FTP SUNUCUSU
FTP protokolü TCP paketleri kullanarak sunucu istemci mimarisinde çalışan bir uygulamadır. FTP sunucuları 20 ve 21 nolu portları dinleyerek hizmet verirler. 21. port kontrol kanalı olarak adlandırılır ve istemci tarafından FTP sunucusuna gönderilen tüm komutlar sunucunun 21. portuna gönderilir. 20. port ise veri kanalı olarak adlandırılır ve istemciden sunucuya yada sunucudan istemciye gönderilecek veriler sunucunun 20. portunu kullanır. FTP sunucuları bağlantı şekillerine göre ikiye ayırabiliriz;
- Aktif FTP sunucu bağlantısı
- Pasif FTP sunucu bağlantısı
Aktif FTP Bağlantı Aşamaları;
· İstemciniz FTP sunucusuna FTP kontrol portu olan 21. portundan bağlanır. “ls” , “get” gibi komutlarınız bu bağlantı üzerinden gider.
· İstemci kontrol portu üzerinden yolladığı komutla sunucudan kendisine doğru veri transer etmek isterse veri sunucunun 20. portundan istemcinin 1024'den daha yukarıdaki portlarından birine yapılacak olan bir bağlantıyla sağlanır.
· ls komutu çıktısı gibi verilerde, veri transfer edilen (20. portu kullanan) bağlantı üzerinden istemciye ulaşır.
· Aktif ftp bağlantısı istemcinin NAT arkasında bulunduğu durumlarda gerekli yönlendirmeler yapılmamışsa problem yaratabilir.
Pasif FTP Bağlantı Aşamaları;
- İstemciniz FTP sunucusunun kontrol portu olan 21. portuna bağlanır. Komutlarınız bu bağlantı üzerinden sunucuya gider.
- İstemci ne zaman veri transferi isteğinde bulunsa istemci 1024'ten yüksek bir portu kaynak port olacak şekilde hedef portu sunucunun 1024'ten yüksek bir portu olacak şekilde bağlantı kurar ve veri transferini bu bağlantı üzerinden gerçekleştirir.
- Pasif FTP bağlantıları sırasında sunucu istemciye doğru herhangi bir bağlantı kurma çabasına girmez. İstemci veri gönderirken de alırken de her zaman gereken bağlantıları kurar. Firewall veya NAT arkasındaki istemcileri için pasif bağlantı şekli daha iyi çalışacaktır.
Linux üzerinde kullanılan bir çok ftp sunucusu mevcuttur;
- Pure-ftpd
- Vsftpd
- Proftpd
- Wu-ftpd ....
Vsftpd
Vsftpd (Very Secure FTP) yaygın olarak kullanılan ve konfigürasyonu oldukça basit bir ftp sunucusudur. Genellikle xinetd daemon’u tarafından kontrol edilmektedir. Eğer sisteminizde vsftpd yüklüyse;
Sunucuyu başlatmak için /etc/xinetd.d/vsftpd dosyası içerisindeki disable satırının değerini no olarak değiştirmek gerekmektedir.
service ftp
{
socket_type = stream
protocol = tcp
wait = no
user = root
server = /usr/sbin/vsftpd
server_args =
log_on_success += DURATION USERID
log_on_failure += USERID
nice = 10
disable = yes/no
}
ardından
$ /etc/init.d/xinetd restart
komutuyla xinetd deamon’unu yeniden başlatarak ftp sunucunuzu açmış olursunuz. Anonymous kullanıcıların öntanımlı olarak ulaşacakları dizin sistemde lokal olarak tanımlanmış olan ftp kullanıcısının ev dizinidir.
ftp:x:40:49:FTP account:/disk/suse93iso:/bin/bash
Vsftp sunucusunun konfigürasyon dosyası /etc/vsftpd.conf dosyasıdır. Bu dosya içerisindeki konfigürasyonla ilgili bazı önemli parametreler aşağıda açıklanmıştır.
- Ftp sunucunuza girildiğindeki görünmesini istediğiniz hoş geldiniz mesajı ftpd_banner parametresiyle değiştirilebilir
ftpd_banner="Welcome to FOOBAR FTP service."
- Ftp sunucunuza anonymous kullanıcıların yanında sunucuda tanımlı olan lokal kullanıcıların da ev dizinlerine şifreleri ile ulaşmasını istediğinizde local_enable parametresini YES olarak ayarlamalısınız.
local_enable=YES
- Sunucunuza ev dizinlerine ulaşmak için giren lokal kullanıcıların ev dizinlerinden daha üst dizinlere çıkmasını engellemek isterseniz chroot_local_user parametresi YES olarak ayarlanmalıdır.
chroot_local_user=YES
- Ev dizinine hapsetmek istediğiniz kullanıcıları liste halinde tutmak istiyorsanız chroot_list_enable parametresini YES olarak ayarlayıp ardından kullanıcı listenizi chroot_list_file parametresi ile belirtmelisiniz.
chroot_list_enable=YES
chroot_list_file=/etc/vsftpd.chroot_list
- Sunucunuza bağlanan kullanıcılarınızın veri transfer hızını sınırlamak isterseniz local_max_rate parametresini byte/sn cinsinden belirlemelisiniz. Öntanımlı değer 0 yani sınırsızdır.
local_max_rate=7200
- Anonymous bağlantıya izin vermek istediğinizde anonymous_enable seçeneğinin YES olarak ayarlanması gerekmektedir.
anonymous_enable=YES
- Kullanıcının sunucuyla bağlantısının kesilmesine sebep olacak hareketsiz kalma süresi idle_session_timeout parametresi ile saniye cinsinden belirtilir
idle_session_timeout=600
- Veri transferinde kesinti olduğunda ne kadar süre bğlantı yapma denemelerinin devam edeceği data_connection_timeout parametresi ile saniye cinsinden belirtilir
data_connection_timeout=120