proftpd 설치 및 설정

<FTP 서버 구축하기>

(File Transfer Protocol)는 파일을 클라이언트로 전송하는 서비스이다. ftp서버는 클라이언트에서 파일을 받아갈수 있도록 pro-ftp나 wu-ftp와 같은
서버 프로그램을 설치한 서버를 말한다.
pro-ftp는 unix기계 또는 unix호환 운영체제를 위한 FTP데몬이다.(일반적으로 실행할때 ftpd가아니라 proftpd를 실행시키면된다.)
또한 Free software로 GPL(GNU Public License)에 따라 개발 되어져 왔으며, 완전한 소스코드공개와 이에 따른 패키지도 함께 제공하고 있다.



FTP 설치하기

다운받기
웹에서 다운받기 http://www.proftpd.org
ftp에서 다운받기

#mv proftpd.1.2.4.tar.gz /usr/local/src
#cd /usr/local/src
#tar zxvf proftpd.1.2.4.tar.gz
Readme,install, contrib/readme

#cd /etc/
#cp proftpd.conf proftpd.conf.pre ->만약에 대비에 요파일을 복사해둔다.(/etc에서 복사)
#./configure --prefix=/usr/local/proftpd --sysconfdir=/etc --enable-autoshadow

1). --prefix=/usr/local/proftpd (프로그램소스가 설치될 경로 지정한것.)
2). --sysconfdir=/etc (proftpd.conf가 설치된 장소(/etc) 여기서 sysconfdir은 환경설정파일이다.)

#make
#make install
#/etc/rc.d/init.d/xinetd stop ---> 기존의 돌고있는 데몬을 중지시킨다.
#vi /etc/proftpd.conf ---> 요놈을 연다
내용을 servername ---> 서버네임을 적어준다...나중에 접속시 재대로 작동이 되는지 확인차 적어준다.
servertype inetd ---> 요걸 주석처리하거나 삭제시킨다. 이파일은 xinet가구동될때 같이 돌게끔해준다....
servertype standalone ---> 다음 밑에 요것을 적는다.
#/usr/local/proftpd/sbin/proftpd ---> 새로 설치한 proftpd의 데몬을 실행
#ftp wowhome.pe.kr --->새로컴파일한것을 ftp로 접속하여본다.
#접속이 되는지 확인........

servertype inet로 구동시킬때 xinet로 같이 구동되게끔 할려면 다음과 같이 수정한다.

#재부팅시 기존의 ftp가 아닌 새로설치한 ftp를 자동구동시키기 위해선 다음을 수정한다.
#vi /etc/xinetd.d/proftpd ----> 기존에 구동되고 있는 ftp의 실행경로를 수정한다.
server =/usr/sbin/in.proftpd --->요것을 다음과같이 수정---> (server = /usr/local/proftpd/sbin/in.proftpd)새로설치한 ftp경로.)
/etc/rc.d/init.d/xinetd restart
접속

우선 vi /etc/proftpd.conf의 내용을 알아보자

# See the References in '/usr/share/doc/proftpd-core-{version}/' directory
# If u have any question, visit our Web Site. http://www.wowlinux.com
# or http://proftpd.oops.org
# Thank you - WOWLINUX.COM

##ServerName "ProFTPD Default Installation-WOW"
ServerName "새로설치한 proftp"
ServerType inetd
#ServerType standalone
DefaultServer on
Port 21 ------> ftp접속시 포트번호 이곳은 vi /etc/services를 열면 볼수있다
Umask 022 ------> 새로생성된 파일이 자동으로
MaxInstances 30 ------> dos의 공격에 보호하기 위해서 proftpd가 standalone모드로 동작할때, 생성되는 최대자식프로세스 수
보안상 중요하므로 될수있는 한 기본값에 따른다.
User nobody ---> 유저지시자로 설정한 유저는 proftpd설정을 실행하는 사용자로 의미한다.
Group nobody ---> 그룹지시자는 proftpd를 실행하는 사용자그룹을 의미한다
UseReverseDNS off --->
IdentLookups off
AuthPAMAuthoritative on
RootLogin off ---> 기본으로 root는 ftp접속이 불가능하게 되어있다....그러나 on으로 하면 접속이 가능하다.

<Directory /*>
AllowOverwrite on ---> Allowoverwrite 지시자는 새로생성될 파일로 덮어쓰기를 결정한다.반대로 off는 덮어스기를 결정하지않는다.
</Directory>

<anonymous --------------> 익명의 사용자를 의미>
<Anonymous ~ftp>
User ftp --->
Group ftp
UserAlias anonymous ftp ---> 별칭 자기가 anonymous로 접속하고 싶은 별칭을 갖고 anonymous와 같이 접속하는 효과를 가진다.
MaxClients 10 "Sorry, maxium users %m -- try again later" ---> anonymous로 동시접속할수 있는 최대 인원을 나타낸다.

((실습) --->우선맥스클라이언트를 1로 바꾸고 /etc/rc.d/init.d/xinetd restart를 구동시킨다. 그런후 #ftp localhost로 접속하고
id는 ftp나 anonymous로 하고 패스워드는 임의로 하나 만든다 그런다음 창을 하나 더열어 똑같은 방법으로 접속하여본다.
접속시
Login failed.
421 Service not available, remote server has closed connection ---> 요렇게 나오면 성공이다.

MaxClientsPerHost 1 "Sorry, Allow only one client for host"
DisplayLogin welcome.msg ----> 메세지를 뿌려주는것
DisplayFirstChdir .message
RequireValidShell off ----> 요부분이 off로 되어있어야만 anonymous로 접속이가능하다.(기본설정은 off)로 되어있다.
HideUser root

# Anonymous's Uploads Directory
<Directory uploads/*>
AllowOverwrite on --------> 덮어쓰기가 가능하게 할것인가 묻는옵션,또한 파일업로드도 가능하다.
AllowRetrieveRestart on
AllowStoreRestart on
<Limit DELE RMD>
DenyAll --------------> 삭제하는것을 불허한다는 옵션 삭제가능은 allowall로 설정하면 된다.
</Limit>
<Limit READ STOR MDK> --> 업로드라는 방에 대해서 읽기는 가능하고 디렉토리만드는것이 가능하다 upload라는 방에대해서...
AllowAll
</Limit>
</Directory>

# anonymous로 접속했을시 get과 put모두 사용가능하다. 단 rmdir rm은 사용불허한다.

# Anonymous's Public Directory
<Directory pub/*>
<Limit READ> ----------------> pub는 읽기 가능하다.
AllowAll ----------------> 모든것을 허용한다.
</Limit>
<Limit STOR DELE RMD MKD> ---------------> pub삭제나 생성이 불가능하다는 뜻.
DenyAll
</Limit>
</Directory>

# 일반적으로 anonymous로 접속을 했을시 get(읽기는 가능하고) put(불가능하게 한다)

--------------------------------------------------------------------------------

CWD (작업 디렉토리 변경)
작업 directory를 변경하는 것을 제어할때 사용된다.이 명령이 limits에 설정
이 되면 CDUP (디렉토리 UP 변경) 명령도 역시 적용이 된다.

MKD (Directory 생성)
새로운 directory생성을 제어 할때 사용한다.

RNFR (ReName FRom), RNTO (ReName TO)
rename에 대한 권한을 제어할때 사용한다.

DELE (DELEte)
file delete에 대한 권한을 제어할때 사용한다.

RMD (ReMove Directory)
directory delete에 대한 권한을 제어할때 사용한다.

RETR (RETRieve)
server로 부터 client로의 file 전송을 제어할떄 사용한다.(down load)

STOR (STORe)
client로 부터 server로의 file 전송을 제어할떄 사용한다.(up load)

READ
file 읽기에 관련된 모든 FTP명령들에 대한 제어를 할때 사용한다.
directory listing은 포함되지 않는다 예) RETR, STAT 등

WRITE
file 또는 directory에 대한 모든 FTP 명령에 대한 제어를 할때 사용한다.
쓰기/생성/제거(MKD 와 RMD 도 포함된다.)

DIRS
directory listing에 대한 모든 FTP 명령에 대한 제어를 할때 사용한다.
예) LIST 와 NLST

SITE_CHMOD(파일 권한 바꾸기)

ALL
모든 FTP 명령들을 제어할때 사용한다. (READ, WRITE, DIRS 들이 정의하고 있는 모든 권한들)
--------------------------------------------------------------------------

<ftp 계정접속불가자 만들기>

수정파일의 경로 #vi /etc/pam.d/ftp를 연다...

1. <내용 fpt>

원래파일은 file=/etc/proftpd/conf/ftpusers를 아래와 같이 수정한다.
file=/etc/ftpusers (수정한 내용) onerr=suceed

2.실제 ftp불가 계정자 등록하기
vi /etc/ftpusers를 연다

#root
bin
daemon
adm
lp
sync
shutdown
halt
mail
news
uucp
operator
games
nobody
(kywebm01)-->요렇게 추가한다.

저장하고 나온후 새로데몬을 리스타트시킨다.
#/etc/rc.d/init.d/xinetd restart
#ftp 211.42.115.155로 접속한후
추가시킨 계정명(kywebm01)이란 아이디로 접속을 시켜본다.
접속이 되지않으면 성공.



<서버와 클라이언트간의 ftp 불가 호스트만들기>

#vi /etc/proftpd.conf를 연다....

내용가장하단에 보면....anonymous안에 내용을(limit~/limit)적는다.
<limit login> ----> 내용시작하는 옵션
Order deny,allow ----> (deny(접속불가,allow(접속허용)우선순위 적용한내용....)
Deny from 211.42.115.162 ----> (접속불가호스트명)
Allow from all ----> 접속불가호스트명을 제외한 나머지 호스트는 허용한다는 뜻
</limit> ----> 내용이끝나는 옵션
</Anonymous> ----> 마지막 라인위에 내용을 삽입한다.

***********************************중요***********************************

현재 로그인 제한 범위가 <anonymous>~</anonymous>안에서 효력을 발휘하므로
로그인제한범위설정을 anonymous밖에 놓아두면 다른(162번컴퓨터) 컴퓨터에서
다른계정으로 접속하는게 불가능하다.

-------------------------------------------------------------------------
저장하고 나온다.

#/etc/rc.d/init.d/xinetd restart --> 데몬 리스타팅

확인방법(162번 컴퓨터에서 서버컴퓨터에 접속을 하여본다)
#ftp 211.42.115.155
login:anonymous
passwd:아무게나
접속이 불가능하면 성공....



<ftp사용자가 접속시 welcome.msg를 이용한 환영메세지 뿌리기>

1. 우선 #vi /var/ftp/welcome.msg ---> 파일을 만든어 아래와 같이 메세지를 적는다.

************************** welcome.msg의 내용 **************
환영합니더
Proftp 1.2 %V ---> proftp버전을 나타내는 함수
ftp://%L/ --->
.남은용량 : %F ---> 남은용량확인
.현재사용자수 : %N /%M ---> 현재사용자수/제한사용자수
.%R 에서 %U 님이 접속하셨습니다.--->클라이언트컴퓨터에서 호스트컴퓨터로 접속한 아이피주소와 id출력.
.%T 년에 접속 --->마지막 접속한 시기알리기
FTP사용상에 애로틱한 사항이 있으시면
재빨리 메일주소를 남겨주세요....
E-mailto : %E

***********************************************************

2. vi /etc/proftpd.conf 을 열어보면은 아래와같은 내용이 적혀있는데
그중에서 (DisplayLoginwelcome.msg)이란내용을 anonymous 밖에 복사하여적으면
일반사용자도 (welcome.msg 파일의 내용이 ftp접속시 화면에 디스플레이된다.)
anonymous 안에 적혀있으면 anonymous로 접속한 사용자가
(welcome.msg 파일의 내용이 ftp접속시 화면에 디스플레이된다.)

(예 : aa라는 계정이 있는 경우 aa계정 디렉토리안에 welcome.msg를 복사하여 넣어준다.)

*****************************내 용 **************************
DisplayLogin welcome.msg
<Anonymous ~ftp>
User ftp
Group ftp
UserAlias anonymous ftp
MaxClients 1 "Sorry, maxium users %m -- try again later"
##MaxClientsPerHost 1 "Sorry, Allow only one client for host"
MaxClientsPerHost 1 "바부야 안되제....켁"
DisplayLogin welcome.msg
DisplayFirstChdir .message
RequireValidShell off
HideUser root

**************************************************************

시스템 데몬을 리스타트시킨후 계정으로 접속을 하여본다.
여기서 welcom.msg의 내용이 나타나면 성공..

---------------------------------------------------------------------------------------------

68 <Directory upload> <=== 여기서부터는 추가한 내용이다.
69 <Limit RETR> RETR: 다운로드를 의미한다.
70 DenyAll DenyAll : 모든사용자에게 금지
71 </Limit>
72 <Limit STOR> STOR : upload 를 의미한다.
73 AllowAll
74 </Limit>
75 </Directory>
76
77 <Directory pub>
78 <Limit RETR READ>
79 AllowAll AllowAll : 모든 사용자에게 허용
80 </Limit>
81 <Limit STOR>
82 DenyAll
83 </Limit>
84 </Directory>
85 </Anonymous>

------------------------------------------------------------------------------------------

Order를 이용한 권한 제어
위에서 다루었던 proftpd.conf는 단순히 AllowAll 과 DenyAll만을 사용해 권한 제어를 했는데 Order 명령을 이용해서
접근제어와 권한 제어를 할 수 있습니다.

특정 호스트만 로그인을 허용할 때
<Limit LOGIN>
Order allow,deny
Allow from 203.241.205.,.rootman.co.kr
Deny from all
</Limit>

Order 명령에서 Allow 와 Deny는 공백 문자가 아닌 쉼표(,)로 구분합니다.
Allow 와 Deny의 대상을 입력할 때도 대상들의 구분은 공백이 아닌 쉼표(,)로 구분합니다.
위의 설정은 203.241.205의 네트워크 주소를 가지거나 rootman.co.kr을 포함해 하위 호스트들만 접근이 가능하고 그외 호스트에 대해서는 Login을 받아 들이지 않습니다.

예)
203.241.205.97 ---> 로그인 가능(203.241.205의 네트워크 주소를 가진다)
203.241.202.16 ---> 로그인 불가(203.241.205의 네트워크 주소를 가지지 않는다)
linux.rootman.co.kr ---> 접속 가능(rootman.co.kr의 하위 호스트이다)
microsoft.com ---> 접속 불가(rootman.co.kr의 하위 호스트가 아니다)
order명령은 LOGIN외에 READ, MKD, DELE, RMD, STOR등에도 적용할 수 있습니다.

2. 그외 설정 
2-1 ftp 루트( / ) 디렉토리 지정
DefaultRoot ~
사용자가 fpt로 접속해서 자신의 홈 디렉토리 외에 다른 곳에는 접근하지 못하게 합니다.
~(물결표시)는 사용자의 홈 디렉토리를 가리킵니다. 즉 자신의 홈 디렉토리가 루트( / ) 디렉토리가 됩니다.
이 지시자를 설정 하지 않으면 기본적으로 DefaultRoot는 /로 설정되어 있기 때문에 사용자는 최상위 경로( / ) 까지 접근 할 수 있습니다.

예)
DefaultRoot ~aaa,bbb,ccc
--> aaa, bbb, ccc 그룹에 속하는 ftp 접속 떄 자신의 홈 디렉토리가 루트( / ) 디렉토리가 된다.

DefaultRoot ~ !aaa
--> aaa 그룹에 속하는 사용자들을 제외한 나머지 접속자들은 자신의 홈 디렉토리가 루트 ( / ) 디렉토리가 된다.

2-2 심볼릭 링크 파일 보여주기
ShowSymlinks On 또는 Off
디렉토리에서 심볼릭 링크가 된 파일을 보여 주는냐, 보여 주지 않느냐에 대한 설정입니다.
이 설정이 안 되어 있을 때에는 기본적으로 계정 사용자 접속의 경우에는 심볼릭 링크파일이 보여지고 anonymous사용자 접속의 경우는 심볼릭 링크 파일을 보여주지 않습니다.
전체 사용자에게 On 또는 Off를 설정하고 싶다면 Global 섹션에 포함 시키면 됩니다.

2-3 숨김파일 보여주기
LsDefaultOption "-a"
이 설정을 함으로써 점( . ) 으로 시작하는 파일 또는 디렉토리명을 보여 줍니다. 즉 숨김 파일에 대한 설정입니다. 하지만 요즘 사용하는 ftp클라이언트에서도 이 기능을 제공합니다.

3. welcome.msg 파일에 사용할 수 있는 유용한 것들
호스트명 : %L
남은 용량 : %f
현재 접속자 수 : %N
최대 접속자 수 : %M
리모트 호스트 : %R
사용자명 : %U
관리자 메일 : %E 



[작성] 까르페디엠 ( http://enigma777.egloos.com/3279366 )