile nur einen Celeron 466 drin. Das Problem der Aussagekraft ist aber, dass das wegen meines Netzes hier alles erst durch einen Router geleitet wurde. Und das war nur ein P90. Der konnte einfach nicht mehr als ganz grop 1 MB / S, ich weiss es aber schon gar nicht mehr genau. Inzwischen ist das nicht mehr so, man kann also direkt drauf zugreifen, aber jetzt steht der Server nicht mehr in meinem Netz, lol. Ich muss mal da fragen, ob einer kurz mal intern ziehen kann. Momentan ist es auch schon ein Athlon 1200MHz | 256 MB DDR RAM.

I.MC
 
wenn mans abstimmen könnte ich würde meine stimme für proftpd geben, außerdem wird er am meisten mit genutzt und die meisten haben auch die meisten fragen zu proftpd, wiki-beitrag ist deshalb angebracht
 
Ich habe auch seit langem proftpd mit mod_tls am Laufen. Somit wird der komplette Datentransfer verschlüsselt, nicht nur die Authentifizierung. Das Ganze läuft wunderbar schnell und stabil.

Dafür extra einen Bereich in unserem Wiki einzurichten finde ich unnötig, da das nichts mit *BSD im Allgemeinen zu tun hat. Zu diesem Thema gibt es auch Unmengen an Ressourcen im Internet. Auf der offiziellen proftpd Website gibt es bspw. ein Tutorial zu mod_tls.
 
Wiedmann schrieb:
Mit dem ProFTPD (http://www.proftpd.org/) lässt sich sowas ohne Probleme realisieren:
- er kann seine eigene Password/Group - Datei benutzen (Man muss den Benutzer also nicht im System einrichten)
- er kann FTPS (SSL/TLS)
Zum Vergrößern anklicken....

japps, und wenn man den mit SQL Backend baut kann man die User Accounts auch noch schön performant nutzen und ist nich auf die Files angewiesen.

Gruß Bummibaer
 
Das klingt nach einer guten Loesung, aber ich bin mir nicht sicher, ob das Beuehmte 2-Port-FTP keine Probleme machen wuerde:

Wenn der FTP-Client hinter einer NAT-Firewall sitzt, dann umging man das Problem, indem man passives FTP verwendet, so dass der Client den 2. Datenport zum Server aufbaut und nicht umgekehrt.
Was ist jetzt aber, wenn sowohl der Server als auch der Client hinter eine NAT-Firewall sitzen, wobei bei die serverseitige NAT-Firewall nur den FTP-Port an den FTP-Server hinter der Firewall weiterleiten sollte.


Gibt's da Loesungsmoeglichkeiten oder funktioniert das sofort?

Dann faellt mir gerade noch ein, dass FTP die zwei TCP-Datenverbindung aushandelt. Das koennte ebenfalls problematisch sein, da der FTP-Server bei den meisten Leuten hinter einer Firewall steht und damit nicht direkt eine echte Internetadresse hat. Dem Server kann man das aber vorgeben.
Code: 
MasqueradeAddress   xxx.xxx.xxx.xxx
Bei dynamischen IP-Adressen eines normalen Dial-In-Internet-Account muesste man hier auf einen Nameserver-Eintrag ausweichen?

Gibt es keine Alternative zu FTP?
 
Zuletzt bearbeitet:
Das ist eine Gute Idee.
Gibt's denn einfache FTP-Ähnliche Server und Client-Programme?
Apache, Subversion oder Lotus Dominio ist etwas "oversized".
 
Server: Zum Beispiel Apache mit mod_dav (Bestandteil von Apache 2.0). Etwas schlankeres kenne ich nicht (zumindest kann man den Apache ziemlich schlank machen). Abgesehen davon können unter anderem auch Apache Tomcat und Zope WebDAV.

Man bräuchte in diesem Fall wohl nicht noch zusätzlich das DeltaV Protokoll, also benötigt man kein Apache Slide und erst recht kein Subversion.

Clients: Unter Windows mit dem Explorer ("Webordner"). Die KDE-Benutzer können den Konqueror benutzen, die GNOME-Benutzer Nautilus. Für MacOS gibt es Goliath. Cadaver ist ein Kommandozeilen-Client.


Leider habe ich mit der aktuellen Apache-Version Probleme mit Umlauten in Datei- und Verzeichnisnamen beobachtet, wenn diese von Windows-Clients mittels "Webordner"-Zugriff erstellt worden sind. Das ist aber wohl schon als Bug gemeldet, soweit ich das gesehen habe.

Für FTP gibt es natürlich ungleich mehr Clients als für WebDAV. Aber das gilt nur für unverschlüsseltes FTP. Bei FTP über SSL/TLS sieht das schon ganz anders aus. Da sind es auch nur wenige, etwa FileZilla für Windows. Für scp/sftp gibt es auch nur wenige Clients, etwa FileZilla und WinSCP für Windows.

WebDAV hat den Vorteil, daß der Client in Windows bereits eingebaut ist, daß zum nur-Lesen ein einfacher Browser ausreicht (wenn der Webserver Verzeichnislistings generiert), daß man automatisch sämtliche Möglichkeiten des Webservers nutzen kann, also Verschlüsselung, Authentifizierung, Zugriffsbeschränkungen, Bandbreitenbeschränkungen und so weiter. Außerdem bekommt man automatisch alle Vorteile des HTTP-Protokolls wie etwa Byte-Range-Requests (um jetzt mal ein Beispiel zu nennen, was mit FTP nur über Tricks geht). Der Umstand, daß das Protokoll NAT- und paketfilterfreundlich ist, wurde ja schon genannt.

Im übrigen bin ich der Ansicht, daß das FTP-Protokoll endlich sterben muß :-)



Edit: Umlaut-Problem besteht anscheinend ebenfalls bei Tomcat, oder es liegt bei mir ein Konfigurationsfehler vor.
 
Zuletzt bearbeitet:
proftpd hatte doch immer wieder Sicherheitsprobleme...

mir wären bei egal welchem Dienst (auch WebDAV) virtuelle Quotas wichtig. Benutzerverwaltung in LDAP oder SQL schön und gut, aber wenn den Benutzern dann keine Plattenbeschränkung gegeben werden kann... bis jetzt weiss ich nur von Pure-FTPd das es geht.

Pure-FTPd hat mit Bandwidth-throttling und SQL/LDAP-Unterstützung für mich gute Abdeckung an Features. Das der Datenkanal noch nicht verschlüsselt wird ist aber wirklich ne sehr blöde Sache, da viele Clients nur SSL komplett unterstützen, auf Control- und Data-channel.

Zu NAT kann ich nur sagen proxy anschaffen, sowas ist bei NAT muss. Wenn das per SSL verschlüsselt wird, hat man mit nem Proxy aber ein Problem.

Wegen solchen Sachen kann ich Hubert nur zustimmen und FTP sterben lassen. Für nen klassischen Dateitransfer ist aber Apache auch so toll nicht, WebDAV ist nur für HTML-Sites ausreichend. SFTP könnte einfach ordentlich über seperaten Service abgewickelt werden, dann wäre es auch schon ganz gut.
 
Du musst dich einloggen oder registrieren, um hier zu antworten.
Zurück
Oben