This page has been robot translated, sorry for typos if any. Original content here.

Installieren Sie auch den FTP-Server. Teil 2

Also, nach einer kleinen Bekanntschaft mit dem FTP-Protokoll in den ersten Elementen unseres Materials, fangen wir sofort an, auch die Konfiguration unseres eigenen FTP-Servers zu installieren. Beachten Sie, dass unter Windows 2000 / XP ein integrierter FTP-Server installiert ist (Systemsteuerung -> Programme auch deinstallieren -> Windows-Komponenten installieren -> Internetinformationsdienste -> FTP-Dienst). Es ist jedoch sehr primitiv, unbequem und auch unsicher - deshalb werden wir es nicht in irgendeiner Weise ausdrücken.
Und wir werden den leistungsfähigsten und multifunktionalen FTP-Server Serv-U installieren - die meisten FTP-Sites der bekanntesten Unternehmen arbeiten daran. Versuchen Sie nicht, die alten Versionen in irgendeiner Weise zu verwenden, da es Sicherheitslücken in ihnen gibt.

Serv-U besteht aus einem Paar von Elementen - Serv-U Administrator zum Konfigurieren der Verwaltung des FTP-Servers, auch des eigentlichen FTP-Servers. Serv-U Administrator kann auch auf dem Computer eines Freundes installiert werden, wodurch der Serv-U FTP-Server remote verwaltet werden kann. Zur Verwaltung des FTP-Server-Dienstes wird der TCP-Port 43958 verwendet. Um das Hacken zu vermeiden, setzen Sie das Passwort also auf das Management (im Menü "Passwort setzen / ändern"). Mit der Option "Automatisch starten (Systemdienst)" können Sie den FTP-Server automatisch starten und es funktioniert unabhängig davon, wer am Computer angemeldet ist. Andernfalls wird der FTP-Server nur gestartet, wenn Sie Serv-U Administrator starten.
Konfigurieren Sie nun die Firewall. Wir müssen auch eingehende TCP-Verbindungen für Servuadmin.exe-Prozesse sowie Servudaemon.exe zulassen.
Wir gehen weiter im Protokoll der Einstellungen von Serv-U Administrator unter "Einstellungen -> Allgemein" weiter. Hier lohnt es sich, mindestens drei wichtige Optionen einzufügen. "FTP_bounce-Angriffe blockieren und FXP" ist der Schutz vor Datenverkehr zwischen zwei FTP-Servern (der Client des Angreifers kann eine Sitzung im Namen eines anderen Servers einrichten, Pumpen laufen lassen, nur Sie werden verschwendet, um den Raum auf der Festplatte zu fahren. "Benutzer blockieren, die mehr als ... verbinden" - Schutz vor Versuchen, das Passwort eines FTP-Kontos auszuwählen. Block-Anti-Time-Out-Schemata - Schutz vor Versuchen, die Grenzen der Poren der Sitzung zu umgehen, die dem einen oder anderen Konto gegeben werden. Ähnlich ist es möglich, die Gesamtgeschwindigkeit des Uploads (Upload) zu begrenzen, die Anzahl der sofort bedienten Benutzer herunterzuladen (dies ist eine globale Einstellung, dann können wir diese Limits separat für verschiedene Konten erstellen).

Erstellen Sie nun den Server. Dazu machen wir uns durch das Einstellungsprotokoll zu "Domains", drücken die rechte Maustaste und wählen im Popup "New Domain" aus. Im Feld "Einstellungen" bleibt das Feld "Domain IP Address" leer, "Domain Name" - wir geben einen Namen an, zB "FtpName" (nur für uns notwendig), "Domain Port Nummer" Server, für den wir jetzt einen Standardwert von 21 angeben. "Domänentyp" gibt an, wo die Servereinstellungen gespeichert werden. Es ist besser, sie in INI-Dateien zu speichern.
Jetzt wird der Server erstellt (auf Englisch - "Domain"). Sie können mehrere Server (in diesem Zweig des Konfigurationsprotokolls) auf verschiedenen Ports organisieren, nur der Sinn für normale Benutzer ist nicht vorhanden.

Im Einstellungsprotokoll im Abschnitt "Domains -> FtpName" aktivieren wir Verschlüsselungsunterstützung für "Sicherheit -> SSL / TLS und reguläre Sitzungen zulassen". Nun ein wenig vom Server abgelenkt wird sich auch mit Ports auch IP beschäftigen.
Erstens muss der Server seine externe (Internet-) IP-Adresse kennen. Wenn die Adresse statisch ist, ist alles einfach - wir geben es in die "Domain IP-Adresse" ein. Wenn die IP-Adresse jedoch dynamisch ist (wie z. B. in Stream), müssen Sie DynamicDNS-Dienste verwenden. Dort wird Ihnen ein Domänenname zugewiesen, der auf Ihre IP verweist und die Aktualisierungen ebenfalls kontinuierlich überwacht.

Insbesondere eine solche kostenlose Gunst auf No-IP.com , wo Sie Ihren Computer eine Third-Level-Domain im Internet erstellen können, zum Beispiel mycomputer.no-ip.com. Dort kann blah blah den Kunden herunterladen, der dynamische No-IP-Update-Client, der sich ununterbrochen mit No-IP.com in Verbindung setzt, um Ihre IP-Adresse zu überprüfen / zu aktualisieren. Ich werde Ihnen nicht die Einstellungen dieses Kunden mitteilen, aber ich kann seine Einstellungen außer dem Parameter "Wenn nur über NAT / Router / Proxy-Adresse aktualisiert wird" nicht ändern. Nachdem wir den Kunden auf No-IP.com registriert haben, setzen wir in den FTP-Einstellungen auf "Dynamisches DNS aktivieren" und aktivieren den erscheinenden Tab "Dynamisches DNS". Wir verschreiben die in No-IP.com registrierte Adresse.
Zweitens ist es Zeit, mit den Häfen umzugehen. Viele ISPs blockieren eingehende Verbindungen am 21. Port. Um dieses Problem zu umgehen, sollten Sie einen anderen unbenutzten Port, z. B. 32768, auch auf der Registerkarte "Domain in FTP Portnummer" eingeben. Aber denken Sie daran, dass, wenn der Port sich von 21 unterscheidet, sollten Sie den Link in keiner Weise auf ftp://mycomputer.no-ip.com, nur ftp://mycomputer.no-ip.com:32768 verfremden. Wahrscheinlich ist Ihr FTP-Server hinter NAT. In diesem Fall muss bei NAT die Funktion "Port Forwarding" konfiguriert werden. Erstens, für den Hafen, auf dem er die Antwort gibt. Zweitens werden, wie bereits beschrieben, für Clients, die im "PASV" -Modus arbeiten, einige andere Ports benötigt, zu denen sie sich verbinden. Essen Sie dazu in Serv-U die entsprechende Einstellung "Lokaler Server -> Einstellungen -> Erweitert -> PASV Portbereich", in der wir einen Leerlaufbereich angeben, z. B. 32769-32784 auch an NAT weiterleiten.
Wir passen uns weiter an. Im Menü "Domains -> FtpName (unser Server) -> Einstellungen" auf der Registerkarte "Logging" aktivieren wir den Logging-Modus für Systemmeldungen, Sicherheitsmeldungen, Dateidownloads, Dateiuploads, IP-Namen, FTP-Befehle und FTP-Antworten. Auf jeden Fall wird ein Protokoll nicht erhöht, aber es hilft, Probleme zu lokalisieren. Geben Sie den Namen der Protokolldatei an, indem Sie das Kontrollkästchen "Protokollierung in Datei aktivieren" aktivieren. Auf anderen Registerkarten muss nichts konfiguriert werden - standardmäßig ist alles für die meisten Benutzer geeignet.

Jetzt werden wir den Benutzer erstellen. Für die Quelle - der Gast. Zuerst müssen Sie einen Ordner auf der Festplatte erstellen, der das Root-Verzeichnis unseres FTP wird. Erstellen Sie beispielsweise C: \ FTP_Root. Als Nächstes müssen Sie einen Ordner erstellen, in dem alle Dateien hochgeladen werden können (wir werden ihnen von dort nicht [Gäste] geben, zum Beispiel C: \ FTP_Root \ Incoming.

Iss in Serv-U das System der Vorlagen (Gruppen). Dort können die Zugriffsrechte für die erstellten Verzeichnisse angegeben werden. Es ist einfacher, eine Gruppe mit dem Recht zu erstellen, den Stammordner zu lesen und zu schreiben. \ Incoming, nur dann nicht allen Benutzern solche Blabla-Rechte vorschreiben, fügen Sie einfach diese Vorlage hinzu. Wir bewegen uns also entlang des Logs der Einstellungen in "Domains -> FtpName -> Groups" und erstellen dort eine neue Gruppe (Neue Gruppe), nennen sie beispielsweise guest. Wir gehen auf den Tab "Dir Access" und fügen dort auch ein paar unserer Verzeichnisse hinzu - C: \ FTP_Root auch C: \ FTP_Root \ Incoming.

Wir geben ihnen Zugangsrechte. Für FTP_Root - nur Lesen Sie auch Liste, für Eingehende - nur Schreiben-Erschaffen-Erben. Diese Privilegien sind: Dateien lesen, Dateien schreiben, Dateien schreiben, Dateien hinzufügen, Dateien löschen, Dateien löschen, Dateien ausführen, ausführbare Dateien auf dem Server ausführen (sehr gefährliche Berechtigungen und geben sie nicht an Dritte weiter), Liste mit Unterverzeichnissen, Erstellen - Unterverzeichnisse erstellen, Unterverzeichnisse löschen - Unterverzeichnisse löschen - Alle Unterverzeichnisse besitzen ähnliche Rechte (andernfalls gibt es keinen Zugriff auf sie, außer sie sind selbst registriert). Verzeichnisstiche können sich auf und ab bewegen. Bei der Vererbung (Vererbung) ist dies aktuell - die oberste Zeile hat die höchste Priorität der Berechtigung.
Jetzt erstellen wir einen Gastbenutzer. Gehen Sie zu "Domains -> FtpName -> Users", um den Benutzer "Anonymous" zu erstellen (dies ist der Standardgastname, andernfalls wird er kein Gast sein). Geben Sie als Anfangsverzeichnis (Heimatverzeichnis) C: \ FTP_Root an. Bei der Aufgabe "Benutzer im Stammverzeichnis sperren?" geben Sie die Antwort "Ja" - dies vereinfacht die Arbeit des Benutzers.
Jetzt - ein wichtiger Punkt - in den Einstellungen dieses Benutzers (Anonymous) machen wir uns auf den Weg zu "Dir Access" und löschen auch dort automatisch erstellte Zeile in FTP_Root (beachten Sie, dass es die Berechtigungen des Lesens in Incoming erbt). Fügen Sie nun auf der Registerkarte "Konto" den Gruppengast zu Gruppe (n) hinzu, klicken Sie auf "Übernehmen". Wir kehren zurück zu "Dir Access" schauen auch. Es erschienen FTP_Root auch Eingehend und können nicht bearbeitet werden - der Benutzer hat die gleichen Privilegien für Gäste aus der Vorlage "guest" erhalten.

Wir haben also einen Besucher geschaffen. Es kann Dateien aus dem Verzeichnis C: \ FTP_Root (ohne Unterverzeichnisse) herunterladen und auch eine Datei nach C: \ FTP_Root \ Incoming hochladen, kann sie aber nicht von dort herunterladen (Ihr Server kann daher nicht für nicht autorisierte Transaktionen verwendet werden Dateien).
Erstellen Sie nun einige autorisierende Benutzer. Um Poren zu speichern, kopiere "Anonym" auch umbenennen. Wir gehen das Protokoll der Einstellungen in den "Users" hoch, wählen (nicht öffnen) "Anonymous" auch das Kontextmenü "User kopieren".

Benennen Sie es (zum Beispiel in Ivanov) auch das Passwort. Achten Sie darauf, dass Sie selbst nicht sehen können, was sein Passwort ist. Denken Sie also daran oder teilen Sie dem Benutzer sofort das Passwort mit.
Wechseln Sie nun zum Tab "Dir Access". Achten Sie darauf, dass das Root-Verzeichnis, da es in die Gruppe "guest" eingeht, ebenfalls ankommend ist, dass es bereits registriert ist. Lassen Sie diesen Benutzer die Musik herunterladen. Dazu fügen wir eine Route zu den Musikdateien hinzu und geben auch die Vorteile von Read-List-Inherit (der Benutzer kann alle Dateien auch Unterverzeichnisse herunterladen).
Wenn der Benutzer sich jetzt jedoch verbindet, sieht er kein Verzeichnis mit Musik, sondern nur FTP_Root. Daher müssen Sie eine Verbindung zu FTP_Root herstellen, nicht über Windows, sondern nur über Serv-U selbst. Wechseln Sie im Register "Domains -> FtpName -> Einstellungen" auf der Registerkarte "Allgemein, Virtual Path Mapping" zum Einstellungsprotokoll.

Es ist notwendig, dass die Ordnermusik (zB c: \ Doc \ Music) in c: \ FTP_Root so wie in einem Unterverzeichnis FTP_Root angezeigt wird. Klicken Sie auf "Hinzufügen" und geben Sie Folgendes ein: "Physischer Pfad" - das Verzeichnis, zu dem Sie eine Verknüpfung herstellen möchten. C: \ Doc \ Music "Mapped to" - das Verzeichnis, in das dieser Link eingefügt werden soll. \ FTP_Root, "Vitual Name" ist der Name dieses virtuellen Unterverzeichnisses in FTP_Root, z. B. Music. Fertig.
In "Virtual Path Mapping" können Sie beliebige Links platzieren, aber nur diejenigen, die es in "Dir Access" sehen, besitzen die entsprechenden Rechte. In unserem Fall sieht der Besucher beispielsweise das Musikverzeichnis nicht.
Um Ivanov beim Herunterladen von Musik nicht besonders großartig unseren Netzwerk-Kanal nehmen, gehen wir auf den "Allgemein" -Reiter seines Kontos auch "Maximale Download-Geschwindigkeit".
Übrigens, ich erzähle Ihnen mehr, wie unser Benutzer Ivanov FTP beitritt. Einfach durch Eingabe von ftp://mycomputer.no-ip.com, wird es als Gast eingeben, einfach nicht wie Ivanov. Login auch das Passwort darf direkt in die FTP-Adresse eingefügt werden: // Ivanov: password@mycomputer.no-ip.com - der Browser (FTP-Client) wird dies auch verstehen. Oder Sie müssen die Einstellungen des FTP-Clients untersuchen, um herauszufinden, wo drin steht, wenn Sie den Namen verbinden.
Jetzt werden wir einen anderen Benutzer erstellen, der Zugriff auf geheime Dokumente hat, und daher ist es unmöglich, das Hacken seines Kontos zuzulassen. Wir kopieren es von Anonymous, auch Petrow genannt. Gehen Sie zum Tab "Allgemein" seines Kontos. Hier können Sie aus Sicherheitsgründen einige interessante Punkte essen.

Zuerst der Passworttyp. Wenn Sie "OTP S / KEY MD5" angeben, werden die Angreifer das Passwort in keiner Weise abfangen. Wenn Sie "normales Passwort" angeben, wird dies zum Standardverfahren für den Austausch von Passwörtern und kann auch abgefangen werden. Der Benutzer kann den Passwortmodus nicht auswählen, dies sollte auf dem Server erfolgen.
Zweitens, sichere Verbindung erforderlich. Der Passworttyp bietet nur einen Passwortschutz, jedoch keine Datenübertragung. Die Installation einer verschlüsselten Verbindung bietet außerdem einen Datenschutz sowie einen Passwortschutz. Darüber hinaus kann der Benutzer die verschlüsselte Verbindung nur dann selbst auswählen, wenn die Dohle Kosten verursacht, dann ist der Benutzer verpflichtet, die verschlüsselte Verbindung zu verwenden, andernfalls wird dies auf andere Weise nicht erlaubt. Die meisten Clients unterstützen OTP-Passwörter übrigens nicht, wenn sie verschlüsselt werden, da dies überflüssig ist, da der Passworttyp "Regelmäßiges Passwort" setzt, wenn für dieses Konto Verschlüsselungsverbindungen bestehen.
Ich werde Sie daran erinnern, dass reguläre Windows-FTP-Clients OTP-Passwörter oder Verschlüsselung in keiner Weise unterstützen - Benutzer sollten CuteFTP verwenden, um diese Sicherheitsmaßnahmen anzuwenden.
Wenn alles eingerichtet ist, solltest du natürlich selbst sehen, wie alles funktioniert. Es ist möglich, dass es nicht notwendig ist, auf einen anderen Computer zu wechseln (außer wirklich die Firewall-Einstellungen oder NAT zu überprüfen). Wenn Sie die lokale Adresse (127.0.0.1) für diesen Zweck verwenden, geben Sie im Browser oder ftp-Client die Adresse ftp://127.0.0.1 ein (falls der Standardport 21 ist) oder ftp://127.0.0.1:32768 (falls der Port nicht standardmäßig ist , 32768). Fertig. Sie können auf diese Weise alle Funktionen Ihres Servers vollständig testen. Bedenken Sie jedoch, dass im passiven Modus (PASV), wenn sich Ihr FTP-Server hinter NAT befindet, der Server für den Datenaustausch dem Kunden die externe IP anzeigt und auch die Assoziation unmöglich wird. Verwenden Sie daher zum Testen den üblichen PORT-Modus in FTP-Clients.
PS Wenn das nicht klar ist, verfügt Serv-U übrigens über ein exzellentes kontextsensitives Hilfesystem, das durch Drücken der Taste "F1" aufgerufen wird.