VsFTP installieren: Unterschied zwischen den Versionen

Aus
KKeine Bearbeitungszusammenfassung
K (kategorisiert)
 
(20 dazwischenliegende Versionen von 3 Benutzern werden nicht angezeigt)
Zeile 1: Zeile 1:
[[Category:FTP]][[Category:IPKG-Apps]]
== Ziel ==
== Ziel ==
Einen alternativen und flexiblen FTP Dienst auf der Synology Disk Station installieren. Wahlweise mit nur Anonymen Zugang oder Anonymen und Authentifizierten Zugang. Für Benutzer können sogenannte Homeverzeichnisse eingerichtet werden. In diesen Verzeichnissen können sich die Benutzer eingeschränkt oder uneingeschränkt bewegen bzw. mit schreib –und leserechten ausgestattet werden.
Einen alternativen und flexiblen FTP Dienst auf der Synology Disk Station installieren. Wahlweise mit nur Anonymen Zugang oder Anonymen und Authentifizierten Zugang. Für Benutzer können sogenannte Homeverzeichnisse eingerichtet werden. In diesen Verzeichnissen können sich die Benutzer eingeschränkt oder uneingeschränkt bewegen bzw. mit schreib –und leserechten ausgestattet werden.


== Zielgruppe ==
== Zielgruppe ==
Zeile 53: Zeile 53:
</pre>
</pre>


*Wenn die Anmeldung an der Disk-Station erfolgreich war, erscheint die sogenannte Busybox von Linux.
*Wenn die Anmeldung an der Disk-Station erfolgreich war, erscheint die sogenannte shell von Linux.
<pre>
<pre>
BusyBox v1.1.0 (2008.09.19-12:36+0000) Built-in shell (ash)
BusyBox v1.1.0 (2008.09.19-12:36+0000) Built-in shell (ash)
Enter ´help´ for a list of built-in commands.
Enter ´help´ for a list of built-in commands.


DiskStation> _
DiskStation> _  
</pre>
</pre>
''Tipp:''
Sie können die Befehle oder Befehlsketten, die Sie an der Konsole absetzen ganz bequem kopieren und einfügen. Markieren Sie dazu hier den eigentlichen Befehltext ohne "DiskStation>". Also nur "pwd". Wenn Sie per Konsole (Telnet) angemeldet sind, das Konsolenfenster auswählen, rechten Mausklick und im Kontextmenü "Einfügen" auswählen.
Der Befehlstext in der Zwischenablage kopiert sich auf die Konsole, und Sie können diesen mit "Enter" abschicken. Bei kurzen Befehlen macht dies keinen Sinn. Aber längeren Befehlsketten kann das schon eine Zeitersparnis bedeuten.
*Zunächst stellen Sie fest, in welchem Verzeichnis Sie sich befinden.
*Zunächst stellen Sie fest, in welchem Verzeichnis Sie sich befinden.
<pre>
<pre>
Zeile 102: Zeile 107:
DiskStation> _
DiskStation> _
</pre>
</pre>
*In diesem Beispiel handelt es sich um eine DS-101g+. Sie besuchen nun mit einem Browser Ihrer Wahl die Seite http://ipkg.nslu2-linux.org/feeds und Sie navigieren entsprechend Ihrer Maschine in optware/…/cross/stable. Dort suchen Sie nach dem vsFTP Paket. Die aktuelle Version für dieses Beispiel ist die Datei „vsftpd_2.0.7-1_powerpc.ipk“
*In diesem Beispiel handelt es sich um eine DS-101g+. Sie besuchen nun mit einem Browser Ihrer Wahl die Seite http://ipkg.nslu2-linux.org/feeds und Sie navigieren entsprechend Ihrer Maschine in optware/…/cross/stable. Dort suchen Sie nach dem vsFTP Paket. Die aktuelle Version für dieses Beispiel ist die Datei „vsftpd_2.3.4-1_powerpc.ipk“  


*Wir laden nun die Datei vom Server
*Wir laden nun die Datei vom Server
<pre>
<pre>
DiskStation> wget http://ipkg.nslu2-linux.org/feeds/optware/ds101g/cross/stable/vsftpd_2.0.7-1_powerpc.ipk
DiskStation> wget http://ipkg.nslu2-linux.org/feeds/optware/ds101g/cross/stable/vsftpd_2.3.4-1_powerpc.ipk
....
....
DiskStation> _
DiskStation> _
Zeile 113: Zeile 118:
<pre>
<pre>
DiskStation> ls
DiskStation> ls
vsftpd_2.0.7-1_powerpc.ipk
vsftpd_2.3.4-1_powerpc.ipk
DiskStation> _
DiskStation> _
</pre>
</pre>
*Sie können jetzt mit der Installation beginnen. Während der Installation werden Sie befragt, ob Sie die vsftpd.conf Datei in ihrem Ursprung belassen wollen. Sie bestätigen mit „n“ für Nein.
*Sie können jetzt mit der Installation beginnen. Während der Installation werden Sie befragt, ob Sie die vsftpd.conf Datei in ihrem Ursprung belassen wollen. Sie bestätigen mit „n“ für Nein.
<pre>
<pre>
DiskStation>  ipkg install vsftpd_2.0.7-1_powerpc.ipk
DiskStation>  ipkg install vsftpd_2.3.4-1_powerpc.ipk
Installing vsftpd (2.0.7-1) to /opt/...
Installing vsftpd (2.0.7-1) to /opt/...
Installing vsftpd (2.0.7-1) to /opt/...
Installing vsftpd (2.0.7-1) to /opt/...
Zeile 148: Zeile 153:
==== Mit SSL Unterstützung: ====
==== Mit SSL Unterstützung: ====


===== Vorrausetzungen/Vorbereitungen =====
----


===== Voraussetzungen/Vorbereitungen =====


*'''Sie haben die Schritte im Abschnitt "ohne SSL Unterstützung" durchgeführt.'''
*'''Sie haben die Schritte im Abschnitt "ohne SSL Unterstützung" durchgeführt.'''
*Sie sind mit Telnet oder Putty auf der DS angemeldet.
*Sie sind mit Telnet oder Putty auf der DS angemeldet.
*Sie haben das OpenSSL Packet installiert (Durchführung wird in diesen Abschnitt erläutert).
*Sie haben das OpenSSL Packet installiert (Durchführung wird in diesen Abschnitt erläutert).
*Sie verfügen über das für Ihre Architektur bestimmte vsftpd [[#Glosar|binary]] mit kompilierter SSL-Unterstützung (Quelle: [http://sourceforge.net/projects/synonassource/files/vsftpd/ hier]). '''Die Quelle beinhaltet z.Zt. nur die Binary für einen ppc Prozessor !!!'''
*Sie verfügen über das für Ihre Architektur bestimmte vsftpd [[#Glosar|Binary]] mit kompilierter SSL-Unterstützung (Quelle: [http://sourceforge.net/projects/synonassource/files/vsftpd/ hier]). '''Die Quelle beinhaltet z.Zt. nur die Binary für einen ppc Prozessor !!!'''
 
 
----


===== Installation von OpenSSL =====
===== Installation von OpenSSL =====
----


Der Paketmanager soll sich zunächst eine aktuelle Liste der verfügbaren Pakete holen.
Der Paketmanager soll sich zunächst eine aktuelle Liste der verfügbaren Pakete holen.
Zeile 267: Zeile 265:


===== Vsftpd Upgrade mit SSL Unterstützung =====
===== Vsftpd Upgrade mit SSL Unterstützung =====
----


[[Notwendige Schritte:]]
[[Notwendige Schritte:]]
*Speicherpfad anlegen und in Verzeichnis wechseln.
*Speicherpfad anlegen und in Verzeichnis wechseln.
*Vsftpd Archiv mit SSL Unterstützung laden.
*Vsftpd Archiv mit SSL Unterstützung laden.
*Archiv entpacken und die alte Binary gegen die neue ersetzen.  
*Archiv entpacken und die alte [[#Glosar|Binary]] gegen die neue ersetzen.  


<pre>
<pre>
Zeile 309: Zeile 306:
http://sourceforge.net/projects/synonassource/files/vsftpd nach der aktuellen Version und passen den Pfad für den Befehl wget (.../vsftpd/[Archiv]) entsprechend an.
http://sourceforge.net/projects/synonassource/files/vsftpd nach der aktuellen Version und passen den Pfad für den Befehl wget (.../vsftpd/[Archiv]) entsprechend an.


Nun entpacken wir das Archiv und ersetzen die alte vsftpd Binary gegen die neue aus dem Archiv. Vorher sollten Sie die alte Binary umbenennen.
Nun entpacken wir das Archiv und ersetzen die alte vsftpd [[#Glosar|Binary]] gegen die neue aus dem Archiv. Vorher sollten Sie die alte [[#Glosar|Binary]] umbenennen.


<pre>
<pre>
Zeile 322: Zeile 319:
</pre>
</pre>


Bitte wählen Sie entsprechend Ihrer Architektur den Ordner aus der die binary kopiert werden soll. In diesem Beispiel handelt es sich um eine PowerPC Architektur und deshalb wird die binary aus dem Ordner ppc kopiert.  
Bitte wählen Sie entsprechend Ihrer Architektur den Ordner aus der die [[#Glosar|Binary]] kopiert werden soll. In diesem Beispiel handelt es sich um eine PowerPC Architektur und deshalb wird die [[#Glosar|Binary]] aus dem Ordner ppc kopiert.  
    
    
<pre>
<pre>
Zeile 328: Zeile 325:
DiskStation>
DiskStation>
</pre>
</pre>
...


----
----
Zeile 372: Zeile 367:
*Wenn dies der Fall ist, müssen Sie den Editormodus verlassen und die Datei mit den Änderungen abspeichern. Dazu drücken Sie die <Esc> Taste. Anschließend die<br>Tastenkombination < Shift + : > und geben den Befehl wq ein. Das ganze mit der Taste <Enter> abschließen.
*Wenn dies der Fall ist, müssen Sie den Editormodus verlassen und die Datei mit den Änderungen abspeichern. Dazu drücken Sie die <Esc> Taste. Anschließend die<br>Tastenkombination < Shift + : > und geben den Befehl wq ein. Das ganze mit der Taste <Enter> abschließen.


*Damit nicht 2 Dienste auf einem Port laufen müssen Sie sich vergewissern, dass der mitgelieferte FTP Dienst deaktiviert ist. Dazu rufen Sie den Station-Manager im Browser auf, navigieren zu Netzwerkdienste/FTP und überprüfen die Option „FTP Service aktivieren“.
*Damit nicht 2 Dienste auf einem Port laufen, müssen Sie sich vergewissern, dass der mitgelieferte FTP Dienst deaktiviert ist. Dazu rufen Sie den Station-Manager im Browser auf, navigieren zu Netzwerkdienste/FTP und überprüfen die Option „FTP Service aktivieren“.


*Sie können jetzt die Disk-Station oder den „inetd“ Prozess neustarten. Mit der zweiten Variante nehmen Sie wieder Telnet zur Hilfe.
 
'''WICHTIG:'''
'''Der "inetd" Daemon muss neugestartet werden. Sonst wird die Konfiguration nicht übernommen!'''
<pre>
<pre>
DiskStation> ps | grep inetd
DiskStation> kill -HUP `pidof inetd`
1325 root 680 S /usr/sbin/inetd
2766 root 220 S grep inetd
DiskStation> _
DiskStation> _
</pre>
</pre>
*In diesem Beispiel ist die ProzessID für den Prozess inetd "1325". Bitte passen Sie Ihre ProzessID entsprechend an und starten inetd neu.
 
<pre>
*Nun ist es an der Zeit vsFTP auf Funktion zu testen. Sie können dies lokal überprüfen.
DiskStation> kill –HUP 1325
DiskStation> _
</pre>
*vsFTP ist nun installiert und sollte bereits laufen. Sie können dies lokal überprüfen.
<br>
<br>
''Syntax:''<br>
''Syntax:''<br>
Zeile 400: Zeile 392:
===== Selbstsigniertes X.509 Zertifikat erstellen =====
===== Selbstsigniertes X.509 Zertifikat erstellen =====


----


'''Vorwort:'''
'''Vorwort:'''


Damit wir einem FTP-Client später den verschlüsselten Login bzw. verschlüsselten Datentransfer ermöglichen können, müssen drei Schritte unternommen werden.
Damit Sie einem FTP-Client später den verschlüsselten Login bzw. verschlüsselten Datentransfer ermöglichen können, sind mehrere Schritte notwendig.
 
# Kennwortgeschütztes Schlüsselpaar für ein Root Zertifikat erstellen (Public/Private Key). Mit diesem Schlüssel werden neue Zertifikate an der [[#Glosar|CA]] signiert. Dieser Schlüssel sollte verborgen und geheim bleiben.
# Zertifikatsanforderung ([[#Glosar|CSR]]) für das Root Zertifikat an die Zertifizierungsinstanz ([[#Glosar|CA]]).
# Das X.509 Root Zertifikat an der Zertifizierungsinstanz ([[#Glosar|CA]]) erstellen und signieren.
# Neues Schlüsselpaar für das Client Zertifikat erstellen (Public/Private Key). Diesen RSA Schlüssel (Private Key) geben Sie an die FTP-Clients weiter.
# Zertifikatsanforderung ([[#Glosar|CSR]]) für das Client Zertifikat an die Zertifizierungsinstanz ([[#Glosar|CA]]).
# Das X.509 Client Zertifikat an der Zertifizierungsinstanz ([[#Glosar|CA]]) erstellen und signieren. Dieses Zertifikat geben Sie mit dem extrahierten privaten RSA Schlüssel (siehe nächsten Schritt) an die FTP-Clients weiter.
# Privaten RSA Schlüssel in eine .key Datei extrahieren.
# RSA Schlüssel und Zertifikat für vsftp in eine Datei schreiben.


# Schlüsselpaar erstellen (Public/Private Key).
# Mit dem öffentlichen Schlüssel und den Parametern des Schlüsselinhabers an der CA (Certificate Authority) ein CSR (Certificate Signing Request) erstellen.
# Aus der Key-Datei und der CSR-Datei das X.509 Zertifikat erstellen.


Wenn Sie an der DS nicht angemeldet sind, dann melden Sie sich bitte jetzt z.B. mit Telnet an.  
Wenn Sie an der DS nicht angemeldet sind, dann melden Sie sich bitte jetzt z.B. mit Telnet an.  
Zeile 422: Zeile 419:
</pre>
</pre>


[[Notwendige Schritte:]]
Sie wechseln bitte in das Verzeichnis /etc/ssl und erstellen den Ordner "newcerts", erstellen die Datei "index.txt" und die Datei "serial".  
# Sie wechseln bitte in das Verzeichnis cd /etc/ssl.
Anschließend erstellen Sie das Schlüsselpaar für das Root Zertifikat in den Ordner /private. Dieser Schlüssel wird mit einem Passwort geschützt. Für dieses Beispiel wird ein RSA Schlüssel mit 2048 Bit erstellt.   
# Erstellen den Ordner "newcerts".
# Erstellen die Datei "index.txt".
# Erstellen die Datei "serial" mit dem Inhalt 01.
# Anschließend erstellen Sie das Schlüsselpaar in den Ordner /private. Für dieses Beispiel wird ein RSA Schlüssel mit 2048 Bit erstellt.   


<pre>
<pre>
DiskStation> cd /etc/ssl
DiskStation> cd /etc/ssl
DiskStation> mkdir newcerts
DiskStation> mkdir -p newcerts
DiskStation> touch index.txt
DiskStation> touch index.txt
DiskStation> echo -ne '01' > serial
DiskStation> touch serial


DiskStation> openssl genrsa -out private/cakey.pem 2048
DiskStation> openssl genrsa -des3 -out private/caRoot.key 2048
Generating RSA private key, 2048 bit long modulus
Generating RSA private key, 2048 bit long modulus
.......................................................................................+++
...............................+++
.........+++
................+++
e is 65537 (0x10001)
e is 65537 (0x10001)
Enter pass phrase for private/caRoot.key:
Verifying - Enter pass phrase for private/caRoot.key:
DiskStation>
DiskStation>
</pre>
</pre>


Erstellen Sie ein neues Root Zertifikat mit z.B. einem Jahr Gültigkeit. Beantworten Sie die Fragen wie im Beispiel unten.
Erstellen Sie die Zertifikatsanforderung für das neue Root Zertifikat. Geben Sie das vom letzten Schritt festgelegte Passwort ein und beantworten Sie die Fragen wie im Beispiel unten. Optional kann hier bei "A challenge password" für jede Verbindungsanforderung noch ein Passwort mitgegeben werden. In diesem Beispiel ist das Kennwort und "An optional company name" leer. 
   
   
<pre>
<pre>
DiskStation> openssl req -new -x509 -days 365 -key private/cakey.pem -out cacert.pem
DiskStation> openssl req -new -key private/caRoot.key -out ca.csr
Enter pass phrase for private/caRoot.key:
You are about to be asked to enter information that will be incorporated
You are about to be asked to enter information that will be incorporated
into your certificate request.
into your certificate request.
Zeile 460: Zeile 456:
Organizational Unit Name (eg, section) []:
Organizational Unit Name (eg, section) []:
Common Name (eg, YOUR name) []: 192.168.170.2
Common Name (eg, YOUR name) []: 192.168.170.2
Email Address []: trashme775@unitbox.de
Email Address []:trashme775@unitybox.de
 
Please enter the following 'extra' attributes
to be sent with your certificate request
A challenge password []:
An optional company name []:
DiskStation>
</pre>
 
Signieren Sie das neue Root Zertifikat mit z.B. einen Jahr Gültigkeit. Geben Sie dafür das Passwort ein, das Sie zuerst festgelegt haben.
 
<pre>
DiskStation> openssl x509 -days 365 -signkey private/caRoot.key -in ca.csr -req -out newcerts/Root.crt
Signature ok
subject=/C=DE/ST=NRW/L=Hamm/O=Mustermann ltd/CN=192.168.170.2/emailAddress=trashme775@unitybox.de
Getting Private key
Enter pass phrase for private/caRoot.key:
DiskStation>
</pre>
 
Erstellen Sie das neue Schlüsselpaar für das Client Zertifikat. Dieses Schlüsselpaar kann, so wie bei dem Root Zertifikat auch, mit einem Passwort belegt werden.
 
<pre>
DiskStation> openssl genrsa -out private/caClient.key 2048
Generating RSA private key, 2048 bit long modulus
............+++
.......+++
e is 65537 (0x10001)
DiskStation>
DiskStation>
</pre>
</pre>


Erstellen Sie einen Antrag bzw. einen CSR (Certificate Signing Request) für ein neues Client Zertifikat. Beantworten Sie die Fragen wie im Beispiel für das Root-Zertifikat.
Erstellen Sie einen Antrag bzw. einen CSR ([[#Glosar|Certificate Signing Request]]) für ein neues Client Zertifikat. Beantworten Sie die Fragen wie im Beispiel für das Root-Zertifikat. Dabei ist wichtig, dass "Common Name" übereinstimmt mit "Common Name" aus dem Root Zertifikat. Optional kann hier auch für jede Verbindungsanfoderung ein Passwort mitgegeben werden (A challenge password). Beim Test mit FlashFXP wurde ich allerdings nie danach gefragt!? Vielleicht wird dieses abgefragt, wenn das Zertifikat für z.B. VPN Verbindungen genutzt wird.  


<pre>
<pre>
DiskStation> openssl req -new -key private/cakey.pem -out caReq.pem
DiskStation> openssl req -new -key private/caClient.key -out client.csr
You are about to be asked to enter information that will be incorporated
You are about to be asked to enter information that will be incorporated
into your certificate request.
into your certificate request.
Zeile 475: Zeile 498:
If you enter '.', the field will be left blank.
If you enter '.', the field will be left blank.
-----
-----
Country Name (2 letter code) [AU]: DE
Country Name (2 letter code) [AU]:DE
State or Province Name (full name) [Some-State]: NRW
State or Province Name (full name) [Some-State]:NRW
Locality Name (eg, city) []: Hamm
Locality Name (eg, city) []:Hamm
Organization Name (eg, company) [Internet Widgits Pty Ltd]: Mustermann ltd
Organization Name (eg, company) [Internet Widgits Pty Ltd]:Mustermann ltd
Organizational Unit Name (eg, section) []:
Organizational Unit Name (eg, section) []:
Common Name (eg, YOUR name) []: 192.168.170.2
Common Name (eg, YOUR name) []:192.168.170.2
Email Address []: trashme775@unitbox.de
Email Address []:trashme775@unitybox.de
 
Please enter the following 'extra' attributes
Please enter the following 'extra' attributes
to be sent with your certificate request
to be sent with your certificate request
Zeile 489: Zeile 513:
</pre>
</pre>


Signieren Sie das neue Client Zertifikat.
Signieren Sie das neue Client Zertifikat an der [[#Glosar|CA]]. Geben Sie dazu das erste festgelegte Passwort ein.


<pre>
<pre>
DiskStation> openssl ca -keyfile private/cakey.pem -in caReq.pem -out ClientCert.pem
DiskStation> openssl x509 -days 365 -CA newcerts/Root.crt -CAkey private/caRoot.key -set_serial 01 -in client.csr -req -out newcerts/client.pem
Using configuration from 
Signature ok
Error opening CA certificate ./demoCA/cacert.pem
subject=/C=DE/ST=NRW/L=Hamm/O=Mustermann ltd/OU=192.168.170.2/CN=192.168.170.2/e
3982:error:02001002:system library:fopen:No such file or directory:bss_file.c:278:fopen('./demoCA/cacert.pem','r')
mailAddress=trashme775@unitybox.de
3982:error:20074002:BIO routines:FILE_CTRL:system lib:bss_file.c:280:
Getting CA Private Key
unable to load certificate
Enter pass phrase for private/caRoot.key:
DiskStation>
</pre>
</pre>


Wenn Sie diese Fehlermeldung erhalten sollten, dann müssen Sie die Datei "openssl.cnf" bearbeiten. Vor dem bearbeiten sollten Sie sich eine Kopie der Datei erstellen.
Das Client Zertifikat sollte jetzt erstellt und signiert sein. Schauen wir uns nun mal die Inhalte auf dem Pfad /etc/ssl, /etc/ssl/newcerts und /etc/ssl/private an.


<pre>
<pre>
DiskStation> cp /opt/share/openssl/openssl.cnf /opt/share/openssl/openssl.cnf.backup
DiskStation> ls -l
DiskStation> vi /opt/share/openssl/openssl.cnf
 
-rw-r--r--    1 root    root        1106 Feb 29 23:06 Client.csr
-rw-r--r--    1 root    root        1106 Feb 29 22:59 ca.csr
-rw-r--r--    1 root    root            0 Feb 29 22:52 index.txt
drwxr-xr-x    2 root    root        4096 Feb 29 20:08 newcerts
drwxr-xr-x    2 root    root        4096 Feb 29 23:02 private
-rw-r--r--    1 root    root            0 Feb 29 22:52 serial
 
DiskStation> cd newcerts
DiskStation> ls -l
 
-rw-r--r--    1 root    root        1306 Feb 29 23:18 Root.crt
-rw-r--r--    1 root    root        1314 Feb 29 23:24 client.pem
 
DiskStation> cd ../private
DiskStation> ls -l
 
-rw-r--r--    1 root    root        1675 Feb 29 23:18 caClient.key
-rw-r--r--    1 root    root        1743 Feb 29 23:16 caRoot.key
 
</pre>
</pre>


Navigieren Sie mit den Cursortasten in die Zeile in der "dir            = ./demoCA              # Where everything is kept" steht.
Sie erstellen bitte eine private Key Datei, die wir mit der client.pem Datei weiter geben können, um einen FTP Clienten zu authentifizieren.
Drücken Sie bitte die Taste "i" um in den Editiermodus zu gelangen und ändern diese Zeile bitte von:
Bitte vorher wieder in das Verzeichnis /etc/ssl wechseln.


<pre>
<pre>
dir            = ./demoCA              # Where everything is kept
DiskStation> cd /etc/ssl
DiskStation> openssl rsa -in private/caClient.key -out private/client.key
writing RSA key
DiskStation>
</pre>
</pre>


in
Damit vsftp das Zertifikat und den RSA Schlüssel aus einer einzigen Datei lesen kann, müssen die client.pem und die caClient.key Datei zusammengefügt werden.


<pre>
<pre>
dir            = ./             # Where everything is kept
DiskStation> cat newcerts/client.pem private/caClient.key > vsftpd.pem
</pre>  
</pre>


Drücken Sie die "ESC"-Taste um den Editiermodus zu verlassen. Schreiben Sie ":wq" und drücken bitte die Enter-Taste.
Schlüssel Dateien bzw. die Schlüssel Datei für das signieren neuer Zertifikte sollte nur vom root lesbar sein. Dazu verändern Sie die Rechte an dem Verzeichnis /private.


Wiederholen Sie bitte den letzten Befehl für openssl.
<pre>
DiskStation> chmod 700 private
DiskStation> dir
-rw-r--r--    1 root    root        1106 Feb 29 23:20 Client.csr
-rw-r--r--    1 root    root        1086 Feb 29 23:17 ca.csr
-rw-r--r--    1 root    root            0 Feb 29 22:52 index.txt
drwxr-xr-x    2 root    root        4096 Feb 29 23:23 newcerts
drwx------    2 root    root        4096 Feb 29 23:44 private
-rw-r--r--    1 root    root            0 Feb 29 22:52 serial
-rw-r--r--    1 root    root        2989 Feb 29 23:46 vsftpd.pem
</pre>
 
Zu guter letzt kopieren wir die .key und die .pem Datei für den FTP-Clients an einen erreichbaren Ort (z.B. SambaShare /public).


<pre>
<pre>
DiskStation> openssl ca -keyfile private/cakey.pem -in caReq.pem -out ClientCert.pem
DiskStation> cp newcerts/client.pem /volume1/public
Using configuration from /opt/share/openssl/openssl.cnf
DiskStation> cp private/client.key /volume1/public
Check that the request matches the signature
</pre>
Signature ok
 
Certificate Details:
Wie Sie den FTP-Clienten für SSL-Verschlüsselung einrichten wird im Kapitel "FTP-Client" beschrieben. 
        Serial Number: 1 (0x1)
 
        Validity
==== Anonymen Zugang einrichten ====
            Not Before: Feb 26 21:29:26 2012 GMT
 
            Not After : Feb 25 21:29:26 2013 GMT
'''Anmerkung:'''
        Subject:
Wir beginnen mit der einfachsten und zugleich unsichersten Form der Verbindung, der Anonymen ohne Passwort. In diesem Abschnitt wird Ihnen ausserdem folgendes gezeigt:  
            countryName              = DE
* Gastzugang ohne Passwort, eingesperrt im Homeverzeichnis [[#Glosar|(chroot-Jail)]], nur mit Leserecht einrichten.
            stateOrProvinceName      = NRW
* Gastzugang mit Passwort, eingesperrt im Homeverzeichnis [[#Glosar|(chroot-Jail)]], mit schreibrecht in einem Upload-Ordner unterhalb der [[#Glosar|chroot-Jail]] einrichten.
            organizationName          = Mustermann ltd
* Gastzugang eine Verschlüsselte Verbindung anbieten oder fordern.
            commonName                = 192.168.170.2
* Gastzugang individuell eingehängte Ordner zur Verfügung stellen.
            emailAddress              = trashme775@unitybox.de
        X509v3 extensions:
            X509v3 Basic Constraints:
                CA:FALSE
            Netscape Comment:
                OpenSSL Generated Certificate
            X509v3 Subject Key Identifier:
                AE:02:25:B9:48:AC:5F:D3:E0:5B:81:B8:16:3E:6F:01:DE:6D:49:81
            X509v3 Authority Key Identifier:
                keyid:AE:02:25:B9:48:AC:5F:D3:E0:5B:81:B8:16:3E:6F:01:DE:6D:49:81
                DirName:/C=DE/ST=NRW/L=Hamm/O=Mustermann ltd/CN=192.168.170.2/em
                DirName:/C=DE/ST=NRW/L=Hamm/O=Mustermann ltd/CN=192.168.170.2/emailAddress=trashme775@unitybox.de
                serial:E6:24:9A:3F:F6:56:C7:A5


Certificate is to be certified until Feb 25 21:29:26 2013 GMT (365 days)
Sofern Sie nicht an der Konsole angemeldet sind, melden Sie sich jetzt bitte mit Telnet oder SSH an.
Sign the certificate? [y/n]:y
Zunächst müssen Sie sich entscheiden, an welcher Stelle im System der anonyme Benutzer landen soll, wenn dieser sich mit einem FTP-Client anmeldet. Über welchen Benutzer sollen die Rechte eingeräumt werden. Da vsftp per Default alle anonymen Verbindungen über das Systemkonto "ftp" abhandelt. Sofern über die Option "ftp_username" nichts anderes definiert ist (Dazu später mehr). Schwieriger wird es, wenn sich ein Benutzerkonto wie "ftp" nicht lokal anmelden darf bzw. kein Homeverzeichnis für diesen Benutzer existiert. Das ist eine der häufigen Fehlerquellen, wenn Verbindungen erst garnicht zustande kommen.


Wir schauen uns einfach mal einen Ausschnitt aus der Datei an, in der die lokalen Benutzer definiert sind. Das ist die passwd Datei in /etc.


1 out of 1 certificate requests certified, commit? [y/n]y
<pre>
Write out database with 1 new entries
DiskStation> cat /etc/passwd
Data Base Updated
root:x:0:0:root:/root:/opt/bin/bash
Ioot:x:0:0:root:/root:/bin/ash
lp:x:4:7:lp:/var/spool/lpd:/sbin/nologin
ftp:x:21:21:Anonymous FTP User:/nonexist:/sbin/nologin
smmsp:x:25:25:Sendmail Submission User:/var/spool/clientmqueue:/sbin/nologin
nobody:x:1023:1023:nobody:/home:/sbin/nologin
admin:x:1024:100:System default user:/volume1/@database:/bin/sh
guest:x:1025:100:Guest:/nonexist:/bin/sh
DiskStation>
DiskStation>
</pre>
</pre>


Das Zertifikat wurde erfolgreich erstellt. Schauen wir uns nun mal den Inhalt auf dem Pfaden /etc/ssl, /etc/ssl/newcerts und /etc/ssl/private an.
Wie Sie sehen, ist für den Benutzer "ftp" weder ein Homeverzeichnis (/nonexist) noch eine Shell definiert (/sbin/nologin). Aus Sicherheitsgründen weichen wir hier aber vom Standard ab, und arbeiten mit dem Benutzer "nobody" und einer neuen Gruppe "ftpuser". Legen Sie bitte die Gruppe "ftpuser" oder eine andere Gruppe nach belieben an. Fügen Sie den Benutzer "nobody" der Gruppe "ftpuser" hinzu.


<pre>
<pre>
DiskStation> addgroup ftpuser nobody
DiskStation>
</pre>
In diesem Beispiel wird der Benutzer "nobody" seinen Arbeitsbereich auf dem Pfad /volume1/ftp/nobody finden. Bitte legen Sie den Benutzer jetzt mit seinem Homeverzeichnis ohne Passwort an und ersetzen die Pfadangabe für das Homeverzeichnis nach belieben.


DiskStation> ls -l
<pre>
DiskStation> adduser -h /volume1/ftp/nobody -s /sbin/nologin -G ftpuser -g "Anonymner FTP-Login" -D nobody
DiskStation>
</pre>
Unter umständen kann es sein, dass Sie nach dem Versuch den Benutzer anzulegen, diese Fehlermeldung bekommen: adduser: nobody: login already in use.
Dann ist dieser Benutzer bereits angelegt. Wenn der Benutzer allerdings kein Homeverzeichnis hat, müsste dieser entweder manuell mit dem vi Editor hinzugefügt werden. Oder Sie löschen den Benutzer und legen ihn erneut an. Dieses Beispiel beschreibt die 2. Variante.


-rw-r--r--    1 root    root        1041 Feb 26 22:28 caReq.pem
<pre>
-rw-r--r--    1 root    root        1606 Feb 26 22:18 cacert.pem
DiskStation> deluser nobody
-rw-r--r--    1 root    root          111 Feb 26 22:29 index.txt
deluser: nobody: User could not be removed from /etc/gshadow
-rw-r--r--    1 root    root          21 Feb 26 22:29 index.txt.attr
DiskStation> adduser -h /volume1/ftp/nobody -s /sbin/nologin -G ftpuser -g "Anonymner FTP-Login" -D nobody
-rw-r--r--    1 root    root            0 Feb 26 22:26 index.txt.old
DiskStation>
-rw-r--r--   1 root    root        4962 Feb 26 22:29 ClientCert.pem
</pre>
drwxr-xr-x    2 root    root        4096 Feb 26 22:29 newcerts
drwxr-xr-x    2 root    root        4096 Feb 26 22:11 private
-rw-r--r--    1 root    root            3 Feb 26 22:29 serial
-rw-r--r--    1 root    root            2 Feb 26 22:25 serial.old


DiskStation> cd newcerts
Die Meldung "deluser: nobody: User could not be removed from /etc/gshadow" können Sie getrost ignorieren. Gshadow gibt es in dieser Systemumgebung nicht. Wo nix ist, kann auch nix entfernt werden. Sollte ausserdem die Meldung "adduser: /volume1/ftp/nobody: File exists" auftauchen, dann ist das Homeverzeichnis bereits angelegt. Ein kurzer Blick in die "passwd" Datei und in die "group" Datei sollte Ihnen die Gewissheit liefern, dass der Benutzer und die Gruppe angelegt wurde.
DiskStation> ls -l
 
-rw-r--r--    1 root    root        4962 Feb 26 22:29 01.pem
 
DiskStation> cd ../private
DiskStation> ls -l
 
-rw-r--r--    1 root    root        1675 Feb 27 00:17 cakey.pem


<pre>
DiskStation> cat /etc/passwd
...
lp:x:7:lp
ftp:x:21:ftp
smmsp:x:25:smmsp,admin
nobody:x:1038:101:Anonymner FTP-Login:/volume1/ftp/nobody:/sbin/nologin
...
DiskStation> cat /etc/group
lp:x:7:lp
ftp:x:21:ftp
smmsp:x:25:smmsp,admin
users:x:100:
ftpuser:x:101:nobody
...
DiskStation>
</pre>
</pre>


Sie erstellen bitte eine private Key Datei, die wir mit der ClientCert.pem Datei weiter geben können um einen FTP Clienten zu authentifizieren.
Als nächstes bearbeiten Sie die Konfiguratonsdatei für vsftp. Sie haben die Wahl, ob Sie die Datei in einen Linux konformen Editor wie z.B. Notepad++ bearbeiten und anschließend auf die DS laden. Achten Sie bitte darauf, dass Sie das Zeilenende unter "Bearbeiten>Zeilenende>Konvertiere zu Unix (LF)" auf LF gestellt haben (Notepad++). Oder Sie bearbeiten die Datei mit dem vi Editor an der Konsole. Ist die Datei extern bearbeitet worden und liegt z.B. in dem Samba-Share /public, dann kopieren Sie die "vsftp.conf" Datei in den folgenden Ordner und setzen die Rechte.
Bitte vorher wieder in das Verzeichnis /etc/ssl wechseln.


<pre>
<pre>
DiskStation> cd /etc/ssl
DiskStation> cp /volume1/public/vsftpd.conf /opt/etc
DiskStation> openssl rsa -in private/cakey.pem -out ClientRSA.key
DiskStation> chmod 644 /opt/etc/vsftpd.conf
writing RSA key
DiskStation>
DiskStation>  
</pre>
</pre>


Damit vsftp das Zertifikat und den RSA Key aus einer einzigen Datei lesen kann, müssen die cacert.pem und die ClientRSA.key Datei zusammengefügt werden.
An der Konsole mit dem vi Editor gehen Sie wie folgt vor.  


<pre>
<pre>
DiskStation> cat cacert.pem ClientRSA.key > vsftpd.pem
DiskStation> vi /opt/etc/vsftpd.conf
</pre>
</pre>


Zu guter letzt kopieren wir die .key und die .pem Datei an einen erreichbaren Ort (z.B. SambaShare /public).
'''Wichtige Befehle für vi:'''


Taste:
* i = Schreib/Einfügemodus
* ESC = Schreib/Einfügemodus verlassen
Tastenkombination:
* :wq = Änderungen schreiben, Editor verlassen
* :w! = Änderungen schreiben
* :q! = Änderungen verwerfen, Editor verlassen
* dd = ganze Zeile löschen (NICHT im Schreibmodus)
'''Inhalt der vsftpd.conf Datei für den Anonymen Zugang:'''
<pre>
<pre>
DiskStation> cp ClientCert.pem /volume1/public
#Anonymer Login
DiskStation> cp ClientRSA.key /volume1/public
#
</pre>
# Erlaubt den Anonymen Zugang
anonymous_enable=Yes
# Der Anonyme Zugang wird zu diesen Benutzer umgeleitet.
ftp_username=nobody
# Homeverzeichnis für den Anonymen Benutzer
anon_root=/volume1/ftp/nobody
# Anonymer Login benötigt kein Passwort?
no_anon_password=Yes
# Neu erstellte Dateien oder Ordner bekommen durch Anonymen Zugang diese Rechte
anon_umask=022
# Anonymer Zugang darf hochladen?
anon_upload_enable=No
# Anonymer Zugang darf Ordner erstellen?
anon_mkdir_write_enable=No
#
#FTP Server Konfiguration
#
# Schreibrecht Global für lokale Benutzer bzw. Anonymer Zugang
write_enable=No
# Verzeichnisse auflisten Rekusiv erlauben?
ls_recurse_enable=No
# Kleinster Passiver Port
pasv_min_port=2000
# Größter Passiver Port
pasv_max_port=2020
# Yes: vsftp als Standalone daemon, No: vsftp über inetd
listen=No
# Verbindungsanfragen abhören über Port (Nur Standalone)
listen_port=21
# Transfer Protokoll führen?
xferlog_enable=YES
# Verbindung über Port 20 zulassen?
connect_from_port_20=YES
# Besitzer für Datei- oder Verzeichnis Uploads verändern (NUR für Anonyme Uploads)
chown_uploads=Yes
# Besitzer für Datei- oder Verzeichnis Uploads wird Benutzer:
chown_username=nobody
# Speicherort Protokoll
vsftpd_log_file=/opt/var/log/vsftpd.log
ascii_upload_enable=YES
ascii_download_enable=YES
# Willkommensnachricht
ftpd_banner=Willkommen auf FTP @ ???.dyndns-ip.com
</pre>  


Wie Sie den FTP-Clienten für SSL Verschlüsselung einrichten wird im Kapitel "FTP-Client/SSL Verbindung einrichten" beschrieben.
Wenn Sie die "vsftpd.conf" Datei gespeichert haben, ist es noch notwendig dem Benutzer "nobody" an seinem Homeverzeichnis die Schreibrechte zu entziehen. Vsftp lässt sonst mit dieser Konfiguration die Verbindung nicht zu. Damit nobody in seinen Verzeichnis etwas zu sehen bekommt, legen Sie mit "touch" eine Beispieldatei an.  


   
<pre>
DiskStation> chmod 555 /volume1/ftp/nobody
DiskStation> touch /volume1/ftp/nobody/Hier_ist_nobody_richtig.txt
DiskStation>
</pre>


==== Anonymen Zugang einrichten ====
Stellen Sie nun mit einem FTP-Client Ihrer Wahl eine Verbindung her.   


==== Zugang mit Benutzer/Passwort Authentifizierung ====
==== Zugang mit Benutzer/Passwort Authentifizierung ====
Zeile 627: Zeile 751:
==== FTP-Client ====
==== FTP-Client ====


===== SSL Verbindung einrichten =====
===== FlashFXP =====
 
'''Besonderheiten für SSL-Verschlüsselung:'''
 
Für dieses Beispiel wird eine Englischsprachige 30 Tage Testversion von FlashFXP benutzt. Diese kann kostenlos [http://www.flashfxp.com/download hier] heruntergeladen werden.
 
In diesem Abschnitt wird die Einrichtung für einen Verbindungsaufbau zu einem FTP Server Schritt für Schritt erklärt, der eine SSL-Verbindung fordert oder bereithält.
 
*Wenn Sie das Programm FlashFXP installiert haben, dann starten Sie das Programm bitte. [[Datei:NewSide_neu.jpg|150px|right]]
*Wählen Sie bitte über das Menü "Sites" > "Site Manager".
*Sie klicken bitte auf den Button "New Site". Daraufhin erscheint ein Dialog.
 
 
 
 
 
*Unter der ComboBox "Connection Type" wählen Sie bitte "FTP using Explicit SSL (Auth SSL)". [[Datei:New_sel_FTP_SSL_neu.jpg|150px|right]]
 
 
 
 
 
 
*In die TextBox "Site Name" geben Sie dem Kind ein beliebigen Namen. [[Bild:New_sel_FTP_SSL_Data_neu.jpg|150px|right]]
*In die TextBox "Ip-Address" geben Sie den Hostnamen oder die Ip-Adresse des FTP-Servers ein.
*In die TextBox "Port" geben Sie den Anschluss des FTP-Servers ein. Standartmäßig ist dies der Port 21.
*Wenn der FTP-Server anonyme Verbindungen zulässt, dann wählen Sie die CheckBox "Anonymous" aus. Lässt der FTP-Server nur bekannte Benutzer zu, dann geben Sie die Benutzerdaten in die TextBox "User Name" und "Password" ein. Näheres zu diesem Thema finden Sie hier.
 
 
 
 
 
*Wählen Sie den Karteireiter "SSL" und klicken auf den Button "Cert Manager". Ein neuer Dialog erscheint. [[Bild:Cert_Manager_Import.jpg|150px|right]]
*Klicken Sie auf den Button "Import". Ein weiterer Dialog erscheint.
*Die Combobox "Key Format" müsste in der Vorauswahl "X.509 certifikate for FTP" haben. Wenn nicht, dann wählen Sie dies bitte aus.
*Klicken Sie bitte rechts neben der TextBox "Public Key" auf den "..." Button und suchen mit dem neuen Dialog nach einer .pem Datei. Sie müssen vorher in dem neuen Dialog mit der ComboBox "Dateityp" den Filter auf "Base 64 Encoded Certifikate *.pem" umstellen.
*Klicken Sie bitte rechts neben der TextBox "Private Key" auf den "..." Button und suchen mit dem Dialog nach einer .key Datei für Ihre Verbindung. Wie diese Dateien erstellt werden, wurde bereits im Abschnitt [[#Selbstsigniertes X.509 Zertifikat erstellen|Selbstsigniertes X.509 Zertifikat erstellen]] erklärt.
*Klicken Sie bitte auf den Button "Import".
 
 
 
*Wenn FlashFXP nicht meckert, und den Dienst nicht mit der Meldung "Unable to Load private Key" quittiert, dann sollte Ihr neues Zertifikat jetzt in der Auflistung stehen. [[Bild:Cert_Manager_Cert_Imported.jpg|150px|right]]
*Schließen Sie die Auflistung mit dem Button "Close" und versuchen nun mit dem Button "Apply" und "Connect" eine Verbindung aufzubauen. [[Bild:Connect_and_view_Cert_neu.jpg|150px|right]]
 
 
 
 
 
 
 
 
 
 
 
Sie sollten wie hier rechts im Bild zu sehen ist das Zertifikat angezeigt gekommen.
Sie haben jetzt 3 Optionen:
 
# Reject: Annahme verweigern, die Verbindung wird getrennt.
# Accept Once: Annehmen, bei nächsten Verbindung erneut bestätigen.
# Accept & Save: Annehmen, speichern und nicht mehr fragen.
 
.


== Links ==
== Links ==
Zeile 639: Zeile 825:
*Case Sensitive: Groß und Kleinschreibung ist zu berücksichtigten.
*Case Sensitive: Groß und Kleinschreibung ist zu berücksichtigten.
*Certificate Authority: Zertifizierungsinstanz
*Certificate Authority: Zertifizierungsinstanz
*Certificate Signing Request: Kurz CSR ist eine Zertifikatsanforderung an die CA (Certificate Authority) der Zertifizierungsinstanz.
*Jail: Der Benutzer ist in seinen Home Verzeichnis gefangen und kann dort nicht ausbrechen bzw. er kann wenn überhaupt einen Verzeichniswechsel nur für Unterordner durchführen. Oberhalb der Verzeichnisstruktur ist ihm der Zugang verwehrt. Umgangssprachlich sagt man dazu auch:"Der Benutzer ist in einer Changeroot-Jail".

Aktuelle Version vom 1. Mai 2013, 15:41 Uhr

Ziel

Einen alternativen und flexiblen FTP Dienst auf der Synology Disk Station installieren. Wahlweise mit nur Anonymen Zugang oder Anonymen und Authentifizierten Zugang. Für Benutzer können sogenannte Homeverzeichnisse eingerichtet werden. In diesen Verzeichnissen können sich die Benutzer eingeschränkt oder uneingeschränkt bewegen bzw. mit schreib –und leserechten ausgestattet werden.

Zielgruppe

Anwender die sich mehr Flexibilität bei der Rechte– und Verzeichnisadministration wünschen.

Voraussetzungen/Vorbereitungen

  • Die Disk-Station wurde mit einer Firmware durch den Synology Installation Assistenten oder im Station Manager mit der Firmwareaktualisierung bespielt. Näheres zur Installation der Firmware finden Sie hier
    • Tipp: Besorgen Sie sich eine aktuelle Firmware von der Hersteller Seite. [Synology Support] Da die .pat Datei auf der Installations-CD nicht mehr aktuell sein könnte.
  • Ihre Disk-Station ist mit mindestens einer Festplatte ausgestattet.
  • Die Netzwerkkonfiguration wurde ordnungsgemäß vorgenommen.
    Fehler beim Erstellen des Vorschaubildes: Datei fehlt
  • Wenn Ihr FTP Dienst auch aus dem Internet erreichbar sein soll, sollten Sie sich bei den zahlreichen Anbietern eine Dynamische DNS einrichten. Adressen und Informationen gibt es in der Linksammlung hier. Wenn Sie ein DSL-Router Ihr eigen nennen dürfen, sollte auf diesem Router auch die Portweiterleitung mindestens für den Port 21 auf die Ip-Adresse der Disk-Station eingerichtet sein. Nähere Informationen gibt es hier
  • Sie haben das Paketverwaltungssystem Ipkg installiert. Was ist Ipkg und wie installiere ich das? Näheres gibt es hier
  • Sie haben den Terminaldienst SSH oder Telnet auf Ihrer Disk-Station aktiviert. Was ist SSH oder Telnet? Wie aktiviere ich diesen Dienst? Nun SSH (Secure Shell) stellt eine sichere verschlüsselte Verbindung zu Ihrer Disk-Station her, und ermöglicht somit Befehlseingaben auf Kommandozeilenebene abzusetzen. Dies gilt analog für Telnet, nur das Telnet nicht verschlüsselt verbindet. Wenn Sie einen Router mit Firewall besitzen, dürfte das in Ihrem lokalen Netz kein Sicherheitsproblem darstellen. Aktivieren lassen sich diese Dienste über den Station-Manager im Webbrowser unter Terminal. Oder Sie laden sich unter Synology Patch link

Funktion Item/File
Telnet aktivieren EnableTelnet.pat
Telnet deaktivieren DisableTelnet.pat
SSH aktivieren EnableSSH.pat
SSH deaktivieren DisableSSH.pat



die entsprechenden Dateien runter und fügen diese über den Station-Manager unter Firmwareaktualisierung auf der Disk-Station ein.

Fehler beim Erstellen des Vorschaubildes: Datei fehlt


Installation

Ohne SSL Unterstützung

Für dieses Beispiel kommt Telnet zum Einsatz. Die Konfiguration der Disk-Station wird mit einem Windows basierten Rechner durchgeführt. Sie melden sich zunächst mit dem Kommandozeileninterpreter Telnet an der Disk-Station an. Diesen rufen Sie über Start>Ausführen auf.

  • Syntax:
    • telnet <hostname/Ip-Adresse>
telnet 192.168.178.1
  • Sie wurden bei der Installation der Firmware aufgefordert ein Passwort anzugeben. Dieses verwenden wir nun zusammen mit dem Benutzernamen „root“ für die Anmeldung.
DiskStation login: root
Passwort: *********
  • Wenn die Anmeldung an der Disk-Station erfolgreich war, erscheint die sogenannte shell von Linux.
BusyBox v1.1.0 (2008.09.19-12:36+0000) Built-in shell (ash)
Enter ´help´ for a list of built-in commands.

DiskStation> _    

Tipp: Sie können die Befehle oder Befehlsketten, die Sie an der Konsole absetzen ganz bequem kopieren und einfügen. Markieren Sie dazu hier den eigentlichen Befehltext ohne "DiskStation>". Also nur "pwd". Wenn Sie per Konsole (Telnet) angemeldet sind, das Konsolenfenster auswählen, rechten Mausklick und im Kontextmenü "Einfügen" auswählen. Der Befehlstext in der Zwischenablage kopiert sich auf die Konsole, und Sie können diesen mit "Enter" abschicken. Bei kurzen Befehlen macht dies keinen Sinn. Aber längeren Befehlsketten kann das schon eine Zeitersparnis bedeuten.

  • Zunächst stellen Sie fest, in welchem Verzeichnis Sie sich befinden.
DiskStation> pwd
/root
DiskStation> _
  • Sie befinden sich im Heimatverzeichnis von Root. Sie wechseln nun in das Rootverzeichnis der Synology Station.
DiskStation> cd /
DiskStation> _
  • Sie erstellen einen Ordner für das Installationspaket von vsFTP.
DiskStation> mkdir Ipk_Packages
DiskStation> _
  • Sie überprüfen nun ob der Ordner angelegt wurde.
DiskStation> ls
bin 	initrd 		lost+found 	 	sbin 		var
dev 	ipk_Packages 	mnt 			sys 		var.defaults
etc 	lib		proc 			tmp 		volume1
etc.defaults 		linuxrc		        root		usr
DiskStation> _
  • Sie wechseln in das Verzeichnis “ipk_Packages”
DiskStation> cd ipk_Packages
DiskStation> _
  • Nun benötigen Sie das begehrte vsFTP Paket und laden dies über das Programm „wget“ aus dem Internet. Zuvor lassen Sie sich noch die Information geben um welches Gerät es sich bei Ihrer Disk-Station handelt.
DiskStation> cat /proc/cpuinfo
processor	: 0
cpu		: 82xx
revision	: 1.4 (pvr 8081 1014)
bogomips	: 176.64
chipset	: 8245
vendor	: Synology Inc.
machine	: DS-101g+
DiskStation> _
  • In diesem Beispiel handelt es sich um eine DS-101g+. Sie besuchen nun mit einem Browser Ihrer Wahl die Seite http://ipkg.nslu2-linux.org/feeds und Sie navigieren entsprechend Ihrer Maschine in optware/…/cross/stable. Dort suchen Sie nach dem vsFTP Paket. Die aktuelle Version für dieses Beispiel ist die Datei „vsftpd_2.3.4-1_powerpc.ipk“
  • Wir laden nun die Datei vom Server
DiskStation> wget http://ipkg.nslu2-linux.org/feeds/optware/ds101g/cross/stable/vsftpd_2.3.4-1_powerpc.ipk
....
DiskStation> _
  • Sie überprüfen ob sich das Paket in dem Verzeichnis befindet.
DiskStation> ls
vsftpd_2.3.4-1_powerpc.ipk
DiskStation> _
  • Sie können jetzt mit der Installation beginnen. Während der Installation werden Sie befragt, ob Sie die vsftpd.conf Datei in ihrem Ursprung belassen wollen. Sie bestätigen mit „n“ für Nein.
DiskStation>  ipkg install vsftpd_2.3.4-1_powerpc.ipk
Installing vsftpd (2.0.7-1) to /opt/...
Installing vsftpd (2.0.7-1) to /opt/...
Installing vsftpd (2.0.7-1) to /opt/...
Installing vsftpd (2.0.7-1) to /opt/...
Installing vsftpd (2.0.7-1) to /opt/...
Installing vsftpd (2.0.7-1) to /opt/...
Installing vsftpd (2.0.7-1) to /opt/...
Installing vsftpd (2.0.7-1) to /opt/...
    Configuration file '/opt/etc/vsftpd.conf'
    ==> File on system created by you or by a script.
    ==> File also in package provided by package maintainer.
       What would you like to do about it ?  Your options are:
        Y or I  : install the package maintainer's version
        N or O  : keep your currently-installed version
          D     : show the differences between the versions (if diff is installed)
     The default action is to keep your current version.
    *** vsftpd.conf (Y/I/N/O/D) [default=N] ?Configuring vsftpd
You'll need to add line like
echo "ftp stream tcp nowait root /opt/sbin/vsftpd /opt/etc/vsftpd.conf" >>/etc/inetd.conf
to your /unslung/rc.xinetd file -- see the wiki at http://www.nslu2-linux.org for more info
Successfully terminated.
 DiskStation> _
  • Im Idealfall sollte die Installation von vsFTP ohne Fehler abgeschlossen sein.

Mit SSL Unterstützung:

Voraussetzungen/Vorbereitungen
  • Sie haben die Schritte im Abschnitt "ohne SSL Unterstützung" durchgeführt.
  • Sie sind mit Telnet oder Putty auf der DS angemeldet.
  • Sie haben das OpenSSL Packet installiert (Durchführung wird in diesen Abschnitt erläutert).
  • Sie verfügen über das für Ihre Architektur bestimmte vsftpd Binary mit kompilierter SSL-Unterstützung (Quelle: hier). Die Quelle beinhaltet z.Zt. nur die Binary für einen ppc Prozessor !!!
Installation von OpenSSL

Der Paketmanager soll sich zunächst eine aktuelle Liste der verfügbaren Pakete holen.

DiskStation> ipkg update
Downloading http://ipkg.nslu2-linux.org/feeds/optware/ds101g/cross/stable/Packages.gz
Inflating http://ipkg.nslu2-linux.org/feeds/optware/ds101g/cross/stable/Packages.gz
Updated list of available packages in /opt/lib/ipkg/lists/optware
Downloading http://ipkg.nslu2-linux.org/feeds/optware/ds101g/cross/stable/Packages.gz
Inflating http://ipkg.nslu2-linux.org/feeds/optware/ds101g/cross/stable/Packages.gz
Updated list of available packages in /opt/lib/ipkg/lists/cross
Successfully terminated.

Sie überprüfen bitte, ob OpenSSL bereits in einer Version installiert ist.

DiskStation> ipkg list_installed openssl
openssl - 0.9.7m-5 - Openssl provides the ssl implementation in libraries libcrypto and libssl, and is needed by many other applications and librari
Successfully terminated.

Sollte bereits eine Version installiert sein, so können Sie überprüfen lassen, ob aktualisierungen für das OpenSSL Paket sowie für alle anderen Pakete vorliegen.

DiskStation> ipkg upgrade
Nothing to be done
Successfully terminated.
DiskStation>

In diesem Beispiel gibt es keine aktualisierungen.

Wenn Sie aber kein OpenSSL installiert haben, dann weisen Sie den Paketmanager jetzt an das OpenSSL Packet zu laden und anschließend zu installieren.

DiskStation> ipkg install openssl
Installing openssl (0.9.7m-5) to /opt/...
Downloading http://ipkg.nslu2-linux.org/feeds/optware/ds101g/cross/stable/openssl_0.9.7m-5_powerpc.ipk
wget: error while loading shared libraries: libssl.so.0.9.7: cannot open shared object file: No such file or directory
Nothing to be done
An error ocurred, return value: 22.
Collected errors:
ipkg_download: ERROR: Command failed with return value 127: `wget --passive-ftp    -q -P /opt/ipkg-MH3QKy http://ipkg.nslu2-linux.org/feeds/optware/ds101g/cross/stable/openssl_0.9.7m-5_powerpc.ipk'
Failed to download openssl. Perhaps you need to run 'ipkg update'?

Ups. Das kommt davon, wenn man vorher für den Wiki das Paket deinstalliert um eine Installation zu demonstrieren. Ok, wer das gleiche Problem mit einer zerschossenen OpenSSL Installation hat, der darf sich so wie ich das Paket manuell auf die DS laden. Also ich besorg mir unter http://ipkg.nslu2-linux.org/feeds/optware/ds101g/cross/stable für meine Architektur das OpenSSL Paket. Vorher sorge ich für einen Speicherpfad und wechsel in das Verzeichnis.

DiskStation> mkdir -p /ipk_Packages
DiskStation> cd /ipk_Packages
DiskStation> wget http://ipkg.nslu2-linux.org/feeds/optware/ds101g/cross/stable/openssl_0.9.7m-5_powerpc.ipk
--2012-02-23 23:33:39--  http://ipkg.nslu2-linux.org/feeds/optware/ds101g/cross/stable/openssl_0.9.7m-5_powerpc.ipk
Resolving ipkg.nslu2-linux.org... 140.211.169.161
Connecting to ipkg.nslu2-linux.org|140.211.169.161|:80... connected.
HTTP request sent, awaiting response... 200 OK
Length: 768888 (751K) [text/plain]
Saving to: `openssl_0.9.7m-5_powerpc.ipk.1'

     0K .......... .......... .......... .......... ..........  6% 56.3K 12s
    50K .......... .......... .......... .......... .......... 13% 86.7K 10s
   100K .......... .......... .......... .......... .......... 19%  101K 8s
   150K .......... .......... .......... .......... .......... 26%  276K 6s
   200K .......... .......... .......... .......... .......... 33%  142K 5s
   250K .......... .......... .......... .......... .......... 39%  141K 4s
   300K .......... .......... .......... .......... .......... 46%  269K 3s
   350K .......... .......... .......... .......... .......... 53%  141K 3s
   400K .......... .......... .......... .......... .......... 59%  141K 3s
   450K .......... .......... .......... .......... .......... 66%  280K 2s
   500K .......... .......... .......... .......... .......... 73%  277K 1s
   550K .......... .......... .......... .......... .......... 79%  284K 1s
   600K .......... .......... .......... .......... .......... 86%  283K 1s
   650K .......... .......... .......... .......... .......... 93%  281K 0s
   700K .......... .......... .......... .......... .......... 99% 4.67M 0s
   750K                                                       100%  173K=4.6s

2012-02-23 23:33:44 (162 KB/s) - `openssl_0.9.7m-5_powerpc.ipk.1' saved [768888/768888]
DiskStation>

Jetzt die manuelle Installation durchführen. Dabei ist wichtig, dass Sie den Dateinamen wie unter Linux Sytemen üblich Case Sensitive schreiben und die Dateiendung .ipk nicht vergessen.

DiskStation> ipkg install openssl_0.9.7m-5_powerpc.ipk
Installing openssl (0.9.7m-5) to /opt/...
Installing openssl (0.9.7m-5) to /opt/...
Installing openssl (0.9.7m-5) to /opt/...
Installing openssl (0.9.7m-5) to /opt/...
Installing openssl (0.9.7m-5) to /opt/...
Installing openssl (0.9.7m-5) to /opt/...
Installing openssl (0.9.7m-5) to /opt/...
Installing openssl (0.9.7m-5) to /opt/...
Installing openssl (0.9.7m-5) to /opt/...
Configuring openssl
Successfully terminated.
DiskStation>

Vsftpd Upgrade mit SSL Unterstützung

Notwendige Schritte:

  • Speicherpfad anlegen und in Verzeichnis wechseln.
  • Vsftpd Archiv mit SSL Unterstützung laden.
  • Archiv entpacken und die alte Binary gegen die neue ersetzen.
DiskStation> mkdir -p /opt/vsftpd
DiskStation> cd /opt/vsftpd
DiskStation> wget http://sourceforge.net/projects/synonassource/files/vsftpd/vsftpd-2.3.5_SSL.tar.gz
--2012-02-24 00:04:59--  http://sourceforge.net/projects/synonassource/files/vsftpd/vsftpd-2.3.5_SSL.tar.gz
Resolving sourceforge.net... 216.34.181.60
Connecting to sourceforge.net|216.34.181.60|:80... connected.
HTTP request sent, awaiting response... 302 Found
Location: http://sourceforge.net/projects/synonassource/files/vsftpd/vsftpd-2.3.5_SSL.tar.gz/download [following]
--2012-02-24 00:05:00--  http://sourceforge.net/projects/synonassource/files/vsftpd/vsftpd-2.3.5_SSL.tar.gz/download
Connecting to sourceforge.net|216.34.181.60|:80... connected.
HTTP request sent, awaiting response... 302 Found
Location: http://downloads.sourceforge.net/project/synonassource/vsftpd/vsftpd-2.3.5_SSL.tar.gz?r=&ts=1330038300&use_mirror=heanet [following]
--2012-02-24 00:05:00--  http://downloads.sourceforge.net/project/synonassource/vsftpd/vsftpd-2.3.5_SSL.tar.gz?r=&ts=1330038300&use_mirror=heanet
Resolving downloads.sourceforge.net... 216.34.181.59
Connecting to downloads.sourceforge.net|216.34.181.59|:80... connected.
HTTP request sent, awaiting response... 302 Found
Location: http://heanet.dl.sourceforge.net/project/synonassource/vsftpd/vsftpd-2.3.5_SSL.tar.gz [following]
--2012-02-24 00:05:00--  http://heanet.dl.sourceforge.net/project/synonassource/vsftpd/vsftpd-2.3.5_SSL.tar.gz
Resolving heanet.dl.sourceforge.net... 193.1.193.66, 2001:770:18:aa40::c101:c142
Connecting to heanet.dl.sourceforge.net|193.1.193.66|:80... connected.
HTTP request sent, awaiting response... 200 OK
Length: 55905 (55K) [application/x-gzip]
Saving to: `vsftpd-2.3.5_SSL.tar.gz.1'

     0K .......... .......... .......... .......... .......... 91%  228K 0s
    50K ....                                                  100%  919K=0.2s

2012-02-24 00:05:01 (249 KB/s) - `vsftpd-2.3.5_SSL.tar.gz.1' saved [55905/55905]
DiskStation>

Sollte das Archiv nicht auffindbar sein, könnte es sein, dass diese Version nicht mehr aktuell ist. Schauen Sie bitte dann unter http://sourceforge.net/projects/synonassource/files/vsftpd nach der aktuellen Version und passen den Pfad für den Befehl wget (.../vsftpd/[Archiv]) entsprechend an.

Nun entpacken wir das Archiv und ersetzen die alte vsftpd Binary gegen die neue aus dem Archiv. Vorher sollten Sie die alte Binary umbenennen.

DiskStation> mv /opt/sbin/vsftpd /opt/sbin/vsftpd.old
DiskStation> tar -xzf vsftpd-2.3.5_SSL.tar.gz
DiskStation> ls -l
-rwxrwxrwx    1 guest    users       18288 Feb  2  2008 COPYING
-rwxrwxrwx    1 guest    users         312 Feb  2  2008 LICENSE
drwxrwxrwx    2 guest    users        4096 Feb 24 00:22 ppc
-rw-r--r--    1 Ioot     root        55905 Feb 23 21:04 vsftpd-2.3.5_SSL.tar.gz
DiskStation>

Bitte wählen Sie entsprechend Ihrer Architektur den Ordner aus der die Binary kopiert werden soll. In diesem Beispiel handelt es sich um eine PowerPC Architektur und deshalb wird die Binary aus dem Ordner ppc kopiert.

DiskStation> cp /opt/vsftpd/ppc/vsftpd /opt/sbin
DiskStation>

Konfiguration

Vorbereitungen

Eine Serverinstanz im xinetd einrichten
  • Der nächste Schritt fordert erhöhte Konzentration. Denn bei einem Tippfehler könnte es passieren, dass die Disk-Station nicht mehr richtig bootet.
  • Der inetd als Superdaemon sollte in der Lage sein den FTP-Server zu starten. Daher muss die Datei /etc/inetd.conf mit einem Editor angepasst werden.
DiskStation> vi /etc/inetd.conf

telnet		stream		tcp	nowait		root	/usr/sbin/telnetd	telnetd
~
~
~ 
~
~
- /etc/inetd.conf  1/1 100%
  • Der Umgang mit dem Editor ist etwas gewöhnungsbedürftig. Aber für eine Zeile die angepasst werden muss völlig ausreichend. Näheres zu dem Vi Editor und seiner Steuerung finden Sie unten in der Linksammlung oder hier.
  • Zunächst müssen Sie in den Eingabemodus wechseln um Änderungen an dieser Datei vornehmen zu können. Das machen Sie mit der Tastenkombination <Shift + i>.
  • Wenn Sie mit den Pfeiltasten auf das t von telnet navigieren und die <Enter> Taste drücken, fügen Sie eine neue Zeile ein. Sie schreiben bitte folgende Zeile und trennen die Begriffe mit der <Tab> oder <Space> Taste.
ftp         stream  	tcp     	nowait  	root    /opt/sbin/vsftpd 	/opt/etc/vsftpd.conf
  • Auf Ihrem Bildschirm sollte folgendes angezeigt sein.
ftp        stream  	tcp     	nowait  	root    	/opt/sbin/vsftpd 	/opt/etc/vsftpd.conf
telnet	   stream	tcp	        nowait		root	        /usr/sbin/telnetd	telnetd
~
~
~ 
~
~
I /etc/inetd.conf  [modified] 1/2 50%
  • Wenn dies der Fall ist, müssen Sie den Editormodus verlassen und die Datei mit den Änderungen abspeichern. Dazu drücken Sie die <Esc> Taste. Anschließend die
    Tastenkombination < Shift + : > und geben den Befehl wq ein. Das ganze mit der Taste <Enter> abschließen.
  • Damit nicht 2 Dienste auf einem Port laufen, müssen Sie sich vergewissern, dass der mitgelieferte FTP Dienst deaktiviert ist. Dazu rufen Sie den Station-Manager im Browser auf, navigieren zu Netzwerkdienste/FTP und überprüfen die Option „FTP Service aktivieren“.


WICHTIG: Der "inetd" Daemon muss neugestartet werden. Sonst wird die Konfiguration nicht übernommen!

DiskStation> kill -HUP `pidof inetd`
DiskStation> _
  • Nun ist es an der Zeit vsFTP auf Funktion zu testen. Sie können dies lokal überprüfen.


Syntax:
ftp://<Benutzername>:<Kennwort>@<Ip-Adresse>


FEHLER: Für den Benutzer Anonymous ist kein Homeverzeichnis angelegt. Somit kann dieser sich auch nicht mit dem FTP-Server verbinden.

Fehler beim Erstellen des Vorschaubildes: Datei fehlt



Selbstsigniertes X.509 Zertifikat erstellen

Vorwort:

Damit Sie einem FTP-Client später den verschlüsselten Login bzw. verschlüsselten Datentransfer ermöglichen können, sind mehrere Schritte notwendig.

  1. Kennwortgeschütztes Schlüsselpaar für ein Root Zertifikat erstellen (Public/Private Key). Mit diesem Schlüssel werden neue Zertifikate an der CA signiert. Dieser Schlüssel sollte verborgen und geheim bleiben.
  2. Zertifikatsanforderung (CSR) für das Root Zertifikat an die Zertifizierungsinstanz (CA).
  3. Das X.509 Root Zertifikat an der Zertifizierungsinstanz (CA) erstellen und signieren.
  4. Neues Schlüsselpaar für das Client Zertifikat erstellen (Public/Private Key). Diesen RSA Schlüssel (Private Key) geben Sie an die FTP-Clients weiter.
  5. Zertifikatsanforderung (CSR) für das Client Zertifikat an die Zertifizierungsinstanz (CA).
  6. Das X.509 Client Zertifikat an der Zertifizierungsinstanz (CA) erstellen und signieren. Dieses Zertifikat geben Sie mit dem extrahierten privaten RSA Schlüssel (siehe nächsten Schritt) an die FTP-Clients weiter.
  7. Privaten RSA Schlüssel in eine .key Datei extrahieren.
  8. RSA Schlüssel und Zertifikat für vsftp in eine Datei schreiben.


Wenn Sie an der DS nicht angemeldet sind, dann melden Sie sich bitte jetzt z.B. mit Telnet an.

  • Syntax:
    • telnet <hostname/Ip-Adresse>
telnet 192.168.178.1
DiskStation login: root
Passwort: *********
DiskStation>

Sie wechseln bitte in das Verzeichnis /etc/ssl und erstellen den Ordner "newcerts", erstellen die Datei "index.txt" und die Datei "serial". Anschließend erstellen Sie das Schlüsselpaar für das Root Zertifikat in den Ordner /private. Dieser Schlüssel wird mit einem Passwort geschützt. Für dieses Beispiel wird ein RSA Schlüssel mit 2048 Bit erstellt.

DiskStation> cd /etc/ssl
DiskStation> mkdir -p newcerts
DiskStation> touch index.txt
DiskStation> touch serial

DiskStation> openssl genrsa -des3 -out private/caRoot.key 2048
Generating RSA private key, 2048 bit long modulus
...............................+++
................+++
e is 65537 (0x10001)
Enter pass phrase for private/caRoot.key:
Verifying - Enter pass phrase for private/caRoot.key:
DiskStation>

Erstellen Sie die Zertifikatsanforderung für das neue Root Zertifikat. Geben Sie das vom letzten Schritt festgelegte Passwort ein und beantworten Sie die Fragen wie im Beispiel unten. Optional kann hier bei "A challenge password" für jede Verbindungsanforderung noch ein Passwort mitgegeben werden. In diesem Beispiel ist das Kennwort und "An optional company name" leer.

DiskStation> openssl req -new -key private/caRoot.key -out ca.csr
Enter pass phrase for private/caRoot.key:
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) [AU]: DE
State or Province Name (full name) [Some-State]: NRW
Locality Name (eg, city) []: Hamm
Organization Name (eg, company) [Internet Widgits Pty Ltd]: Mustermann ltd
Organizational Unit Name (eg, section) []:
Common Name (eg, YOUR name) []: 192.168.170.2
Email Address []:trashme775@unitybox.de

Please enter the following 'extra' attributes
to be sent with your certificate request
A challenge password []:
An optional company name []:
DiskStation>

Signieren Sie das neue Root Zertifikat mit z.B. einen Jahr Gültigkeit. Geben Sie dafür das Passwort ein, das Sie zuerst festgelegt haben.

DiskStation> openssl x509 -days 365 -signkey private/caRoot.key -in ca.csr -req -out newcerts/Root.crt
Signature ok
subject=/C=DE/ST=NRW/L=Hamm/O=Mustermann ltd/CN=192.168.170.2/emailAddress=trashme775@unitybox.de
Getting Private key
Enter pass phrase for private/caRoot.key:
DiskStation>

Erstellen Sie das neue Schlüsselpaar für das Client Zertifikat. Dieses Schlüsselpaar kann, so wie bei dem Root Zertifikat auch, mit einem Passwort belegt werden.

DiskStation> openssl genrsa -out private/caClient.key 2048
Generating RSA private key, 2048 bit long modulus
............+++
.......+++
e is 65537 (0x10001)
DiskStation>

Erstellen Sie einen Antrag bzw. einen CSR (Certificate Signing Request) für ein neues Client Zertifikat. Beantworten Sie die Fragen wie im Beispiel für das Root-Zertifikat. Dabei ist wichtig, dass "Common Name" übereinstimmt mit "Common Name" aus dem Root Zertifikat. Optional kann hier auch für jede Verbindungsanfoderung ein Passwort mitgegeben werden (A challenge password). Beim Test mit FlashFXP wurde ich allerdings nie danach gefragt!? Vielleicht wird dieses abgefragt, wenn das Zertifikat für z.B. VPN Verbindungen genutzt wird.

DiskStation> openssl req -new -key private/caClient.key -out client.csr
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) [AU]:DE
State or Province Name (full name) [Some-State]:NRW
Locality Name (eg, city) []:Hamm
Organization Name (eg, company) [Internet Widgits Pty Ltd]:Mustermann ltd
Organizational Unit Name (eg, section) []:
Common Name (eg, YOUR name) []:192.168.170.2
Email Address []:trashme775@unitybox.de

Please enter the following 'extra' attributes
to be sent with your certificate request
A challenge password []:
An optional company name []:
DiskStation>

Signieren Sie das neue Client Zertifikat an der CA. Geben Sie dazu das erste festgelegte Passwort ein.

DiskStation> openssl x509 -days 365 -CA newcerts/Root.crt -CAkey private/caRoot.key -set_serial 01 -in client.csr -req -out newcerts/client.pem
Signature ok
subject=/C=DE/ST=NRW/L=Hamm/O=Mustermann ltd/OU=192.168.170.2/CN=192.168.170.2/e
mailAddress=trashme775@unitybox.de
Getting CA Private Key
Enter pass phrase for private/caRoot.key:
DiskStation> 

Das Client Zertifikat sollte jetzt erstellt und signiert sein. Schauen wir uns nun mal die Inhalte auf dem Pfad /etc/ssl, /etc/ssl/newcerts und /etc/ssl/private an.

DiskStation> ls -l

-rw-r--r--    1 root     root         1106 Feb 29 23:06 Client.csr
-rw-r--r--    1 root     root         1106 Feb 29 22:59 ca.csr
-rw-r--r--    1 root     root            0 Feb 29 22:52 index.txt
drwxr-xr-x    2 root     root         4096 Feb 29 20:08 newcerts
drwxr-xr-x    2 root     root         4096 Feb 29 23:02 private
-rw-r--r--    1 root     root            0 Feb 29 22:52 serial

DiskStation> cd newcerts
DiskStation> ls -l

-rw-r--r--    1 root     root         1306 Feb 29 23:18 Root.crt
-rw-r--r--    1 root     root         1314 Feb 29 23:24 client.pem 

DiskStation> cd ../private
DiskStation> ls -l

-rw-r--r--    1 root     root         1675 Feb 29 23:18 caClient.key
-rw-r--r--    1 root     root         1743 Feb 29 23:16 caRoot.key

Sie erstellen bitte eine private Key Datei, die wir mit der client.pem Datei weiter geben können, um einen FTP Clienten zu authentifizieren. Bitte vorher wieder in das Verzeichnis /etc/ssl wechseln.

DiskStation> cd /etc/ssl
DiskStation> openssl rsa -in private/caClient.key -out private/client.key
writing RSA key
DiskStation> 

Damit vsftp das Zertifikat und den RSA Schlüssel aus einer einzigen Datei lesen kann, müssen die client.pem und die caClient.key Datei zusammengefügt werden.

DiskStation> cat newcerts/client.pem private/caClient.key > vsftpd.pem

Schlüssel Dateien bzw. die Schlüssel Datei für das signieren neuer Zertifikte sollte nur vom root lesbar sein. Dazu verändern Sie die Rechte an dem Verzeichnis /private.

DiskStation> chmod 700 private
DiskStation> dir
-rw-r--r--    1 root     root         1106 Feb 29 23:20 Client.csr
-rw-r--r--    1 root     root         1086 Feb 29 23:17 ca.csr
-rw-r--r--    1 root     root            0 Feb 29 22:52 index.txt
drwxr-xr-x    2 root     root         4096 Feb 29 23:23 newcerts
drwx------    2 root     root         4096 Feb 29 23:44 private
-rw-r--r--    1 root     root            0 Feb 29 22:52 serial
-rw-r--r--    1 root     root         2989 Feb 29 23:46 vsftpd.pem 

Zu guter letzt kopieren wir die .key und die .pem Datei für den FTP-Clients an einen erreichbaren Ort (z.B. SambaShare /public).

DiskStation> cp newcerts/client.pem /volume1/public
DiskStation> cp private/client.key /volume1/public

Wie Sie den FTP-Clienten für SSL-Verschlüsselung einrichten wird im Kapitel "FTP-Client" beschrieben.

Anonymen Zugang einrichten

Anmerkung: Wir beginnen mit der einfachsten und zugleich unsichersten Form der Verbindung, der Anonymen ohne Passwort. In diesem Abschnitt wird Ihnen ausserdem folgendes gezeigt:

  • Gastzugang ohne Passwort, eingesperrt im Homeverzeichnis (chroot-Jail), nur mit Leserecht einrichten.
  • Gastzugang mit Passwort, eingesperrt im Homeverzeichnis (chroot-Jail), mit schreibrecht in einem Upload-Ordner unterhalb der chroot-Jail einrichten.
  • Gastzugang eine Verschlüsselte Verbindung anbieten oder fordern.
  • Gastzugang individuell eingehängte Ordner zur Verfügung stellen.

Sofern Sie nicht an der Konsole angemeldet sind, melden Sie sich jetzt bitte mit Telnet oder SSH an. Zunächst müssen Sie sich entscheiden, an welcher Stelle im System der anonyme Benutzer landen soll, wenn dieser sich mit einem FTP-Client anmeldet. Über welchen Benutzer sollen die Rechte eingeräumt werden. Da vsftp per Default alle anonymen Verbindungen über das Systemkonto "ftp" abhandelt. Sofern über die Option "ftp_username" nichts anderes definiert ist (Dazu später mehr). Schwieriger wird es, wenn sich ein Benutzerkonto wie "ftp" nicht lokal anmelden darf bzw. kein Homeverzeichnis für diesen Benutzer existiert. Das ist eine der häufigen Fehlerquellen, wenn Verbindungen erst garnicht zustande kommen.

Wir schauen uns einfach mal einen Ausschnitt aus der Datei an, in der die lokalen Benutzer definiert sind. Das ist die passwd Datei in /etc.

DiskStation> cat /etc/passwd
root:x:0:0:root:/root:/opt/bin/bash
Ioot:x:0:0:root:/root:/bin/ash
lp:x:4:7:lp:/var/spool/lpd:/sbin/nologin
ftp:x:21:21:Anonymous FTP User:/nonexist:/sbin/nologin
smmsp:x:25:25:Sendmail Submission User:/var/spool/clientmqueue:/sbin/nologin
nobody:x:1023:1023:nobody:/home:/sbin/nologin
admin:x:1024:100:System default user:/volume1/@database:/bin/sh
guest:x:1025:100:Guest:/nonexist:/bin/sh
DiskStation>

Wie Sie sehen, ist für den Benutzer "ftp" weder ein Homeverzeichnis (/nonexist) noch eine Shell definiert (/sbin/nologin). Aus Sicherheitsgründen weichen wir hier aber vom Standard ab, und arbeiten mit dem Benutzer "nobody" und einer neuen Gruppe "ftpuser". Legen Sie bitte die Gruppe "ftpuser" oder eine andere Gruppe nach belieben an. Fügen Sie den Benutzer "nobody" der Gruppe "ftpuser" hinzu.

DiskStation> addgroup ftpuser nobody
DiskStation>

In diesem Beispiel wird der Benutzer "nobody" seinen Arbeitsbereich auf dem Pfad /volume1/ftp/nobody finden. Bitte legen Sie den Benutzer jetzt mit seinem Homeverzeichnis ohne Passwort an und ersetzen die Pfadangabe für das Homeverzeichnis nach belieben.

DiskStation> adduser -h /volume1/ftp/nobody -s /sbin/nologin -G ftpuser -g "Anonymner FTP-Login" -D nobody
DiskStation>

Unter umständen kann es sein, dass Sie nach dem Versuch den Benutzer anzulegen, diese Fehlermeldung bekommen: adduser: nobody: login already in use. Dann ist dieser Benutzer bereits angelegt. Wenn der Benutzer allerdings kein Homeverzeichnis hat, müsste dieser entweder manuell mit dem vi Editor hinzugefügt werden. Oder Sie löschen den Benutzer und legen ihn erneut an. Dieses Beispiel beschreibt die 2. Variante.

DiskStation> deluser nobody
deluser: nobody: User could not be removed from /etc/gshadow
DiskStation> adduser -h /volume1/ftp/nobody -s /sbin/nologin -G ftpuser -g "Anonymner FTP-Login" -D nobody
DiskStation> 

Die Meldung "deluser: nobody: User could not be removed from /etc/gshadow" können Sie getrost ignorieren. Gshadow gibt es in dieser Systemumgebung nicht. Wo nix ist, kann auch nix entfernt werden. Sollte ausserdem die Meldung "adduser: /volume1/ftp/nobody: File exists" auftauchen, dann ist das Homeverzeichnis bereits angelegt. Ein kurzer Blick in die "passwd" Datei und in die "group" Datei sollte Ihnen die Gewissheit liefern, dass der Benutzer und die Gruppe angelegt wurde.

DiskStation> cat /etc/passwd
...
lp:x:7:lp
ftp:x:21:ftp
smmsp:x:25:smmsp,admin
nobody:x:1038:101:Anonymner FTP-Login:/volume1/ftp/nobody:/sbin/nologin
...
DiskStation> cat /etc/group
lp:x:7:lp
ftp:x:21:ftp
smmsp:x:25:smmsp,admin
users:x:100:
ftpuser:x:101:nobody
...
DiskStation>

Als nächstes bearbeiten Sie die Konfiguratonsdatei für vsftp. Sie haben die Wahl, ob Sie die Datei in einen Linux konformen Editor wie z.B. Notepad++ bearbeiten und anschließend auf die DS laden. Achten Sie bitte darauf, dass Sie das Zeilenende unter "Bearbeiten>Zeilenende>Konvertiere zu Unix (LF)" auf LF gestellt haben (Notepad++). Oder Sie bearbeiten die Datei mit dem vi Editor an der Konsole. Ist die Datei extern bearbeitet worden und liegt z.B. in dem Samba-Share /public, dann kopieren Sie die "vsftp.conf" Datei in den folgenden Ordner und setzen die Rechte.

DiskStation> cp /volume1/public/vsftpd.conf /opt/etc
DiskStation> chmod 644 /opt/etc/vsftpd.conf
DiskStation>

An der Konsole mit dem vi Editor gehen Sie wie folgt vor.

DiskStation> vi /opt/etc/vsftpd.conf

Wichtige Befehle für vi:

Taste:

  • i = Schreib/Einfügemodus
  • ESC = Schreib/Einfügemodus verlassen

Tastenkombination:

  • :wq = Änderungen schreiben, Editor verlassen
  • :w! = Änderungen schreiben
  • :q! = Änderungen verwerfen, Editor verlassen
  • dd = ganze Zeile löschen (NICHT im Schreibmodus)

Inhalt der vsftpd.conf Datei für den Anonymen Zugang:

#Anonymer Login
#
# Erlaubt den Anonymen Zugang 
anonymous_enable=Yes
# Der Anonyme Zugang wird zu diesen Benutzer umgeleitet.
ftp_username=nobody
# Homeverzeichnis für den Anonymen Benutzer
anon_root=/volume1/ftp/nobody
# Anonymer Login benötigt kein Passwort?
no_anon_password=Yes
# Neu erstellte Dateien oder Ordner bekommen durch Anonymen Zugang diese Rechte
anon_umask=022
# Anonymer Zugang darf hochladen?
anon_upload_enable=No
# Anonymer Zugang darf Ordner erstellen?
anon_mkdir_write_enable=No
#
#FTP Server Konfiguration
#
# Schreibrecht Global für lokale Benutzer bzw. Anonymer Zugang
write_enable=No
# Verzeichnisse auflisten Rekusiv erlauben?
ls_recurse_enable=No
# Kleinster Passiver Port
pasv_min_port=2000
# Größter Passiver Port
pasv_max_port=2020
# Yes: vsftp als Standalone daemon, No: vsftp über inetd
listen=No
# Verbindungsanfragen abhören über Port (Nur Standalone) 
listen_port=21
# Transfer Protokoll führen?
xferlog_enable=YES
# Verbindung über Port 20 zulassen?
connect_from_port_20=YES
# Besitzer für Datei- oder Verzeichnis Uploads verändern (NUR für Anonyme Uploads) 
chown_uploads=Yes
# Besitzer für Datei- oder Verzeichnis Uploads wird Benutzer:
chown_username=nobody
# Speicherort Protokoll
vsftpd_log_file=/opt/var/log/vsftpd.log
ascii_upload_enable=YES
ascii_download_enable=YES
# Willkommensnachricht
ftpd_banner=Willkommen auf FTP @ ???.dyndns-ip.com

Wenn Sie die "vsftpd.conf" Datei gespeichert haben, ist es noch notwendig dem Benutzer "nobody" an seinem Homeverzeichnis die Schreibrechte zu entziehen. Vsftp lässt sonst mit dieser Konfiguration die Verbindung nicht zu. Damit nobody in seinen Verzeichnis etwas zu sehen bekommt, legen Sie mit "touch" eine Beispieldatei an.

DiskStation> chmod 555 /volume1/ftp/nobody
DiskStation> touch /volume1/ftp/nobody/Hier_ist_nobody_richtig.txt
DiskStation> 

Stellen Sie nun mit einem FTP-Client Ihrer Wahl eine Verbindung her.

Zugang mit Benutzer/Passwort Authentifizierung

Zugang mit SSL Zertifikat und PAM

FTP-Client

FlashFXP

Besonderheiten für SSL-Verschlüsselung:

Für dieses Beispiel wird eine Englischsprachige 30 Tage Testversion von FlashFXP benutzt. Diese kann kostenlos hier heruntergeladen werden.

In diesem Abschnitt wird die Einrichtung für einen Verbindungsaufbau zu einem FTP Server Schritt für Schritt erklärt, der eine SSL-Verbindung fordert oder bereithält.


  • Wenn Sie das Programm FlashFXP installiert haben, dann starten Sie das Programm bitte.
    Fehler beim Erstellen des Vorschaubildes: Datei fehlt
  • Wählen Sie bitte über das Menü "Sites" > "Site Manager".
  • Sie klicken bitte auf den Button "New Site". Daraufhin erscheint ein Dialog.



  • Unter der ComboBox "Connection Type" wählen Sie bitte "FTP using Explicit SSL (Auth SSL)".
    Fehler beim Erstellen des Vorschaubildes: Datei fehlt




  • In die TextBox "Site Name" geben Sie dem Kind ein beliebigen Namen.
    Fehler beim Erstellen des Vorschaubildes: Datei fehlt
  • In die TextBox "Ip-Address" geben Sie den Hostnamen oder die Ip-Adresse des FTP-Servers ein.
  • In die TextBox "Port" geben Sie den Anschluss des FTP-Servers ein. Standartmäßig ist dies der Port 21.
  • Wenn der FTP-Server anonyme Verbindungen zulässt, dann wählen Sie die CheckBox "Anonymous" aus. Lässt der FTP-Server nur bekannte Benutzer zu, dann geben Sie die Benutzerdaten in die TextBox "User Name" und "Password" ein. Näheres zu diesem Thema finden Sie hier.



  • Wählen Sie den Karteireiter "SSL" und klicken auf den Button "Cert Manager". Ein neuer Dialog erscheint.
    Fehler beim Erstellen des Vorschaubildes: Datei fehlt
  • Klicken Sie auf den Button "Import". Ein weiterer Dialog erscheint.
  • Die Combobox "Key Format" müsste in der Vorauswahl "X.509 certifikate for FTP" haben. Wenn nicht, dann wählen Sie dies bitte aus.
  • Klicken Sie bitte rechts neben der TextBox "Public Key" auf den "..." Button und suchen mit dem neuen Dialog nach einer .pem Datei. Sie müssen vorher in dem neuen Dialog mit der ComboBox "Dateityp" den Filter auf "Base 64 Encoded Certifikate *.pem" umstellen.
  • Klicken Sie bitte rechts neben der TextBox "Private Key" auf den "..." Button und suchen mit dem Dialog nach einer .key Datei für Ihre Verbindung. Wie diese Dateien erstellt werden, wurde bereits im Abschnitt Selbstsigniertes X.509 Zertifikat erstellen erklärt.
  • Klicken Sie bitte auf den Button "Import".


  • Wenn FlashFXP nicht meckert, und den Dienst nicht mit der Meldung "Unable to Load private Key" quittiert, dann sollte Ihr neues Zertifikat jetzt in der Auflistung stehen.
    Fehler beim Erstellen des Vorschaubildes: Datei fehlt
  • Schließen Sie die Auflistung mit dem Button "Close" und versuchen nun mit dem Button "Apply" und "Connect" eine Verbindung aufzubauen.
    Fehler beim Erstellen des Vorschaubildes: Datei fehlt






Sie sollten wie hier rechts im Bild zu sehen ist das Zertifikat angezeigt gekommen. Sie haben jetzt 3 Optionen:

  1. Reject: Annahme verweigern, die Verbindung wird getrennt.
  2. Accept Once: Annehmen, bei nächsten Verbindung erneut bestätigen.
  3. Accept & Save: Annehmen, speichern und nicht mehr fragen.

.

Links

Installation und Konfiguration von vsFTP (deutsch)

Quellen

Glosar

  • Binary: Eine unter Linux ausführbare Programmdatei.
  • Case Sensitive: Groß und Kleinschreibung ist zu berücksichtigten.
  • Certificate Authority: Zertifizierungsinstanz
  • Certificate Signing Request: Kurz CSR ist eine Zertifikatsanforderung an die CA (Certificate Authority) der Zertifizierungsinstanz.
  • Jail: Der Benutzer ist in seinen Home Verzeichnis gefangen und kann dort nicht ausbrechen bzw. er kann wenn überhaupt einen Verzeichniswechsel nur für Unterordner durchführen. Oberhalb der Verzeichnisstruktur ist ihm der Zugang verwehrt. Umgangssprachlich sagt man dazu auch:"Der Benutzer ist in einer Changeroot-Jail".