Чистый FTP сервер - pure-ftpd :)

Автор: lissyara.

    Нашёл аглицкий мануал по pure-ftpd - пробежался по диагонали - оказалось интересно. Поддерживает юзеров в MySQL, персональные лимиты для каждого пользователя, которые тоже можно в БД хранить. Красота, короче. Решил попробовать.
   Ставим из портов, предварительно обновив их:


/usr/home/lissyara/>cd /usr/ports/ /usr/ports/>make search name='pure-ftpd' Port: pure-ftpd-1.0.21_1 Path: /usr/ports/ftp/pure-ftpd Info: A small, easy to set up, fast and very secure FTP server Maint: j@pureftpd.org B-deps: R-deps: perl-5.8.8 WWW: http://www.pureftpd.org/ /usr/ports/>cd /usr/ports/ftp/pure-ftpd /usr/ports/ftp/pure-ftpd/>make && make install && make clean

Вообще, подразумеваеся что MySQL уже стоит - без него я не пробовал, но в зависимостях его нет. Поэтому клиента лучше сразу поставить. Лезет синее окошко, где я выбрал такой набор опций:


Options for pure-ftpd 1.0.21_1 [ ] LDAP Support for users in LDAP directories [X] MYSQL Support for users in MySQL database [ ] PAM Support for PAM authentication [ ] PGSQL Support for users in PostgreSQL database [X] PRIVSEP Enable privilege separation [X] PERUSERLIMITS Per-user concurrency limits [X] THROTTLING Bandwidth throttling [X] BANNER Show pure-ftpd welcome upon session start [X] UPLOADSCRIPT Support uploadscript daemon [X] UTF8 Support for charset conversion (expreimental) [X] SENDFILE Support for the sendfile syscall

После чего выскочило ещё пару опций, не отражённых в этом самом окошке:


===> Vulnerability check disabled, database not found ===> Found saved configuration for pure-ftpd-1.0.21_1 You can use the following additional options: WITH_CERTFILE=/path - Set different location of certificate file for TLS WITH_LANG=lang - Enable compilation of language support, lang is one of english, german, romanian, french, french-funny, polish, spanish, dutch, italian, brazilian-portuguese, danish, slovak, korean, norwegian, swedish, russian, traditional-chinese, simplified-chinese, hungarian, catalan and czech.

Естессно, русский нам нужен :))) Потому жмякнул Ctrl+C, и внёс такие строки в /etc/make.conf


PORTSDIR?= /usr/ports # pure-ftpd .if ${.CURDIR} == ${PORTSDIR}/ftp/pure-ftpd WITH_LANG= russian .endif

После установки, копируем дефолтовые настройки:


/usr/home/lissyara/>cd /usr/local/etc/ /usr/local/etc/>ls | grep pure pure-ftpd.conf.sample pureftpd-ldap.conf.sample pureftpd-mysql.conf.sample pureftpd-pgsql.conf.sample /usr/local/etc/> /usr/local/etc/>cp pureftpd-mysql.conf.sample pureftpd-mysql.conf /usr/local/etc/>cp pure-ftpd.conf.sample pure-ftpd.conf /usr/local/etc/>

И редактируем конфиги:
/usr/local/etc/pure-ftpd.conf


# Конфиг pure-ftpd # 2006-06-13, lissyara # Для запуска Pure-FTPd с этой конфигурацией, вместо параметров # командной строки, запустите такую команду: # /usr/local/sbin/pure-config.pl /usr/local/etc/pure-ftpd.conf # # Не забудте изучить документацию на сайте, для получения # полного списка команд - http://www.pureftpd.org/documentation.shtml # Chroot`ить всех пользователей в их хомяках ChrootEveryone yes # Если в предыдущей опции было выбрано "no", то члены следующей # группы не будут chroot`ится. Всё остальные - будутe. Если Вы не хотите # chroot`ить всех, то просто раскоментируйте ChrootEveryone и TrustedGID. # TrustedGID 100 # Включить "фичи" совместимости, для кривых клиентов BrokenClientsCompatibility no # Максимальное число одновременных юзеров MaxClientsNumber 50 # Работать в фоне (демоном) Daemonize yes # Максимальное число одновременных соединений с одного IP MaxClientsPerIP 8 # Если вы хотите логировать все команды клиентов, то в этом # пункте должно быть "yes". Если необходимо логгировать также # ответы сервера, то просто продублируйте этот пункт. VerboseLog no # Показывать или нет файлы, начинающиеся с точки, даже когда клиент # явно не говорит что это надо делать, опцией "-a". DisplayDotFiles yes # Не разрешать аутентифицированных юзеров - этот FTP # только для анонимных клиентов. AnonymousOnly no # Запретить анонимоусов - FTP тока для регистрованных юзеров. NoAnonymous no # Средства syslog (auth, authpriv, daemon, ftp, security, user, local*) # Дефолт - "ftp". "none" - отключает логирование. SyslogFacility ftp # Показывать какие-то куки? (Display fortune cookies) # FortunesFile /usr/share/fortune/zippy # Не резольвить имена хостов в логах. Логи становятся менее информативными, # но и ресурсов требуется меньше. "yes" - имеет смысл ставить на очень # загруженных серверах, или при неработающем DNS. DontResolve yes # Максимальное время простоя (по окончании рвётся коннект), в минутах # (default = 15 minutes) MaxIdleTime 15 # Файл конфигурации LDAP (смотрите README.LDAP) # LDAPConfigFile /etc/pureftpd-ldap.conf # Файл конфигурации MySQL (смотрите README.MySQL) MySQLConfigFile /usr/local/etc/pureftpd-mysql.conf # Файл конфигурации Postgres (смотрите README.PGSQL) # PGSQLConfigFile /etc/pureftpd-pgsql.conf # база данных юзеров PureDB (смотрите README.Virtual-Users) # PureDB /etc/pureftpd.pdb # путь к сокету pure-authd (смотрите README.Authentication-Modules) # ExtAuth /var/run/ftpd.sock # Если нужно подключить PAM аутентификацию раскомментируйте # следующую линию # PAMAuthentication yes # Если нужна системная, Unix аутентификация (/etc/passwd), # раскомментируйте следующую линию # UnixAuthentication yes # Пожалуйста, отметтьте, что LDAPConfigFile, MySQLConfigFile, # PAMAuthentication и UnixAuthentication могут использоваться только # один раз, но они могут использоваться вместе. Например, если вы # используете MySQLConfigFile, затем UnixAuthentication, то идёт запрос # к MySQL. Если в БД такой пользователь не найден, то пробуется # системный пользователь в /etc/passwd и /etc/shadow. Если SQL # аутентификация неудачна по причине неправильного пароля, то происходит # остановка дальнейшего поиска пользователя. Методы аутентификации # будут ипользоваться в порядке в которм они заданы # Пределы рекурсии команды 'ls'. Первй аргумент - максимально число файлов, # которое будет показано. Второе - максимальное число подкаталогов LimitRecursion 2000 8 # Имеют ли право анонимоусы создвать новые директории? AnonymousCanCreateDirs no # Если система загружена более, чем указанное тут значение, то # анонимоусы не могут что-либо скачивать MaxLoad 4 # Диапазон портов для пассивного соединения. Если у вас файрволл рубает # стандартный диапазон # PassivePortRange 30000 50000 # Принудительный IP адрес в PASV/EPSV/SPSV ответах. - для NAT. # Символические имена хостов такде приняты для шлюзов с динамическим IP # ForcePassiveIP 192.168.0.1 # Соотношение upload/download для анонимоусов. # AnonymousRatio 1 10 # Соотношение upload/download для всех юзеров. # Эта директива не перекрывает предыдущую. # UserRatio 1 10 # Запретить скачку файлов владельцем которых является "ftp", т.е. # файлы были загружены но не одобрены местным (локальным) админом. # (Название пункта интересное :))) AntiWarez yes # IP адрес/порт на которых слушаем (дефолт = все IP и порт 21). #Bind 192.168.254.254,21 # Максимальная скорость для анонимоусов в KB/s # AnonymousBandwidth 8 # Максимальная скорость для всех юзеров (включая анонимов) в KB/s # Используйте AnonymousBandwidth или UserBandwidth, использовать оба, # не имеет смысла. # UserBandwidth 8 # Маска для создаваемых файлов. <umask для файлов>:<umask для директорий>. # 177:077 - если вы параноик :) # umask - это такое число, при вычитании которого из максимума (777) и # получается нужная маска. т.е. для случая ниже маски будут, соответствено: # 644 для файлов, и 755 для директорий Umask 133:022 # Минимальный UID с которым юзер будет пущен. # (В родном варианте тут было 100. Я поставил тыщщу) MinUID 1000 # Разрешить передачу FXP для авторизованных юзеров. # (Это передача файлов прям между серверами - т.е. если вам надо # скопировать файл с одного сервака на другой, вы его вначале тащите # к себе, затем кладёте куда надо. При включении этой опции сервера # сами перекинут файл между собой. Но это палево - я серверов с # включенной этой функцией ещё не видел :))) AllowUserFXP no # Разрешить передачу FXP для анонимоусов и не-анонимоусов # (видимо, для всех вообще). AllowAnonymousFXP no # Пользователи не могут удалять и изменять файлы начинающиеся на точку('.') # даже если они их владельцы. Если TrustedGID включена, эта группа имеет # доступ к этим файлам. ProhibitDotFilesWrite no # Запретить чтение файлов начинающихся с точки (.history, .ssh...) ProhibitDotFilesRead no # Никогда не перезаписывать файлы. Когда имя, для закачиваемго файла уже # существует, он будет автоматически переименован в file.1, file.2, file.3, ... AutoRename no # Запретить анонимным юзерам загружать новые файлы (no = аплоад разрешён) AnonymousCantUpload no # Только подключения к этому IP адресу могут быть не анонимными. Вы # можете использовать эту директиву чтобы использовать несколько IP # для анонимного FTP, и оставить приватный, зафаерволленый IP для # удалённого администрирования. также вы можете разрешить нероутабельный # локальный IP (типа 10.x.x.x) для аутентификации и оставить публичный # (для анонимоусов) FTP-сервер на другом IP. #TrustedIP 10.1.1.1 # Если вы хотите чтобы PID добавлялся в каждую линию лога, # то раскомемнтируйте следующую линию. #LogPID yes # Создавать дополнительный лог-файл с логом в формате типа "apache": # fw.c9x.org - jedi [13/Dec/1975:19:36:39] "GET /icap.tar.bz2" 200 21808 # Этот лог-файл может быть обработан программами для # анализа логов апача. # AltLog clf:/var/log/pureftpd.log # Создавать дополнительный лог-файл в формате оптимизированном для # статистических отчётов (х.з. как это. Надо будет посмотреть) # AltLog stats:/var/log/pureftpd.log # Создавать ещё один лог с переданными файлами в стандарте W3C # (совместим с многими коммерческими анализаторами) # AltLog w3c:/var/log/pureftpd.log # Отключить команду CHMOD. Пользователи не смогут менять разрешения # на файлы. #NoChmod yes # Позволить юзерам закачивать но не удалять файлы. #KeepAllFiles yes # Автоматически создавать домашнюю директорию пользователя, # если она отсутствует #CreateHomeDir yes # Включить виртуальную квоту. Первое число - максимальное число файлов. # Второе число - максимальный размер, в мегабайтах. # Так 1000:10 ограничивает каждого пользователя 1000 файлов и 10-ю мегами. #Quota 1000:10 # Если pure-ftpd скомпилен с поддержкой standalone режима, вы можете изменить # местоположение pid-файла. Дефолтовое положение - /var/run/pure-ftpd.pid #PIDFile /var/run/pure-ftpd.pid # Если pure-ftpd скомпилен с поддержкой pure-uploadscript, # то этот пункт позволяет писать информацию о новых загруженных # файлах в /var/run/pure-ftpd.upload.pipe так что pure-uploadscript может # прочесть их и обработать загруженный файл. #CallUploadScript yes # Эта опция полезна на серверах, гда позволен аплоад анонимоусам. # Если /var/ftp находится в отдельном разделе /var, это позволяет # сохранить свободное место и защитить файлы логов. Когда процент # заполнения больше чем указанный тут, аплоад автоматом запрещается. MaxDiskUsage 99 # Установите 'yes' в этой опции если хотите разрешить юзерам # переименовывать файлы. #NoRename yes # Включить 'customer proof': какая-то ошибка, типа 'chmod 0 public_html', # при совместной работе, чтоль... Короче это не баг а фича... :) И чтобы # тупые клиенты не напрягали ваш саппорт надо поставить 'yes' в этом # пункте. Если клиенты имеют немного знаний по Unix то эта фича # бесполезна. Если у Вас хостинг - включите её. # (перевод почти дословный - но про что речь я так и не понял...) CustomerProof yes # Число параллельных процессов. Работает тока если сервер был # скомпилен с опцией '--with-peruserlimits' (тут чё-то про то, что # в большинстве бинарных дистрибов так оно и есть). # Формат:<максимум сессий на юзера>:<максимум сеансов анонимоусов> # Например, 3:20 значит что аутентифичированный юзер может иметь три # активных сеанса. А на всех анонимов - максимум 20 сеансов. #PerUserLimits 3:20 # Когда загружен файл на сервер, и есть предыдущая версия (с тем же именем), # то старый файл не будет ни удалён ни усечён. Загрузка будет произведена # во временный файл и по окончании загрузки будет произведено атомарное # переключение к новой версии файла. Например, при загрузке большого PHP # сценария, апач будет работать со старой версией до полной загрузки # и немедленно переключится на новый как тока он будет полностью передан # Эта опция несовместима с виртуальными квотами. #NoTruncate yes # Эта опция может принимать три значения: # 0 - отключить SSL/TLS шифрование (по-умолчанию). # 1 - принимать и шифрованные и обычные подключения. # 2 - отклонять подключения которые не используют SSL/TLS, # включая анонимные соединения. # Не раскомментируйте это вслепую. Проверьте, что: # 1) Сервер скомпилен с поддержкой SSL/TLS (--with-tls), # 2) Положен валидный сертификат, # 3) Только совместимые клиенты залогинятся. # TLS 1 # Слушается тока IPv4 адрес в режиме standalone (т.е. IPv6 отключен) # По дефолту, IPv4 и IPv6 включены. IPV4Only yes # Слушается тока IPv6 адрес в режиме standalone (т.е. IPv4 отключен) # По дефолту, IPv4 и IPv6 включены. # IPV6Only yes # Поддержка UTF-8 для имён файлов (RFC 2640) # Определите кодировку для файловой системы сервера и, опционально, # дефолтовую кодировку для клиентов, которые не юзают UTF-8. # Работает тока если pure-ftpd скомпилен с '--with-rfc2640' FileSystemCharset koi8-r ClientCharset cp1251

/usr/local/etc/pureftpd-mysql.conf


# Конфиг MySQL для pureftpd # Опционально: Имя или IP MySQL-сервера. Не задавать этот # пункт, если используется локальный unix сокет. #MYSQLServer 127.0.0.1 # Опционально: Порт на котором висит MySQL. Не задавать этот # пункт, если используется локальный unix сокет. #MYSQLPort 3306 # Опционально: Задаётся имя сокета mysql.sock если MySQL на этом же хосте. MYSQLSocket /tmp/mysql.sock # Обязательно: юзер, которым лезем в БД. MYSQLUser pure-ftpd # Обязательно: пароль пользователя, от которого лезем в MySQL. MYSQLPassword pure-ftpd # Обязательно: БД с которой работаем. MYSQLDatabase pureftpd # Обязательно: как сохранён пароль в БД # Возможные значения: "cleartext", "crypt", "md5" и "password" # ("password" = MySQL password() функции) # Можно использовать "any" чтобы попробовать "crypt", "md5" и "password" MYSQLCrypt cleartext # В последующих директивах части строк заменены, до # выполнения запроса: # # \L заменяется именем пользователя, что логинится. # \I заменяется IP адресом сервера, на который лезет юзер # \P заменяется номером порта с которым соединился юзер. # \R заменяется IP адресом юзера. # \D заменяется IP адресом юзера, в виде long decimal number # (например, 192.168.254.1 == 3232300545). # # Можно настругать относительно сложные квери к БД, используя # этот набор переменных. Если используется одна БД на несколько серверов, # то "\I" позволяет определить, на тот ли сервер ломится юзер. # Кверя на получение пароля из БД: MYSQLGetPW SELECT `password` FROM `users` WHERE `user`="\L" AND `active`='1' # Кверя на получение системного имени пользователя, или UID MYSQLGetUID SELECT `uid` FROM `users` WHERE `user`="\L" # Опционально: default UID - вместо квери на его извлечение MYSQLGetUID #MYSQLDefaultUID 1000 # Запрос к БД на получение имени группы или gid MYSQLGetGID SELECT `gid` FROM `users` WHERE `user`="\L" # Опционально: default GID - вместо запроса MYSQLGetGID #MYSQLDefaultGID 1000 # Запрос на получения хомяка MYSQLGetDir SELECT `home` FROM `users` WHERE `user`="\L" # Опционально: Запрос на максимальное число файлов у юзера # (интересно - какой в этом глубокий смысл? Чтобы inode на # сервере не первели чтоль? :)) #Должен быть скомпилен с `virtual quotas support`. MySQLGetQTAFS SELECT `QuotaFiles` FROM `users` WHERE `user`="\L" # Опционально: запрос на квоту (использование диска) # Число, в мегабайтах. # Pure-FTPd должен быть скомпилен с `virtual quotas support`. MySQLGetQTASZ SELECT `QuotaSize` FROM `users` WHERE `user`="\L" # Опционально: Отношения. Запросы на соотношение download/upload. # Дол;ен быть скомпилен с этой функцией. MySQLGetRatioUL SELECT `ULRatio` FROM `users` WHERE `user`="\L" MySQLGetRatioDL SELECT `DLRatio` FROM `users` WHERE `user`="\L" # Опционально: Ширина канала для юзера. Сервер должен быть # скомпилен с такой опцией. Значение в KB/s . MySQLGetBandwidthUL SELECT `ULBandwidth` FROM `users` WHERE `user`="\L" MySQLGetBandwidthDL SELECT `DLBandwidth` FROM users WHERE `user`="\L" # Выпускать юзера из хомяка (~). Никогда не делайте этого, если: # 1) Вы точно знаете что делаете. # 2) Совпадают реальные и виртуальные юзеры. #MySQLForceTildeExpansion 1 # Если Вы обновили таблицы до транзакционных (Gemini, # BerkeleyDB, Innobase...), можно включить транзакции SQL # Оставьте закомменченым, если используются MyISAM базы данных, # или старая версия MySQL (< 3.23.x). #MySQLTransactions On

Затем создаём БД по прилагаемому дампу:


-- -- БД: `pureftpd` -- -- -------------------------------------------------------- -- -- Структура таблицы `users` -- CREATE TABLE `users` ( `user` varchar(16) binary NOT NULL, `password` varchar(64) binary NOT NULL, `uid` int(11) NOT NULL default '-1', `gid` int(11) NOT NULL default '-1', `home` varchar(128) binary NOT NULL default '/usr/home/anonymous', `QuotaFiles` int(9) NOT NULL default '10000', `QuotaSize` int(6) NOT NULL default '100', `ULRatio` int(2) NOT NULL default '1', `DLRatio` int(2) NOT NULL default '10', `ULBandwidth` int(6) NOT NULL default '1024', `DLBandwidth` int(6) NOT NULL default '1024', `active` int(1) NOT NULL default '1', PRIMARY KEY (`user`) ) TYPE=MyISAM; -- -- Дамп данных таблицы `users` -- INSERT INTO `users` VALUES ('lissyara', '123', 1001, 1001, '/usr/home/lissyara', 10000, 100, 1, 10, 1024, 1024, 1); INSERT INTO `users` VALUES ('anonymous', '123', 1002, 1002, '/usr/home/anonymous', 10000, 100, 1, 10, 1024, 1024, 1);

Затем запускаем сервер:


/usr/home/lissyara/>echo 'pureftpd_enable="YES"' >> /etc/rc.conf /usr/home/lissyara/>/usr/local/etc/rc.d/pure-ftpd start Starting pureftpd. Running: /usr/local/sbin/pure-ftpd -A -c50 -B -C8 -D -fftp -H -I15 -lmysql:/usr/local/etc/pureftpd-mysql.conf -L2000:8 -m4 -s -U133:022 -u1000 -k99 -Z -4 -8koi8-r -9cp1251 /usr/home/lissyara/> /usr/home/lissyara/>sockstat | grep pure root pure-ftpd 13064 3 dgram -> /var/run/logpriv root pure-ftpd 13064 4 tcp4 *:21 *:* /usr/home/lissyara/>

Пробуем подключиться:


/usr/home/lissyara/>ftp localhost Trying ::1... Trying 127.0.0.1... Connected to localhost.int.otradno.ru. 220---------- Добро пожаловать на Pure-FTPd [privsep] [TLS] ---------- 220-Вы пользователь 1 из 50 разрешенных 220-Местное время 09:12. Серверный порт: 21. 220 Вы будете отсоединены после 15 минут бездеятельности. Name (localhost:lissyara): 331 Чтобы войти как lissyara требуется пароль Password: 230-Пропускная способность для вас ограничена 230-Пользователю lissyara разрешен групповой доступ к: wheel 1001 230-Вы должны соблюдать соотношение 1:10 (UL/DL) 230-OK. Текущая корневая директория / 230-1 файлов используется (0%) - разрешено: 10000 файлов 230 0 КБ используется (0%) - разрешено: 102400 КБ Remote system type is UNIX. Using binary mode to transfer files. ftp> pwd Remote directory: / ftp> quit 221-Всего хорошего. Вы закачали 0 и скачали 0 килобайт. 221 Отсоединение. /usr/home/lissyara/>

И в /var/log/xferlog такие строки:


Jun 14 09:12:50 lissyara pure-ftpd: (?@127.0.0.1) [INFO] Новое соединение с 127.0.0.1 Jun 14 09:12:58 lissyara pure-ftpd: (?@127.0.0.1) [INFO] lissyara вошел Jun 14 09:13:09 lissyara pure-ftpd: (lissyara@127.0.0.1) [INFO] Отсоединение.

Ну и всё. Работает. Особенно мне понравилась возможность перекодировки - сейчас на моём ftp для локалки всё хранится в кодировке cp1251 - соответсвенно при просмотре из консоли - это тихий ужас, ибо локаль на фре koi8-r. Теперь можно будет всё хранить в нормальном формате (правда придётся настругать скрипт для переименовывания всего - 200 гигов с именами в cp1251 :)).
Из минусов - нет возможности, как в proftpd на запись в MySQL логов - кто что передал-принял, какие были команды и с каким результатом... Очень удобная феня... Также при ошибках в конфиге не ругается на то, в какой строке ошибка - я оставил незакомменченым одно предложение из комментов, по-русски - не запускался, и в логах так ругался:


Jun 13 20:22:41 lissyara pure-ftpd: (?@?) [ERROR] Ошибка в конфигурации: Плохой файл конфигурации SQL: /usr/local/etc/pureftpd-mysql.conf Jun 13 20:25:45 lissyara pure-ftpd: (?@?) [ERROR] Ошибка в конфигурации: Плохой файл конфигурации SQL: /usr/local/etc/pureftpd-mysql.conf

Хорошо хоть конфиги не большие, и удалось быстро найти...

размещено: 2006-06-14,
последнее обновление: 2008-12-13,
автор: lissyara

  Этот информационный блок появился по той простой причине, что многие считают нормальным, брать чужую информацию не уведомляя автора (что не так страшно), и не оставляя линк на оригинал и автора — что более существенно. Я не против распространения информации — только за. Только условие простое — извольте подписывать автора, и оставлять линк на оригинальную страницу в виде прямой, активной, нескриптовой, незакрытой от индексирования, и не запрещенной для следования роботов ссылки.
  Если соизволите поставить автора в известность — то вообще почёт вам и уважение.

© lissyara 2006-10-24 08:47 MSK