Anonymous FTP - Wie sicher ist das ?

[warbird]

Hi,

ich hätte mal ne Frage. Ich würde gerne bei mir nen anonymous FTP Server auf meinem Server anbieten bin aber unschlüssig was die Auswirkungen in punkto Sicherheit sind.

Die Situation, DEBIAN Root Server mit PLESK. In PLESK kann ich ja den anonymous FTP ganz bequem an und abschalten und festlegen was jemand der da drauf geht, machen darf, also nur uploaden oder nur downloaden, wieviel Bandbreite der FTP bekommt und wieviele User gleichzeitig da downloaden können.

Nun ist mir klar, das dann das sog. Leeching wahrscheinlich zum Problem wird in Punkto Traffic weil man dann ja nie weiss wo die einzelnen Files überall verlinkt werden.

Wie sieht es aber aus mit der Sicherheit für den Root Server ? Ich denke mal das PLESK den FTP dann nicht mit Shell zugang einstellt, wäre ja auch blöde. Wäre es trotzdem möglich jetzt mit Hilfe des FTP´s Zugang zum Server zu bekommen oder eher nicht ?

Der FTP würde nur für download zur Verfügung stehen, keinerlei Upload.

Ich wäre dankbar für ein paar Tips zu dem Thema, wenn möglich nachvollziehbar da ich kein Oberlinuxfreak bin.

[daemotron]

Grundsätzlich spricht erst mal nichts gegen einen public FTP-Server. Solange der anonymous-Zugang read-only ist und Du auch nur die Daten zum lesen freigibst, die dafür vorgesehen sind, ist das ganze nicht so kritisch. Allerdings kannst Du dann auch einen virtuellen httpd-Host mit directory listing einrichten - das läuft auf's gleiche raus... Massen-Leeches à là

Code: Select all

GET *

sind sogar nur über entsprechende Grabber-Scripte möglich.

Allerdings ist FTP ein eher unangenehmes Protokoll für Router, Proxies und Firewalls. Außerdem hast Du natürlich mit FTP einen weiteren Dienst laufen, dessen eventuell nicht geschlossene Sicherheitslücken ausgenutzt werden könnten - das sollte Dir bewusst sein.

[warbird]

FTP läuft ja auf jeden Fall, auf dem Root sind ja noch Webseiten und ein paar Game Server, also FTP läuft auf jeden Fall.

Das mit dem vhost erstellen, also praktisch wie ne Subdomain, was für Vorteile würde mir das bringen gegenüber nem FTP ? Wäre das nicht unsicherer ? Mit PLESK kann ich den anonymous FTP schon so einstellen das man nur Downloaden kann, und dann auch wenn ich will, nur mit ner bestimmten Geschwindigkeit und Traffic festsetzen auf ein Limit kann ich auch.

Das Leeching ist halt immer ne Sache das man dann keine Kontrolle darüber hat was mit seinen Files wo abgeht, ob jemand anders sich ne Download Kollektion aufbaut mit meinen Files. Ich hab den einen oder anderen Traffic schon zur Verfügung, aber je nachdem, auch viel Traffic kann schnell weg sein.

Ich hatte bisher als Webseitensystem immer e107 benutzt, lange Zeit, bin aber auch in der Zeit öfers gehackt worden. Und kürzlich hab ich gehört das auch das nicht wirklich sicher sein soll. Also will ich schauen ob ein FTP nicht weniger Sicherheitslücken verursacht wenn er richtig eingestellt ist.

Und natürlich ist ein FTP auch weniger Arbeit. ;) Aber wenn jemand noch ein paar Tips hat, immer raus damit.

[daemotron]

Wenn Du unbedingt anonymous FTP nutzen willst, solltest Du den FTP-Daemon chrooted laufen lassen - wobei ich mir dabei denken könnte, dass Plesk damit nicht umgehen kann... weiß es aber nicht, will darüber auch nicht spekulieren.

FTP läuft ja auf jeden Fall, auf dem Root sind ja noch Webseiten und ein paar Game Server, also FTP läuft auf jeden Fall.

Wieso denn bitteschön das? Was hat ein Gameserver mit FTP zu tun? Wenn Du Deinen Kunden FTP als Zugang für ihren Webspace bereitstellst, ist das die eine Sache... Die Existenz eines Public FTP Servers in die Welt rauszuschreien eine ganz andere - das ist schon quasi eine Herausforderung 8) Btw. könntest Du Deine Kunden auch per SFTP oder SCP auf ihren Webspace zugreifen lassen... FileZilla oder WinSCP z. B. beherrschen das einwandfrei.

Wenn Du HTTP als Protokoll verwendest, kannst Du Leecher auf vielfältige Weise aussperren - eine davon verwendet isotopp bei seinem Blog (per Prüfung des Referrers in einer .htaccess). War aber nur eine Anregung...

[warbird]

Wenn Du Deinen Kunden FTP als Zugang für ihren Webspace bereitstellst, ist das die eine Sache... Die Existenz eines Public FTP Servers in die Welt rauszuschreien eine ganz andere - das ist schon quasi eine Herausforderung

Naja, ich bin eigentlich mein einziger "Kunde" ;), aber ich nutze FTP halt für einige der Sachen. Und wie ich anfangs sagte, ich bin net so der Linuxfreak, bin froh das FTP läuft. Hab keine Ahnung wie man das mit SFTP machen muss. ;) Und natürlich will ich das nicht herausschreien, werd den FTP net im GOOGLE oder so ankündigen. Wer den kennt ergibt sich halt wie´s sich ergibt.

Und ich glaub auch net das man das mit PLESK so gut steuern kann, wenn man nicht weiss wo man was in PLESK ändern muss damit alles auch damit läuft.

Ich bin teilweise also auch durch meine "nicht allwissenheit" zum Theme LINUX eingeschränkt. Man kann fast alles irgendwie an seine Wünsche anpassen, speziell bei Linux, aber das setzt vorraus das mans können muss. ;)

Btw, wenn ich nen Vhost anlege, wie kann ich dem, und nur dem, dann DIRECTORY LISTING erlauben ? Denn grundsätzlich geht das nicht, das hab ich schon gesehen. Und will ja auch net das man das bei jedem der Webuser kann.

[duergner]

http;//httpd.apache.org/docs/2.0/

Achja und Joe hat vor kurzem ein paar interessante Sachen zum SchutZ der Downloads von fremden Seiten aus mit Lighttpd hier gepostet. Und wenn du dein einziger Kunde bist dann sehe ich keinen Sinn in FTP. Nutze SCP oder vielleicht WebDAV mit SSL. Bei FTP gehn die Passwoerter im Klartext uebers Netz und die meisten Leute verwenden nicht fuer alles unterschiedliche Passwoerter ...

[warbird]

Nutze SCP oder vielleicht WebDAV mit SSL.

Danke ;), aber wie ich schon oben geschrieben habe, ich habe net so den Durchblick. Ich kann mit meinem Root soweit umgehen wie ich es bisher gebraucht habe, mehr leider nicht.

Ausserdem ist bei meinem Root die ganze Steuerung ja über PLESK konfiguriert und das umzuschreiben oder so, was bestimmt geht, das bezweifel ich nicht. ;) Aber naja...

Bitte tut mir einen Gefallen, schreibt jetzt nicht, das ich sowas aber locker alles wissen muss wenn ich nen Root Server miete. Dem ist nicht so, und ich denke auch nicht das jeder der nen Root hat, das alles kann, geschweige denn brauch. Versteht das net falsch, aber ich bin blöden Kommentaren zu so Sachen im Leben schon viel begegnet, ich kenns auswendig. Also nehmt das net persönlich.

Ich danke den jenigen die mir bisher hier schon den einen oder anderen Tip gegeben haben ;), ob ich das aber alles umsetzen kann, bezweifel ich leider. Ich gebe offen zu, ich habe nicht schon alle MAN pages gelesen, aus dem einfachen Grund weil ich mich mit schriftlichen Anleitungen schwer tue. Ich kanns besser behalten und lernen wenns mir einer vorher mal zeigt. In vielen Linux Foren ist es ja was verwerfliches, wenn nan das nicht alles, was ein Grossteil der Linux Gemeinde wohl als sogenanntes Mindestwissen vorraussetzt, damit man würdig ist, Hilfe zu bekommen kann ansonsten wird man glatt verwiesen. Ich hoffe dies ist hier nicht so.

Das ist keinerlei Kritik an dieses Forum, leider waren meine Erfahrungen bisher nicht oft anders als beschrieben. Ich würde mich freuen wenn mir jemand, der kein Problem damit hat, das was er zu dem Thema evtl. weiss, mir zu erklären.

Danke trotz allem. ;)

[duergner]

Also auch ohne dir jetzt zu nahe treten zu wollen, aber was spricht dagegen, dir zu Hause einen alten Rechner hinzustellen und damit die entsprechenden Sachen zu ueben?

Ich kenne zwar Plesk selbst nicht wirklich, aber auch hier sollte es ohne Probleme moeglich sein, WebDAV zu konfigurieren. Ich wuerde hier sowieso vorschlagen fuer die WebDAV Sachen einen extra Apache/Lighttpd zu nehmen. Den kann man dann unter einem anderen benutzer laufen lassen als den der fuer die 'Auslieferung' zustaendig ist. In den WebDAV Apache dann keine Sachen wie PHP, Perl, CGI, etc. einbauen, dann ist der auch ziemlich sicher.

Klar kann man nicht alles sofort wissen, aber man kann sich durch probieren viel Wissen aneignen. Wenn du das nicht kannst/willst/was auch immer, dann musst du wohl mit den Moeglichkeiten leben, die dir die fertigen Tools bieten.

[daemotron]

...aber das setzt vorraus das mans können muss.

Eben. Genau. Einen Root-Server mit High Speed Internet-Direktanschluss setzt voraus, dass "mans können muss". Ansonsten kommt eher früher als später das böse Erwachen in Form einer gigantischen Traffic-Rechnung oder eines Besuchs der Staatsanwaltschaft...
Nichts für ungut, aber Du solltest duergners Vorschlag ernst nehmen und zu Hause erst mal auf einer alten Kiste oder mit VMWare üben!