ProFTPD - 윈디하나의 솔라나라

분류: 어플리케이션
설명: ProFTPD의 설치방법과 실행에 대해 설명 (2018-12-10)
위치: 윈디하나의 솔라나라: ProFTPD (처음 오신 분은 윈디하나의 솔라나라 이야기를 읽어주십시오)
윈디하나의 솔라나라 트위터 @solanara

개요

ProFTPD는 보안과 기능에 중심을 둔 FTP 데몬으로, 현재 유닉스계열 운영체제에서는 vsftpd와 함께 널리 사용된다. 솔라리스 11부터는 기본 제공된다. vsftpd 에 대해서는 윈디하나의 솔라나라: vsFTPd를 읽어보자.
FTP는 파일을 전송하기 위한 프로토콜(규약)의 하나다. 파일을 전송하기 위한 규약에는 1970년대에 나온 EFTP, 1981년에 나온 TFTP, 1984년에 나온 SFTP(RFC 913 - Simple File Transfer Protocol), 그리고 1985년에 나온 FTP가 있는데, 나중에 나온 FTP가 가장 기능이 많다. 가장 기능이 없지만 구현이 간단하고 메모리 사용량이 적은 TFTP는 임베디드 기기에서 많이 사용하고, SFTP는 현재 사용하지 않는다. (이 단락에서 언급한 SFTP는 SFTP와 다르다) TFTP에 대해서는 윈디하나의 솔라나라: TFTP를 읽어보자.
ProFTPD가 지원하는 RFC 규격은 다음과 같다.
더 자세한 지원 사항은 The ProFTPD Project: FTP Related RFCs (Request For Comments)을 읽어보자.
링크
- The ProFTPD Project Home

설치

윈디하나의 솔라나라: OpenSSL를 참고해 OpenSSL을 설치하고, 윈디하나의 솔라나라: Let’s Encrypt를 참고해 인증서를 생성해 놓는다.
윈디하나의 솔라나라: SQLite를 참고해 SQLite을 설치한다.

LibIDN

국제화 도메인 라이브러리

# wget https://ftp.gnu.org/gnu/libidn/libidn-1.36.tar.gz
# tar xvfz libidn-1.36.tar.gz  
# cd libidn-1.36
# ./configure CFLAGS="-m64"
# make
# sudo make install

소스 설치

ProFTPd 의 소스를 받아 빌드한다.

windy@wl ~/src $ wget ftp://ftp.proftpd.org/distrib/source/proftpd-1.3.8b.tar.gz
windy@wl ~/src $ tar xvfz proftpd-1.3.8b.tar.gz
windy@wl ~/src $ cd proftpd-1.3.8b
windy@wl ~/src/proftpd-1.3.8b $ ./configure \
  --with-includes=/usr/local/include/ncursesw:/usr/local/include:/usr/include:/usr/local/ssl/include \
  --with-libraries=/usr/local/lib:/usr/lib:/usr/local/ssl/lib \
  --prefix=/usr/local/proftpd \
  --enable-sendfile \
  --enable-autoshadow \
  --enable-shadow \
  --enable-auth-pam \
  --enable-ctrls \
  --enable-openssl \
  --enable-facl \
  --enable-nls \
  --enable-dso \
  --enable-pcre \
  --with-modules=mod_unique_id:mod_site_misc:mod_sql:mod_sql_passwd:mod_sql_sqlite:mod_sftp:mod_sftp_pam:mod_tls:mod_tls_shmcache:mod_shaper:mod_auth_otp:mod_digest:mod_statcache:mod_deflate:mod_wrap2:mod_wrap2_file:mod_wrap2_sql \
  CFLAGS="-m64" CXXFLAGS="-m64" LDFLAGS="-m64"
  1)
windy@wl ~/src/proftpd-1.3.8b $ make
windy@wl ~/src/proftpd-1.3.8b $ sudo make install

1) --with-modules 옵션에 붙이는 모듈 이름의 순서는, 모듈의 의존성을 고려해 정해야 한다.

각 모듈은 아래와 같은 기능을 가진다.

mod_unique_id: 각 세션마다 유일한 키를 생성하는 모듈. 로그에 사용
mod_site_misc: SITE 커맨드의 나머지 명령 구현 모듈
mod_sql, mod_sql_passwd, mod_sql_sqlite: 데이터베이스를 사용한 인증 모듈. MySQL, PostgresSQL, SQLite, ODBC 등을 지원하며 이 문서에서는 SQLite 를 사용한다.
mod_sftp: sftp 를 지원해주는 모듈. OpenSSL 라이브러리 필요.
mod_tls, mod_tls_shmcache: ftps, ftpes를 지원해주는 모듈. OpenSSL 라이브러리 필요.
mod_shaper: 점수 기반의 업로드/다운로드 조절 모듈
mod_auth_otp: OTP 인증 모듈
mod_digest: DIGEST 모듈
mod_statcache: 상태 캐시 모듈
mod_deflate: 압축 모듈
mod_wrap2, mod_wrap2_file, mod_wrap2_sql: IP기반의 접근 제어 모듈

경로설정
ProFTPD의 ftpwho(1), ftptop(1), ftpshut(8)등을 쉽게 사용하기 위해 PATH를 걸어준다. 솔라리스10 이하에는 같은 이름을 가진 wu-ftp에서 사용하는 ftpwho(1), ftpshut(1M)가 /usr/sbin에 설치되어있으니 주의하자.
```
root@wl # vi /etc/profile
...
if [ -x /usr/local/proftpd/bin/ftpwho ]; then
  PATH=/usr/local/proftpd/sbin:/usr/local/proftpd/bin:$PATH; export PATH;
fi
root@wl #
```

실행 및 설정

ProFTPD 실행

ProFTPD는 inetd(1M)를 이용해 띄울수 있지만 여기서는 단일 프로세스(standalone)로 띄우는 방법에 대해 설명한다.

사전준비
솔라리스 9 이하 버전을 사용하고 있다면, 솔라리스에 번들된 inetd 의 wu-ftp 서버를 실행 중단해야 한다.
```
root@wl ~ # vi /etc/inetd.conf
#ftp ~~~
root@wl ~ # ps -ef | grep inetd
  root   150     1  0  10월 22 ?        0:00 /usr/sbin/inetd -s
root@wl ~ # kill -HUP 150
```
솔라리스 10에 번들된 FTP를 사용하고 있다면 실행 중단해야 한다.
```
root@wl ~ # svcadm disable svc:/network/ftp:default
```

시작 및 종료

ProFTPD 는 별도의 시작/종료 스크립트를 제공하지 않는다.

ProFTPD 를 시작하려면 설정파일을 만들고 proftpd(8)을 실행하기만 하면 된다.

root@wl ~ # vi /usr/local/proftpd/etc/proftpd.conf
DefaultRoot       ~
root@wl ~ # /usr/local/proftpd/sbin/proftpd

종료는 proftpd 프로세스를 kill(1), pkill(1) 명령을 사용해 ProFTPd 의 메인 프로세스를 종료하면 된다.

root@wl ~ # kill -TERM `cat /usr/local/proftpd/var/proftpd.pid`

아래와 같이 스크립트를 만들어 사용해도 된다. 스크립트는 ProFTPD: Stopping and Starting에 있는 내용을 조금 수정했다.

proftpd.sh

(1,353 바이트)

#!/bin/bash

# ProFTPD files
FTPD_BIN=/usr/local/proftpd/sbin/proftpd
FTPD_CONF=/usr/local/proftpd/etc/proftpd.conf
PIDFILE=/usr/local/proftpd/var/proftpd.pid

# If PIDFILE exists, does it point to a proftpd process?

if [ -f "$PIDFILE" ]; then
	pid=`cat $PIDFILE`
fi

if [ ! -x "$FTPD_BIN" ]; then
	echo "$0: $FTPD_BIN: cannot execute"
	exit 1
fi

case $1 in

	start)
		if [ -n "$pid" ]; then
			echo "$0: proftpd [PID $pid] already running"
			exit
		fi

		if [ -r $FTPD_CONF ]; then
			tty -s && echo "Starting proftpd..."
			$FTPD_BIN -c $FTPD_CONF
			if [ ! -f "$PIDFILE" ]; then
				echo "$0: cannot start proftpd."
				exit 1
			fi
		else
			echo "$0: cannot start proftpd -- $FTPD_CONF missing"
		fi
		;;

	stop)
		if [ -n "$pid" ]; then
			tty -s && echo "Stopping proftpd..."
			kill -TERM $pid
			RET=$?
			if [ "$RET" != "0" ]; then
				echo "$0: proftpd not stopped. check proftpd process owner."
				exit 1
			fi
		else
			echo "$0: proftpd not running"
			exit 1
		fi
		;;

	restart)
		if [ -n "$pid" ]; then
			tty -s && echo "Rehashing proftpd configuration"
			kill -HUP $pid
			RET=$?
			if [ "$RET" != "0" ]; then
				echo "$0: proftpd not restarted. check proftpd process owner."
				exit 1
			fi
		else
			echo "$0: proftpd not running"
			exit 1
		fi
		;;

    *)
		echo "usage: $0 {start|stop|restart}"
		exit 1
		;;
esac
exit 0

기능 확인

기능 확인은 FTP 서버의 FEAT명령으로 확인할 수 있다.

windy@wl ~ $ ftp localhost
ftp: connect to address ::1: Connection refused
Trying 127.0.0.1...
Connected to maid.
220 FTP server
Name (localhost:windy): USERNAME
331 Password required for windy
Password: PASSWORD
230 User windy logged in
Remote system type is UNIX.
Using binary mode to transfer files.
ftp> quote FEAT
211-Features:
 AUTH TLS
 CCC
 CLNT
 EPRT
 EPSV
 HASH CRC32;MD5;SHA-1*;SHA-256;SHA-512;
 HOST
 LANG ja-JP.UTF-8;ja-JP;zh-CN.UTF-8;zh-CN;zh-TW.UTF-8;zh-TW;es-ES.UTF-8;es-ES;it-IT.UTF-8;it-IT;ko-KR.UTF-8;ko-KR*;en-US.UTF-8;en-US;fr-FR.UTF-8;fr-FR
 MD5
 MDTM
 MFF modify;UNIX.group;UNIX.mode;
 MFMT
 MLST modify*;perm*;size*;type*;unique*;UNIX.group*;UNIX.groupname*;UNIX.mode*;UNIX.owner*;UNIX.ownername*;
 MODE Z
 PBSZ
 PROT
 RANG STREAM
 REST STREAM
 SITE MKDIR
 SITE RMDIR
 SITE SYMLINK
 SITE UTIME
 SIZE
 SSCN
 TVFS
 UTF8
 XCRC
 XMD5
 XSHA
 XSHA1
 XSHA256
 XSHA512
211 End
ftp> quit
221 Goodbye.
windy@wl ~ $

명령 인자

다음과 같은 인자를 주어 실행할 수 있다.

root@wl ~ # /usr/local/proftpd/sbin/proftpd -h
usage: proftpd [options]
 -h, --help
     Display proftpd usage
 -N, --nocollision
     Disable address/port collision checking
 -n, --nodaemon
     Disable background daemon mode (and send all output to stderr)
 -q, --quiet
     Don't send output to stderr when running with -n or --nodaemon
 -d [level], --debug
     Set debugging level (0-10, 10 = most debugging)
 -D [definition], --define
     Set arbitrary IfDefine definition
 -c [config-file], --config
     Specify alternate configuration file
 -p [0|1], --persistent
     Enable/disable default persistent passwd support
 -l, --list
     List all compiled-in modules
 -S, --serveraddr
     Specify IP address for server config
 -t, --configtest
     Test the syntax of the specified config
 -V, --settings
     Print compile-time settings and exit
 -v, --version
     Print version number and exit
 -vv, --version-status
     Print extended version information and exit
 -X, --nofork
     Non-forking debug mode; exits after one session
 -4, --ipv4
     Support IPv4 connections only
 -6, --ipv6
     Support IPv6 connections

기타 명령
아래와 같은 실행파일이 proftpd/sbin에 설치된다.
- auth-otp(8)은 사용자용 OTP 키를 생성하기 위한 명령어이다.
- ftpscrub(8)는 ProFTPd의 ScoreBoard 를 정리하는 명령이다. ProFTPd가 inetd 모드로 사용될때에는 주기적으로 실행시켜줘야 한다.
- ftpshut(8)는 FTPd를 관리자 셧다운 상태로 만들어주는 명령이다. 이 명령은 /etc/shutmsg파일을 생성하고 메시지를 파일에 넣는다. ProFTPd에서는 사용자 로그인시 /etc/shutmsg 파일이 있다면 더이상 로그인을 진행하지 않는다.
아래와 같은 실행파일이 proftpd/bin에 설치된다.
- ftpasswd(1)는 AuthUserFile, AuthGroupFile, UserPassword 지시어에 사용할 인증 파일을 생성하는 명령이다.
- ftpcount(1)는 현재 접속자 사용자 수를 알려주는 명령이다. 접속한 사용자가 없다면 0으로 카운트 된다.
- ftpdctl(8)는 ProFTPd 제어 클라이언트다. mod_ctrls와 함께 컴파일했을때 설치되는 프로그램이며, ProFTPd의 전반적인것을 관리할 수 있다. 특정 사용자를 종료하거나, 사용자를 추적하는데에 사용할 수 있는 유용한 도구다.
- ftpmail(1)는 사용자가 파일을 업로드 했을때 관리자에게 메일을 발송하는 기능을 제공해주는 펄 스크립트다.
- ftpquota(1)는 mod_quotatab_file모듈에서 사용하는 설정 파일을 생성하는 명령이다.
- ftptop(1)는 ProFTPd 사용자의 현재 상태를 모니터링 할 수 있는 명령이다.
- ftpwho(1)는 ProFTPd 사용자의 정보를 보여주는 명령이다.
- prxs(1)는 PRoFTPd eXtensionS의 약어로 ProFTPd의 확장을 생성할 수 있는 도구다.

기본 설정

필요하다고 생각되는 기본 설정에 대해 소개한다. 각 옵션에 대한 자세한 사항은 ProFTPD의 문서를 읽어보자.

root@wl ~ # vi /usr/local/proftpd/etc/proftpd.conf
DefaultAddress    0.0.0.0
Port              21

#AllowstoreRestart on
#RequireValidShell off
#UseReverseDNS     off
#IdentLookups      off
ShowSymlinks      on
DefaultRoot       ~
ServerIdent       on      "FTP server"
#DisplayConnect    /etc/proftp.connect.msg
#DisplayLogin      /etc/proftp.login.msg
MaxClients        100     "Sorry, the maximum number(%m) of allowed users are already connected"
MaxClientsPerHost 5       "Sorry, the maximum number clients (%m) from your host are already connected"
HideUser          root
HideGroup         root
AuthPAM           On
AuthPAMConfig     ftp
UseEncoding       on
LangDefault       ko_KR
LangPath          /usr/local/proftpd/share/locale
DeflateEngine     on
#AllowForeignAddress on
TCPAccessFiles /etc/hosts.allow /etc/hosts.deny

DefaultAddress: 바인드할 기본 주소. 0.0.0.0 인 경우 시스템의 모든 주소에 대해 바인드하며, 일반적으로 이 세팅을 사용하면 된다.
Port: 기본 포트 번호. FTP는 21번 포트를 사용하며, 이 설정을 통해 변경할 수 있다.
AllowstoreRestart: 저장 재개(Upload Resume) 허용 여부. 기본적으로 off 이지만 on 으로 설정하고 클라이언트에서 전송재개 기능을 지원하는 경우에 이어 올리기가 가능해진다.
vRequireValidShell: 로그인셸이 설정되지 않은 경우 연결을 허용 여부. 익명 연결시에는 반드시 on 으로 설정해야 한다.
UseReverseDNS: 클라이언트의 IP로 Reverse DNS를 조회할 지 여부.
IdentLookups: IP 룩업 사용 여부. 역 도메인이 없으면 접속할 수 없다
ShowSymlinks: 디렉토리에 심볼릭 링크가 있는 경우 이를 목록에 보일 지 여부
DefaultRoot: 기본 루트 설정. ~ 은 계정의 홈 디렉토리를 최상위 디렉토리로써 보여준다는 의미다. chroot(1M) 와 유사하다.
ServerIdent: 서버 정보 보일지 여부와 서버 정보. 포트에 접속하자 마자 보여주는 메시지를 정의한다. 위와 같이 설정한 경우 220 FTP server와 같이 표시된다.
DisplayConnect: 로그인 이전 메시지를 담고 있는 파일
DisplayLogin: 로그인 이후 메시지를 담고 있는 파일
MaxClients: 최대 클라이언트 개수 및 개수가 넘어 접속 불가시 보여주는 메시지
MaxClientsPerHost:호스트당 최대 클라이언트 수 및 개수가 넘어 접속 불가시 보여주는 메시지
HideUser: 숨길 사용자 이름
HideGroup: 숨길 그룹 이름
AuthPAM: PAM 사용 여부
AuthPAMConfig: PAM 설정
UseEncoding: UTF-8 및 인코딩 설정
AllowForeignAddress: FXP 허용 여부. FXP에 대한 자세한 설명은 ProFTPD and FXP를 읽어보자. 매우 잘 나와있다.
TCPAccessFiles: ACL을 사용할 파일 위치

FTPES/FTPS 설정

암호화된 파일 전송용 프로토콜에는 FTPS, FTPES, SFTP가 있다.
- SFTP: SSH의 서브시스템(sftp-server(1M))으로 작동하며, 솔라리스는 SSH가 번들되어있기 때문에, 별도로 설치해야할 필요도 없고 설정할 것도 없다. SSH에 대한 자세한 설명은 윈디하나의 솔라나라: SSH를 읽어보자.
- FTPS: FTP의 암호화된 버전이다. HTTPS가 HTTP 의 암호화된 버전인 것 처럼 FTPS 도 마찬가지다. 990번 포트를 기본으로 사용한다. ProFTPd에도 UseImplicitSSL파라메터를 사용해 FTPS를 설정할 수 있다.
- FTPES: FTP 프로토콜에서, AUTH TLS(구형 버전은 AUTH TLS-C이라는 FTP 명령을 사용해, TLS 전송을 지원한다. 21번 포트를 그대로 사용 가능하기 때문에 널리 사용된다.
FTPS/FTPES가 SFTP에 비해 FTP의 모든 기능을 사용하기 때문에 기능면에서는 더 좋지만, FTP 프로토콜을 그대로 사용하기 때문에, 데이터 전송을 위한 별도의 접속이 필요한 단점도 그대로다. 쉽게 말해 PORT, PASV명령을 사용해야 하는데, 이 경우 방화벽이나 NAT와 같이 사용하는 경우 FTPS/FTPES사용이 어려울 수 있다. (결과적으로 NAT환경에서는 PASV명령을 사용할 수 없으면 FTPS/FTPES사용할 수 없다) IP공유기에서 지원하는 FTP 클라이언트 접속 지원 기능은 패킷이 암호화되어 PORT 명령을 구분할 수 없기 때문에 결과적으로 FTPS/FTPES에서는 작동하지 않는다. (이를 해결하기 위해 CCC라는 FTP 커맨드가 있지만, 이를 지원하는 클라이언트/서버가 별로 없고 이 커맨드는 보안상 문제가 있다. ProFTPd에서는 TLSRequired파라메터를 사용해, CCC에서 비 암호화 전송을 허용할 범위를 지정할 수 있다) 이에비해 SFTP 는 하나의 접속만으로 작동하며, SSH 채널을 통해 명령과 데이터를 주고 받는다. NAT를 사용하고 있다면 SFTP를 사용하자.

ProFTPD에서 FTPS/FTPES를 사용하기 위한 설정은 아래와 같다. 인증서는 윈디하나의 솔라나라: Let’s Encrypt에서 받은걸 사용한다.

root@wl ~ # vi /usr/local/proftpd/etc/proftpd.conf
<IfModule mod_tls.c>
  TLSEngine on
  TLSLog /usr/local/proftpd/var/proftpd.ftps.log
  TLSProtocol TLSv1 TLSv1.1 TLSv1.2 TLSv1.3
  TLSOptions NoSessionReuseRequired

  # Are clients required to use FTP over TLS when talking to this server?
  TLSRequired off

  # Server certificate
  TLSRSACertificateFile /export/home/windy/.acme.sh/www.solanara.net/www.solanara.net.cer
  TLSRSACertificateKeyFile /export/home/windy/.acme.sh/www.solanara.net/www.solanara.net.key
  TLSECCertificateFile /export/home/windy/.acme.sh/www.solanara.net_ecc/www.solanara.net.cer
  TLSECCertificateKeyFile /export/home/windy/.acme.sh/www.solanara.net_ecc/www.solanara.net.key

  # CA the server trusts
  TLSCACertificateFile /export/home/windy/.acme.sh/www.solanara.net/ca.cer

  # Authenticate clients that want to use FTP over TLS?
  TLSVerifyClient off
  
  TLSOptions NoSessionReuseRequired 1)
</IfModule>
root@wl ~ # vi /etc/pam.conf
ftp auth required /usr/lib/security/pam_unix.so
ftp account required /usr/lib/security/pam_unix.so

1) ProFTPd 1.3.3 부터 기본값은 보안상 SSL 세션을 재사용 하는 것으로 변경되었다. 하지만 몇몇 클라이언트(cUrl, Filezilla, ...)는 세션을 재사용하지 않기 때문에 이 옵션을 주어야 한다. 이 옵션을 주지 않으면 아래와 같은 메시지가 출력되며 데이터 커넥션이 이뤄지지 않는다

※ ProFTPd 로그
mod_tls/2.4.3[1090]: TLSv1/SSLv3 renegotiation accepted, using cipher DHE-RSA-AES128-SHA (128 bits)
mod_tls/2.4.3[1090]: client did not reuse SSL session, rejecting data connection (see the NoSessionReuseRequired TLSOptions parameter)
mod_tls/2.4.3[1090]: unable to open data connection: TLS negotiation failed

※ 클라이언트(FileZilla) 로그
425 Unable to build data connection: Not owner
또는
425 Unable to build data connection: Operation not permitted

SFTP 설정

간단한 설정을 통해 SFTP를 사용할 수 있도록 설정 할 수 있다. 자세한 설정은 ProFTPD module mod_sftp를 읽어보자.
ProFTPD에서 FTPS를 사용하기 위한 설정은 아래와 같다. 아래와 같이 VirtualHost 태그를 사용해 SFTP 전용 24번 포트를 열었다.
```
root@wl ~ # vi /usr/local/proftpd/etc/proftpd.conf
<IfModule mod_sftp.c>
  <VirtualHost 0.0.0.0>
    SFTPEngine on
    SFTPLog /usr/local/proftpd/var/proftpd.sftp.log
    Port 24
    SFTPHostKey /etc/ssh/ssh_host_rsa_key
    SFTPHostKey /etc/ssh/ssh_host_dsa_key
    SFTPCompression delayed
    MaxLoginAttempts 2
    DefaultRoot ~
  </VirtualHost>
</IfModule>
```
/etc/ssh/ssh_host_rsa_key, /etc/ssh/ssh_host_dsa_key 파일은 솔라리스에서 SSH를 사용한다면 이미 생성되어있을 것이다. 만약 생성되어있지 않다면 윈디하나의 솔라나라: SSH - 호스트 키 재 생성를 참조해 생성한다.

익명 FTP 설정

익명 FTP(Anonymous FTP)란, 사용자 인증 과정 없이 사용할 수 있는 FTP서비스를 말한다. ProFTPD를 익명 FTP로 설정해도, 접속하는 사람은 사용자 이름과 패스워드를 입력해야 하는데, 사용자 이름에 anonymous를, 패스워드에는 공란으로 두거나 임의의 e-Mail 주소를 입력해 접속하면 된다.

# 익명 FTP에 사용할 계정을 만든다. Anonymous FTP를 이 사용자의 권한으로 실행될 것이다.
root@wl ~ # /usr/sbin/groupadd -g 103 ftp
root@wl ~ # useradd -d /export/home/ftp -g ftp -u 104 -s /bin/false ftp
root@wl ~ # mkdir /export/home/ftp # Anonymous FTP의 홈 디렉토리. 소유자와 그룹 모두 root, staff로 놔둔다.
root@wl ~ # vi /usr/local/proftpd/etc/proftpd.conf # Anonymous태그의 코멘트를 풀면 설정은 완료된다.
# A basic anonymous configuration, no upload directories.  If you do not
# want anonymous users, simply delete this entire <Anonymous> section.
<Anonymous ~ftp>
  User                         ftp
  Group                                ftp

  # We want clients to be able to login with "anonymous" as well as "ftp"
  UserAlias                    anonymous ftp

  # Limit the maximum number of anonymous logins
  MaxClients                   10

  # We want 'welcome.msg' displayed at login, and '.message' displayed
  # in each newly chdired directory.
  DisplayLogin                 welcome.msg
#  DisplayFirstChdir           .message

  # Limit WRITE everywhere in the anonymous chroot
  <Limit WRITE>
    DenyAll
  </Limit>
</Anonymous>
root@wl ~ # pkill proftpd
root@wl ~ # /usr/local/proftpd/sbin/proftpd

익명 사용자도 업로드 할 수 있도록 incomming디렉토리 만들어 보자. 접근 제한 설정이 없다면 일주일 이내에 익명의 업로더에 장악될 수 있으니, TCPWrapper등을 이용해 접근제한을 하자.

root@wl ~ # mkdir /export/home/ftp/incomming
root@wl ~ # chmod 777 /export/home/ftp/incomming
root@wl ~ # vi /usr/local/proftpd/etc/proftpd.conf
# 다음을 추가한다.
<Anonymous ~ftp>
  ...
  # <Anonymous ~ftp>와 </Anonymous> 사이에 아래를 추가한다.
  <Directory incoming>
  AllowOverwrite                on
  AllowStoreRestart             on
    <Limit STOR MKD>
      AllowALL
    </Limit>
  </Directory>
</Anonymous>
root@wl ~ # pkill proftpd
root@wl ~ # /usr/local/proftpd/sbin/proftpd # ProFTPD는 재시작하는 것이 없다.

※ 익명 사용자로서 사용할 시스템 계정을 (User 및 Group) 모두 ftp로 하였고, 익명으로 접속한 유저는 ftp:ftp 권한을 가진다는 것을 생각하면 이해하기 쉬울 것이다.

IP기반의 접근 제어

TCPWrapper 를 사용해 접속할 IP를 제한할 수 있다. 아래 예제는 192.168.0.3,192.168.0.2 에서만 접근 가능하도록 설정한 것이다. 그 외의 호스트에서는, ProFTPd 와 TCP/IP 접속은 되지만, 아이디와 패스워드를 제대로 입력하더라도 인증이 실패한다. 만약 21번 포트에 접속조차 되지 않도록 하려면 방화벽을 사용해야 한다.

root@wl ~ # vi /usr/local/proftpd/etc/proftpd.conf
# TCPAccessFiles부분을 추가한다.
TCPAccessFiles /etc/hosts.allow /etc/hosts.deny
root@wl ~ # vi /etc/hosts.deny
ALL:ALL
root@wl ~ # vi /etc/hosts.allow
proftpd: 192.168.0.3,192.168.0.2
root@wl ~ # pkill proftpd
root@wl ~ # /usr/local/proftpd/sbin/proftpd

SQL 사용

많은 사람들이 사용하는 FTP 서비스를 운영함에 있어서 특히 문제될 수 있는 부분이, FTP 서버에 접속할 사용자들에게 시스템에 접속할 수 있는 계정을 발급해야 한다는 점이다. 이는 특히 보안상의 문제를 야기할 수 있다. 따라서 FTP 서버에서는 OS 계정과 분리해 계정을 관리할 수 있는 방법를 제공하는데, ProFTPd에서는 AuthUserFile, AuthGroupFile지시자를 이용해 파일을 사용해 인증하는 방법과, 데이터베이스를 사용해 인증하는 방법이 있다. 이 단락에서는 데이터베이스를 이용한 방법에 대해 설명한다.

SQLite 사용한 인증

SQLite 를 사용해 인증을 구현하려면 아래와 같이 한다.

root@wl ~ # vi /usr/local/proftpd/etc/proftpd.conf
<IfModule mod_sql.c>
	SQLAuthenticate on
	SQLLogFile /usr/local/proftpd/var/proftpd.sql.log
	SQLMinUserUID 100
	SQLAuthTypes MD5
</IfModule>

<IfModule mod_sql_sqlite.c>
	SQLBackend sqlite3
	SQLConnectInfo /usr/local/proftpd/var/proftpd.sqlite3
</IfModule>

<IfModule mod_sql_passwd.c>
	SQLPasswordEngine on
	SQLPasswordEncoding hex
	SQLPasswordUserSalt sql:/get-user-salt Prepend
	SQLNamedQuery get-user-salt SELECT "salt FROM users WHERE userid = '%{0}'"
</IfModule>

아래와 같이 Salt 파일과 데이터베이스 파일을 생성한 후, 초기 데이터를 넣어준다.

root@wl ~ # echo -n "12345PASSWORD" | digest -a md5 1)
4e27a5a93178e271e5970d2bd3eba8ed
root@wl ~ # sqlite3 /usr/local/proftpd/var/proftpd.sqlite3
SQLite version 3.20.1 2017-08-24 16:21:36
Enter ".help" for usage hints.
sqlite> CREATE TABLE users (
            userid VARCHAR(30) PRIMARY KEY,
            passwd VARCHAR(80) NOT NULL,
            uid INTEGER NOT NULL UNIQUE,
            gid INTEGER NOT NULL,
            homedir VARCHAR(255) NOT NULL,
            shell VARCHAR(255),
            salt VARCHAR(255) NOT NULL
          );
sqlite> CREATE TABLE groups (
            groupname VARCHAR(30) PRIMARY KEY,
            gid INTEGER NOT NULL UNIQUE,
            members VARCHAR(255)
          );
sqlite> insert into users (userid, passwd, uid, gid, homedir, shell, salt) values ('test', '4e27a5a93178e271e5970d2bd3eba8ed', 101, 10, '/export/home/windy', '/bin/bash', '12345'); 2)
sqlite> insert into groups (groupname, gid, members) values ('staff', 10, 'test');
sqlite> Ctrl+D

1) windy 사용자가 사용할 패스워드인 PASSWORD와 Salt 값인 12345를 붙어 패스워드 해시를 만든다.
2) 사용자별로 UID, GID 및 패스워드 해시, Salt 를 넣어준다. 예제에서는 test 사용자를 넣었으며, 테스트가 완료된 이후에는 반드시 삭제하자.

ProFTPD 를 재시작한 후, test 사용자로 로그인해본다. 뭔가 문제가 있으면 /usr/local/proftpd/var/proftpd.sql.log파일을 살펴보자. 이상 없으면 test 사용자는 DB에서 삭제하자.

OTP 사용

개요

OTP는 2가지 이상의 방법을 사용해 인증하기 위해 사용하는 인증 방법이다. 별도의 기기에서 1회성 패스워드를 발급받아 사용하고, 시간이 지나면 1회성 패스워드는 계속 변경된다.

설정

ProFTPd 에서는 아래와 같이 세팅해 OTP를 사용하도록 할 수 있다.

root@wl ~ # vi /usr/local/proftpd/etc/proftpd.conf
<IfModule mod_auth_otp.c>
	AuthOTPEngine on
	AuthOTPLog /usr/local/proftpd/var/proftpd.otp.log

	AuthOTPAlgorithm totp-sha512
	AuthOTPTable sql:/get-user-totp/update-user-totp
#	AuthOTPAlgorithm hotp
#	AuthOTPTable sql:/get-user-hotp/update-user-hotp
</IfModule>

<IfModule mod_sql.c>
    SQLNamedQuery get-user-totp SELECT "secret FROM auth_otp WHERE user = \'%{0}\'"
    SQLNamedQuery update-user-totp UPDATE "counter = %{1} WHERE user = \'%{0}\'" auth_otp
    SQLNamedQuery get-user-hotp SELECT "secret, counter FROM auth_otp WHERE user = \'%{0}\'"
    SQLNamedQuery update-user-hotp UPDATE "counter = %{1} WHERE user = \'%{0}\'" auth_otp
</IfModule>
root@wl ~ # /usr/local/proftpd/sbin/auth-otp
-------------------------------------------------
Your new secret key is: RAL6I4PWSH4SBPY7UWI7EE7ZGIRPMKFMMYDSNLZMDGMO73ZVBVYA

To add this key to your SQL table, you might use:

  INSERT INTO auth_otp (secret, counter) VALUES ('RAL6I4PWSH4SBPY7UWI7EE7ZGIRPMKFMMYDSNLZMDGMO73ZVBVYA', 0);

Your verification code is: 763783
-------------------------------------------------
root@wl ~ # sqlite3 /usr/local/proftpd/var/proftpd.sqlite3
SQLite version 3.20.1 2017-08-24 16:21:36
Enter ".help" for usage hints.
sqlite> CREATE TABLE auth_otp (
    user VARCHAR(256) PRIMARY KEY,
    secret TEXT,
    counter INTEGER
  );
sqlite> insert into auth_otp values ('windy', 'RAL6I4PWSH4SBPY7UWI7EE7ZGIRPMKFMMYDSNLZMDGMO73ZVBVYA', 0);
sqlite> Ctrl+D

사용
설정을 마치고 ProFTPd를 재시작 하면, OTP 프로그램을 사용해 OTP 패스워드를 사용해 로그인할 수 있다. 물론 SQL 에 저장된 패스워드를 사용해도 로그인 가능하다. 필자의 경우 안드로이드에서 사용할 수 있는 FreeOTP 를 사용해 아래와 같이 설정한 후 사용했다.
```
Secret: RAL6I4PWSH4SBPY7UWI7EE7ZGIRPMKFMMYDSNLZMDGMO73ZVBVYA
Type: TOTP
Digits: 6
Algorithm: SHA512
Interval: 30
```
입력하기 어려우면 FreeOTP - QR Code Generator에서 QR코드를 생성해 FreeOTP 에서 찍으면 쉽게 입력할 수 있다.

클라이언트 설정을 마치면 아래와 같이 접속할 수있다.
```
root@maid ~ # ftp localhost
ftp: connect to address ::1: Connection refused
Trying 127.0.0.1...
Connected to maid.
220 FTP server
Name (localhost:windy): windy
331 One-time password required for windy
Password: OTP패스워드
230 User windy logged in
Remote system type is UNIX.
Using binary mode to transfer files.
ftp> quit
221 Goodbye.
```
FileZilla 에서도 로그온 유형을 인터랙티브으로 지정하면 OTP로 로그인할 수 있다.

로그

FTP 데몬은 전송 로그를 /var/log/xferlog에 저장한다. (ProFTPd 뿐만 아니라, VSFTPD, WU-FTPD 도 마찬가지다) 로그 형식은 아래와 같다. 자세한 형식은 xferlog(4)를 읽어보자.

로그시간 전송시간 원격호스트이름 파일크기 파일이름 전송종류 특별전송플래그 방향 접근모드 유저이름 서비스이름 인증방법 인증된유저ID 완료여부

로그 파일은 아래와 같이 해석될 수 있다.

root@wl ~ # tail /var/log/xferlog
Fri Nov 11 11:56:28 2005 0 xxx.xxx.xxx.xxx zzzz /sample.txt a _ i r webmaster ftp  1  *  c
-----------------------1 2 --------------3 ---4 ----------5 6 7 8 9 -------10 -11 12 13 14

로그시간. 로그가 저장된 호스트의 현재 시간
전송시간. 전송에 소요된 시간. 초
원격호스트이름. 없는 경우 IP로 저장됨
전송크기. 바이트
파일경로및이름.
전송종류. a: 아스키 전송, b: 바이너리 전송
특별전송플래그. C: 파일 압축됨, U: 파일 압축풀림, T: 아카이브 (예 TAR), _: 해당없음
방향. o: 외부(Outgoing), i:내부(Incoming), d:삭제(Deleted)
접근모드. a: 익명유저(Anonymous), g: 손님유저(Guest), r: 로컬 인증된 유저(Real)
유저이름. 로컬 유저이름. 손님인 경우 주어진 ID.
서비스이름. 수행될때의 서비스/프로토콜 이름. ftp, ftps, sftp 중 하나
인증방법. 0: 없음, 1: RFC 931 - Authentication server에 의한 인증
인증된유저ID. 인증 메쏘드에 의해 얻은 유저ID. *의 경우 존재하지 않음
완료여부. c: 전송이 완료됨, i: 전송이 완료되지 않음

RSS ATOM XHTML 5 CSS3