This page has been robot translated, sorry for typos if any. Original content here.

Installieren Sie auch den FTP-Server. Teil 2

Also, nach einer kleinen Bekanntschaft mit dem FTP-Protokoll in den ersten Elementen unseres Materials, beginnen wir sofort, auch die Konfiguration unseres eigenen FTP-Servers zu installieren. Bitte beachten Sie, dass in Windows 2000 / XP ein eingebauter FTP-Server vorhanden ist (Systemsteuerung -> Installieren auch Deinstallieren von Programmen -> Installieren von Windows-Komponenten -> Internetinformationsdienste -> FTP-Dienst). Allerdings ist es sehr primitiv, unbequem, auch unsicher - also werden wir es nicht in irgendeiner Weise setzen.
Und wir installieren den leistungsstärksten und multifunktionalen FTP-Server Serv-U - die meisten FTP-Sites der bekanntesten Unternehmen arbeiten daran. Versuchen Sie nicht, die alten Versionen in irgendeiner Weise zu benutzen, da es Schwachstellen in ihnen gibt.

Serv-U besteht aus einem Paar von Elementen - Serv-U Administrator zur Konfiguration auch der Verwaltung des FTP Servers, auch der eigentliche FTP Server. Serv-U Administrator kann auch auf dem Computer eines Freundes installiert werden, durch den es erlaubt ist, den Serv-U FTP Server remote zu verwalten. Zur Verwaltung des FTP-Servers verwendet der TCP-Port 43958. Um das Hacken zu vermeiden, setzen Sie das Passwort an das Management (im Menü "Set / Change Password"), vorzugsweise lang. Mit der Option "Start automatisch (Systemdienst)" können Sie den FTP-Server automatisch starten und es wird unabhängig davon arbeiten, wer am Computer angemeldet ist. Andernfalls startet der FTP-Server erst beim Start von Serv-U Administrator.
Konfiguriere nun die Firewall. Wir müssen auch eingehende ausgehende TCP-Verbindungen für Servuadmin.exe-Prozesse sowie Servudaemon.exe zulassen.
Wir gehen weiter über das Protokoll der Einstellungen von Serv-U Administrator, unter "Einstellungen -> Allgemein". Hier lohnt es sich, mindestens drei wichtige Optionen einzubeziehen. "Block FTP_Bounce Angriffe und FXP" ist der Schutz vor dem Verkehrstransfer zwischen einem Paar von FTP-Servern (ein Angreifer-Client kann eine Sitzung im Namen eines anderen Servers, laufen Pump auch verlassen, nur Sie werden verschwendet, um ein Zimmer auf der Festplatte zu fahren und verlieren die gekaufte Verkehrsgrenze). "Benutzer blockieren, die mehr als ... verbinden" - Schutz vor Versuchen, das Passwort eines FTP-Kontos auszuwählen. "Block Anti-Time-out-Systeme" - Schutz vor Versuchen, die Grenzen der Poren der Sitzung zu umgehen, gegeben auf ein oder ein anderes Konto. Ähnlich ist es erlaubt, die Gesamtgeschwindigkeit des Uploads (Upload) zu beschränken, herunterzuladen (auch) die Anzahl der sofort bedienten Benutzer (dies ist eine globale Einstellung, dann können wir solche Grenzen separat für verschiedene Konten erstellen).

Erstellen Sie nun den Server. Um dies zu tun, machen wir uns durch das Einstellungsprotokoll zu "Domains", klicken Sie mit der rechten Maustaste und wählen Sie im Popup-Fenster "Neue Domain". Im Einstellungsfenster ist das Feld "Domain IP Address" leer gelassen, "Domain Name" - wir geben einen Namen an, zB "FtpName" (es ist nur für uns notwendig), "Domain Port Number" ist der Port, auf dem die FTP- Server, für jetzt werden wir einen Standardwert von 21 angeben. "Domain-Typ" gibt an, wo die Server-Einstellungen gespeichert werden sollen. Es ist besser, sie in INI-Dateien zu speichern.
Jetzt wird der Server erstellt (auf Englisch - "Domain"). Sie können mehrere Server (in diesem Zweig des Konfigurationsprotokolls) organisieren, auf verschiedenen Ports, nur der Sinn für gewöhnliche Benutzer ist nicht da.

In den Einstellungen melden Sie sich im Abschnitt "Domains -> FtpName" an und aktivieren die Verschlüsselungsunterstützung für "Sicherheit -> SSL / TLS und regelmäßige Sitzungen zulassen". Jetzt ein wenig abgelenkt vom Server selbst wird auch mit Ports auch IP umgehen.
Zuerst muss der Server seine externe (Internet-) IP-Adresse kennen. Wenn die Adresse statisch ist, dann ist alles einfach - wir geben sie in die "Domain IP Adresse" ein. Aber wenn die IP-Adresse dynamisch ist (wie z. B. in Stream), dann müssen Sie DynamicDNS-Dienste verwenden, wo Sie einen Domain-Namen zugewiesen werden, der auf Ihre IP zeigt, überwacht kontinuierlich auch seine Updates.

Insbesondere eine solche kostenlose Gunst, um bei No-IP.com zu essen, wo Sie Ihren Computer jede Dritt-Level-Domain im Internet erstellen können, zum Beispiel mycomputer.no-ip.com. Es ist blah blah erlaubt, den Kunden No-IP dynamischen Update Client herunterzuladen, der ständig mit No-IP.com in Verbindung tritt, um auch deine IP-Adresse zu überprüfen / zu aktualisieren. Ich werde Ihnen nicht von den Einstellungen dieses Kunden erzählen, aber ich kann seine Einstellungen nicht ändern, zusätzlich zum Parameter "Bei der Aktualisierung über NAT / Router / Proxy-Adresse NUR" - es ist besser, es auf "alle 5 Minuten" zu setzen. Also, nachdem wir den Kunden auch bei der Anmeldung bei No-IP.com bestellt haben, setzen wir ein Kontrollkästchen auf die "Dynamic DNS aktivieren" in den Einstellungen unseres FTP und gehen auf die erschienene Registerkarte "Dynamic DNS". Dort registrieren wir die in No-IP.com registrierte Adresse.
Zweitens ist es Zeit, mit den Häfen umzugehen. Viele ISPs blockieren eingehende Verbindungen auf dem 21. Port. Um dieses Problem zu umgehen, sollten Sie einen anderen unbenutzten Port auswählen, zB 32768, geben Sie ihn auch auf der Registerkarte "Domain in FTP Portnummer" ein. Aber denken Sie daran, dass, wenn der Hafen ist anders als 21, dann sollten Sie den Link in keiner Weise zu ftp://mycomputer.no-ip.com, nur ftp://mycomputer.no-ip.com:32768 entfremden. Wahrscheinlich ist dein FTP-Server hinter NAT. In diesem Fall auf NAT ist es notwendig, die Funktion "Port Forwarding" zu konfigurieren. Erstens, für den Hafen, auf dem er die Antwort gibt. Zweitens, wie wir bereits früher beschrieben haben, sind für Kunden, die im "PASV" -Modus arbeiten, einige andere Ports benötigt, an die sie sich anschließen werden. Zu diesem Zweck sollten Sie in Serv-U die entsprechende Einstellung "Lokaler Server -> Einstellungen -> Erweitert -> PASV-Portbereich", in der wir einen Leerlaufbereich angeben, zB 32769-32784 auch an NAT weiterleiten.
Wir passen weiter an. Im Menü "Domains -> FtpName (unser Server) -> Einstellungen" auf der Registerkarte "Logging" aktivieren wir den Logging-Modus für Systemmeldungen, Sicherheitsmeldungen, Dateien Downloads, Datei-Uploads, IP-Namen, FTP-Befehle, FTP-Antworten. In keiner Weise wird es nicht erhöhen ein Protokoll, aber es wird helfen, Probleme zu lokalisieren. Geben Sie den Namen der Protokolldatei an, auch das Kontrollkästchen "Protokollierung in Datei aktivieren". Auf den anderen tabs nichts zu konfigurieren braucht nicht - standardmäßig ist alles für die meisten User geeignet.

Jetzt werden wir den Benutzer erstellen. Für die Quelle - der Gast. Zuerst müssen Sie einen Ordner auf dem Datenträger erstellen, der das Stammverzeichnis unseres FTP wird. Erstellen Sie z. B. C: \ FTP_Root. Als nächstes musst du einen Ordner erstellen, in dem jeder Dateien hochladen kann (wir geben ihnen keine Gäste), zum Beispiel machen wir C: \ FTP_Root \ Incoming.

In Serv-U, essen ein System von Vorlagen (Gruppen). Dort ist es erlaubt, die Privilegien des Zugriffs für die erstellten Verzeichnisse anzugeben. Es ist einfacher, eine Gruppe mit dem Privileg des Lesens des Stammordners zu erstellen, sowie Einträge in. \ Incoming, nur dann nicht alle Rechte an alle Benutzer zuordnen, füge sie einfach diese Vorlage hinzu. So bewegen wir uns das Protokoll der Einstellungen in "Domains -> FtpName -> Gruppen" und erstellen dort eine neue Gruppe (Neue Gruppe), nennen sie zB Gast. Wir gehen auf die Registerkarte "Dir Access", wir addieren auch ein paar unserer Verzeichnisse - C: \ FTP_Root auch C: \ FTP_Root \ Incoming.

Wir geben ihnen Privilegien des Zugangs. Für FTP_Root - nur Lesen auch Liste, für Incoming - nur Write-Create-Inherit. Solche Privilegien bedeuten: Lesen - Lesen von Dateien, Schreiben - Schreiben von Dateien, Hinzufügen - Datei Hinzufügen, Löschen - Löschen von Dateien, Ausführen - Ausführen von ausführbaren Dateien auf dem Server-Rechner (sehr gefährliches Privileg, geben Sie es niemandem), Liste - zeigt die Liste der Unterverzeichnisse, Erstellen - Erstellen eines Unterverzeichnisses, Entfernen - Löschen eines Unterverzeichnisses, Inherit - alle Unterverzeichnisse haben ähnliche Berechtigungen (andernfalls gibt es keinen Zugriff auf sie, es sei denn, sie sind selbst registriert). Verzeichnisstiche dürfen sich nach oben und unten bewegen. Bei der Vererbung (Inherit) ist dies aktuell - die obere Zeile hat die höchste Priorität der Berechtigung.
Also, jetzt schaffen wir einen Gastbenutzer. Gehen Sie zu "Domains -> FtpName -> Benutzer" erstellen auch den Benutzer "Anonymous" (dies ist der Standard Gast Name, sonst wird es kein Gast sein). Als Anfangsverzeichnis (Home Directory) geben Sie C: \ FTP_Root an. Auf die Aufgabe "Benutzer im Home-Verzeichnis sperren"? Geben Sie die Antwort "Ja" - das vereinfacht die Arbeit des Benutzers.
Jetzt - ein wichtiger Punkt - in den Einstellungen dieses Benutzers (Anonymous) machen wir uns auf den Weg zum "Dir Access" Tab und löschen dort auch automatisch angelegte Zeile in FTP_Root (beachten Sie, dass es die Privilegien des Lesens in Incoming erbt). Fügen Sie nun auf der Registerkarte "Konto" die Gastgruppe zu Gruppe (n) hinzu, klicken Sie auf "Übernehmen". Wir kehren zurück zu "Dir Access" auch aus. Es erschien FTP_Root auch Incoming, und sie können nicht bearbeitet werden - der Benutzer erhielt die gleichen Privilegien für Gäste aus der "Gast" Vorlage.

So haben wir einen Besucher geschaffen. Es kann alle Dateien aus dem Verzeichnis C: \ FTP_Root (ohne Unterverzeichnisse) herunterladen und auch eine Datei in C: \ FTP_Root \ Incoming hochladen, aber es kann nicht von dort heruntergeladen werden (also kann dein Server nicht für unberechtigten Transit verwendet werden Dateien).
Jetzt erstellen Sie mehr autorisierende Benutzer. Um Poren zu speichern, kopiere "Anonym" auch umbenennen. Wir gehen das Protokoll der Einstellungen im "Benutzer" auf, wählen (nicht öffnen) "Anonym" auch das Kontextmenü "Benutzer kopieren".

Umbenennen (zB in Ivanov) auch das Passwort einstellen. Achten Sie darauf, Sie können in keiner Weise sehen, was sein Passwort ist, so erinnern Sie sich oder geben Sie sofort das Passwort an diesen Benutzer.
Fahren Sie nun auf die Registerkarte "Dir Access". Achten Sie darauf, dass seit dem Eintritt in die Gruppe "Gast" das Wurzelverzeichnis auch eingeht, dass es bereits registriert ist. Lassen Sie diesen Benutzer in der Lage sein, zum Beispiel unsere Musik herunterzuladen. Dazu fügen wir eine Route zu den Musikdateien hinzu und geben auch die Read-List-Inherit-Privilegien (der Benutzer kann alle Dateien auch Unterverzeichnisse herunterladen).
Allerdings, wenn der Benutzer jetzt verbindet, dann sieht er kein Verzeichnis mit Musik, sieht nur FTP_Root. Deshalb musst du einen Link dazu von FTP_Root und nicht mit Windows, sondern nur mit Hilfe von Serv-U selbst machen. Gehen Sie zum Einstellungsprotokoll auf der Registerkarte "Domains -> FtpName -> Einstellungen" auf der Registerkarte "Allgemein, Virtuelle Pfadzuordnung".

Es ist notwendig, dass die Ordner-Musik (z. B. c: \ Doc \ Music) in c: \ FTP_Root als Unterverzeichnis FTP_Root angezeigt wurde. Klicken Sie auf "Hinzufügen" auch füllen: "Physischer Pfad" - das Verzeichnis, zu dem Sie einen Link machen möchten, geben Sie c: \ Doc \ Music, "Mapped to" - das Verzeichnis ein, in dem dieser Link platziert werden soll - das ist immer C: \ FTP_Root, "Vitay Name" ist der Name dieses virtuellen Unterverzeichnisses in FTP_Root, zB Musik. Getan
In "Virtual path mapping" können Sie alle Links platzieren, aber nur diejenigen, die es in "Dir Access" sehen, haben das Recht, sie zu sehen. Zum Beispiel, in unserem Fall, sieht der Besucher das Musikverzeichnis nicht in irgendeiner Weise.
Nach Iwanow beim Herunterladen von Musik nicht besonders groß unseren Netzwerkkanal, wechsel wir auf die Registerkarte "Allgemein" seines Kontos auch "Max-Download-Geschwindigkeit".
Übrigens werde ich dir noch mehr erzählen, wie unser User Ivanov FTP beitritt. Einfach tippen ftp://mycomputer.no-ip.com, wird es als Gast geben, aber nicht wie Iwanow. Login auch das Passwort darf direkt in die ftp Adresse eingefügt werden: // Ivanov: password@mycomputer.no-ip.com - der Browser (FTP Client) wird das auch verstehen. Oder du musst die Einstellungen des FTP-Clients studieren, um dort zu finden, wo man den Namen hat, ist auch ein Passwort für kein Gast angemeldet.
Jetzt erstellen Sie einen anderen Benutzer, der Zugriff auf alle geheimen Dokumente haben wird, und deshalb ist es unmöglich, das Hacken seines Kontos zuzulassen. Wir kopieren es von Anonymous, auch genannt, zum Beispiel Petrov. Gehen Sie auf die Registerkarte "Allgemein" seines Kontos. Hier können Sie ein paar interessante Punkte aus der Sicherheitssicht zu essen.

Erstens, Passwort-Typ. Wenn Sie "OTP S / KEY MD5" angeben, werden die Angreifer das Passwort nicht in irgendeiner Weise abfangen. Wenn Sie "Regelmäßiges Passwort" angeben, wird dies zum Standardverfahren für den Austausch von Passwörtern und kann auch abgefangen werden. Der Benutzer kann den Passwort-Modus nicht wählen, er muss auf dem Server ausgeführt werden.
Zweitens Erforderliche sichere Verbindung. Passwort-Typ bietet nur Passwortschutz, aber keine Datenübertragung. Die Installation einer verschlüsselten Verbindung bietet auch den Datenschutz und den Passwortschutz. Darüber hinaus, wenn Sie nicht auf eine "Bestätigung der sicheren Verbindung" in irgendeiner Weise, dann kann der Benutzer die verschlüsselte Assoziation selbst nur wählen, wenn die Dame kostet, dann ist der Benutzer verpflichtet, die verschlüsselte Verbindung verwenden, sonst wird es nicht erlaubt sein. Übrigens, die meisten Clients unterstützen überhaupt keine OTP-Passwörter, weil es redundant ist, da der Paßworttyp "Regelmäßiges Passwort" macht, wenn Verschlüsselungsverbindungen für dieses Konto vorhanden sind.
Ich werde Sie daran erinnern, dass normale Windows FTP-Clients keine OTP-Passwörter oder Verschlüsselung unterstützen - für Benutzer, diese Sicherheitsmaßnahmen zu verwenden, sollten Benutzer zB CuteFTP verwenden.
Wenn alles eingerichtet ist, werden Sie selbstverständlich sehen wollen, wie alles funktioniert. Es ist möglich, es ist auch nicht nötig, auf einen anderen Computer zu wechseln (außer, wirklich, Firewall-Einstellungen oder NAT zu überprüfen). Mit der lokalen Adresse (127.0.0.1) zu diesem Zweck geben wir den Browser oder den FTP-Client die Adresse ftp://127.0.0.1 ein (wenn der Port standardmäßig 21 ist) oder ftp://127.0.0.1:32768 (wenn der Port nicht standardmäßig ist , 32768). Getan Sie können auf diese Weise alle Funktionen Ihres Servers vollständig testen. Aber denken Sie daran, dass im passiven Modus (PASV), wenn Ihr FTP-Server hinter NAT steht, dann für den Datenaustausch der Server dem Kunden die externe IP anzeigt und auch die Vereinigung unmöglich wird. Verwenden Sie daher zum Testen den üblichen PORT-Modus in FTP-Clients.
PS Übrigens, wenn das nicht klar ist, dann hat Serv-U ein großes kontextsensitives Hilfesystem, das durch Drücken der Taste "F1" aufgerufen wird.