{"id":7770,"date":"2012-05-29T17:22:37","date_gmt":"2012-05-29T15:22:37","guid":{"rendered":"https:\/\/www.gambaru.de\/blog\/?p=7770"},"modified":"2019-10-06T01:28:28","modified_gmt":"2019-10-05T23:28:28","slug":"vsftpd-und-openarena-konfiguration-eines-sicheren-ftp-servers-mit-ausschlieslich-anonymen-zugang","status":"publish","type":"post","link":"https:\/\/gambaru.de\/blog\/2012\/05\/29\/vsftpd-und-openarena-konfiguration-eines-sicheren-ftp-servers-mit-ausschlieslich-anonymen-zugang\/","title":{"rendered":"vsftpd und OpenArena: Konfiguration eines sicheren FTP-Servers mit ausschlie\u00dflich anonymen Zugang"},"content":{"rendered":"

Vor kurzem ergab sich die Gelegenheit einen FTP-Server aufzusetzen. F\u00fcr ein anderes Vorhaben abseits von linuxiuvat.de<\/a> brauchte ich zuerst nur einen OpenVPN-Server, da aber noch ausreichend Leistung zur Verf\u00fcgung stand, installierte ich zus\u00e4tzlich noch vsftpd<\/a>.<\/p>\n

Der FTP-Server eignet sich ideal, um PAK3-Dateien von meinem OpenArena-Server herunterladen zu k\u00f6nnen. Falls der Spiel-Client nicht kompatibel sein sollte, wird der Client automatisch beim Verbinden zum FTP-Server umgeleitet und l\u00e4dt von dort Patches, Karten, Texturen und neue Sounds herunter.<\/p>\n

Installation und Konfiguration<\/h2>\n

Vsftpd ist stark konfigurierbar und beherrscht noch viele weitere Optionen, die mit man vsftpd.conf<\/strong> einsehbar sind. Ein sicherer anonymer Zugang zum Herunterladen ohne Berechtigungen zum Dateiupload, l\u00e4sst sich mit wenigen Handgriffen so verwirklichen.<\/p>\n

aptitude install vsftpd<\/code>
\ndpkg-reconfigure vsftpd<\/code><\/p>\n

<\/code>
\nMit Hilfe von DebConf wird der FTP-Benutzer und das FTP-Wurzelverzeichnis festgelegt.<\/p>\n

    \n
  1. \n
      \n
    1. Den Systembenutzer \"ftp\" f\u00fcr vsftpd einrichten.<\/li>\n<\/ol>\n<\/li>\n<\/ol>\n

      \"\"<\/a><\/p>\n

        \n
      1. \n
          \n
        1. Das FTP-Wurzelverzeichnis definieren, aus dem der anonyme Benutzer nicht wechseln kann.<\/li>\n<\/ol>\n<\/li>\n<\/ol>\n

          \"\"<\/a><\/p>\n

          Die Standardeinstellungen kann man hier problemlos beibehalten.
          \nDie weitere Konfiguration befindet sich in \/etc\/vsftpd.conf<\/em>. Im Prinzip halten sich auch hier die Ver\u00e4nderungen in Grenzen. An dieser Stelle dokumentiere ich nur die Ver\u00e4nderungen zur Standardinstallation mit Debian Squeeze.<\/p>\n

          nopriv_user=ftpsecure<\/h3>\n

          Vsftpd verwendet einen weiteren unpriviliegerten und vollkommen isolierten Systembenutzer. In der Standardeinstellung ist das \"nobody\". Da dieser auch f\u00fcr andere Dienste oft verwendet wird, empfiehlt es sich aus Sicherheitsgr\u00fcnden noch einen weiteren, einzigartigen Systembenutzer anzulegen, z.B. ftpsecure.<\/p>\n

          adduser --system --no-create-home --disabled-login ftpsecure<\/code><\/p>\n

          <\/code>
          \nDer FTP-Server wird zwar mit Root-Rechten gestartet, sobald aber eine Verbindung mit dem Client hergestellt wird, startet der Kindprozess mit den unpriviliegerten Rechten von ftpsecure und ftp.<\/p>\n

          # Die Dateiberechtigungen sollen f\u00fcr den anonymen Benutzer immer mit ftp:ftp angezeigt werden
          \nhide_ids=YES
          \n# Das FTP-Wurzelverzeichnis l\u00e4sst sich mit dieser Variable \u00e4ndern, wenn man
          \n# nicht auf die DebConf-Methode zur\u00fcckgreifen m\u00f6chte.
          \n# anon_root=\/home\/ftpsecure
          \n# Maximale Anzahl an erlaubten gleichzeitigen Verbindungen. Entspricht bei
          \n# mir der maximal m\u00f6glichen Anzahl von Spielern auf dem OpenArena-Server.
          \nmax_clients=16
          \n# Wieviele Verbindungen pro IP sind erlaubt
          \nmax_per_ip=4<\/p><\/blockquote>\n

          Die gesamte vsftpd.conf sieht in meinem Fall so aus.<\/p>\n

          listen=YES
          \nanonymous_enable=YES
          \ndirmessage_enable=YES
          \nuse_localtime=YES
          \nxferlog_enable=YES
          \nconnect_from_port_20=YES
          \nnopriv_user=ftpsecure
          \nftpd_banner=Welcome to another FTP service.
          \nsecure_chroot_dir=\/var\/run\/vsftpd\/empty
          \npam_service_name=vsftpd
          \nrsa_cert_file=\/etc\/ssl\/private\/vsftpd.pem
          \nhide_ids=YES
          \nmax_clients=16
          \nmax_per_ip=4<\/p><\/blockquote>\n

          Abschlie\u00dfend l\u00e4sst sich mit mount --bind<\/code> das Datenverzeichnis von OpenArena noch einmal im FTP-Wurzelverzeichnis im Unterordner \/oa\/baseoa<\/em> nur lesbar einh\u00e4ngen. Um die Ver\u00e4nderung dauerhaft zu behalten, kann der Vorgang auch in \/etc\/fstab<\/em> festgeschrieben werden.<\/p>\n

          \/usr\/share\/games\/openarena\/baseoa       \/srv\/ftp\/oa\/baseoa      none     ro,bind        0       0<\/pre>\n
          Nach diesem Schema lassen sich weitere Verzeichnisse nur lesbar im FTP-Wurzelverzeichnis einh\u00e4ngen.<\/p>\n
          Einstellungen f\u00fcr OpenArena<\/h2>\n
          In der server.cfg von OpenArena kann man festlegen, ob der Download von Dateien erlaubt ist oder nicht.<\/p>\n
          sets sv_allowdownload 1<\/p><\/blockquote>\n
          Ist das Herunterladen wie in diesem Fall mit 1 gestattet, wird mit sv_dlURL<\/em> bestimmt, von welchem Web- oder FTP-Server der Client die Dateien beziehen soll, sofern sich seine Version von der des Servers unterscheidet. Der Vorgang ist auch als Fast Download bekannt und ein Feature, dass nach der Ver\u00f6ffentlichung des Quellcodes von Quake3 hinzugef\u00fcgt worden ist.<\/p>\n
          sv_dlURL \"ftp:\/\/123.123.123.123\/oa\"<\/p><\/blockquote>\n
          Dabei kann man den letzten Schr\u00e4gstrich nach dem Verzeichnis \"oa\" weglassen, da er automatisch durch den OpenArena-Server gesetzt wird. Im Verzeichnis \"oa\" auf dem FTP-Server muss das Unterverzeichnis baseoa erstellt werden, welches wiederum die PAK3-Dateien zum Spielen enth\u00e4lt.
          \nGibt man keine URL zum Herunterladen an, liefert der OpenArena-Server die Dateien nach der alten Quake3-Methode selbst aus, was sehr lange dauern kann. In neueren Versionen der ioquake3-Engine gibt es die M\u00f6glichkeit eine neue Variable zu definieren, welche die Download-Geschwindigkeit erh\u00f6ht. Folgender Wert setzt diese auf 100 Kb\/s pro Client fest.<\/p>\n
          sv_dlRate \"100\"<\/p><\/blockquote>\n
          Wichtig<\/strong>
          \nWer bei Debian und Ubuntu einzelne Custom Maps zum Download anbieten m\u00f6chte, muss diese bei OpenArena 0.8.8 im versteckten Verzeichnis \/var\/games\/openarena\/.openarena\/baseoa<\/em> ablegen, wo sich auch die server.cfg befinden kann, wenn man sich nicht f\u00fcr \/etc\/openarena-server\/<\/em> entschieden hat. Auf dem FTP-Server hingegen ver\u00e4ndert sich nichts und alle PAK3-Dateien liegen weiterhin im Verzeichnis baseoa.<\/p>\n","protected":false},"excerpt":{"rendered":"
          Vor kurzem ergab sich die Gelegenheit einen FTP-Server aufzusetzen. F\u00fcr ein anderes Vorhaben abseits von linuxiuvat.de brauchte ich zuerst nur einen OpenVPN-Server, da aber noch ausreichend Leistung zur Verf\u00fcgung stand, installierte ich zus\u00e4tzlich noch vsftpd. Der FTP-Server eignet sich ideal, um PAK3-Dateien von meinem OpenArena-Server herunterladen zu k\u00f6nnen. Falls der Spiel-Client nicht kompatibel sein sollte, … <\/p>\n
          \u201evsftpd und OpenArena: Konfiguration eines sicheren FTP-Servers mit ausschlie\u00dflich anonymen Zugang\u201c<\/span> weiterlesen<\/a><\/p>\n","protected":false},"author":1,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":[],"categories":[6],"tags":[53,108,144,218],"_links":{"self":[{"href":"https:\/\/gambaru.de\/blog\/wp-json\/wp\/v2\/posts\/7770"}],"collection":[{"href":"https:\/\/gambaru.de\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/gambaru.de\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/gambaru.de\/blog\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/gambaru.de\/blog\/wp-json\/wp\/v2\/comments?post=7770"}],"version-history":[{"count":2,"href":"https:\/\/gambaru.de\/blog\/wp-json\/wp\/v2\/posts\/7770\/revisions"}],"predecessor-version":[{"id":10686,"href":"https:\/\/gambaru.de\/blog\/wp-json\/wp\/v2\/posts\/7770\/revisions\/10686"}],"wp:attachment":[{"href":"https:\/\/gambaru.de\/blog\/wp-json\/wp\/v2\/media?parent=7770"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/gambaru.de\/blog\/wp-json\/wp\/v2\/categories?post=7770"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/gambaru.de\/blog\/wp-json\/wp\/v2\/tags?post=7770"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}