Datové archívy - FTP a rsync

Obsah

• FTP - protokol
• FTP - přenos dat
• FTP - softwarové vybavení
• FTP - server proftpd
• FTP - bezpečnost

• rsync
• rsync - algoritmus
• rsync - klient
• rsync - server

• Literatura

FTP - File Transfer Protocol

FTP (File Transfer Protocol), definován v RFC959 (1985), je protokolem aplikační vrstvy určeným pro přenos souborů. Mimo jiné umožňuje vytvářet a mazat adresáře, úpravu přístupových práv. Komunikace je založena převážně na modelu klient-server; je možné pomocí klienta iniciovat datové spojení mezi FTP servery.
Schopnosti základního protokolu rozšířilo několik "navazujících" RFC dokumentů, například:

• RFC1579 (Firewall-Friendly FTP)
• RFC2228 (FTP security extensions)
• RFC2428 (FTP Extensions for IPv6 and NATs)
• RFC2640 (Internationalization of the File Transfer Protocol)
• RFC4217 (Securing FTP with TLS)

FTP - přenos dat

Protokol FTP využívá jako transportní vrstvu pouze TCP. Používají se dvě TCP spojení - řídící a datové. FTP server naslouchá na portu 21 na příchozí spojení od klienta. Spojení na tomto portu je řídícím spojením. Protokol definuje dva módy navazovaní datového spojení:

• aktivní režim
  Klientská strana otevře náhodný port (> 1023) a zašle serveru příkaz k připojení k tomuto portu např. PORT 192,168,0,12,4,1 a čeká na příchozí spojení od serveru.
• pasivní režim
  Server otevře port (> 1023) a pošle klientovi informaci např. 227 Entering Passive Mode (192,168,0,1,78,52) a očekává připojení klienta k tomuto portu. Pasivní režim prochází lépe pokud je klient v privátní síti za NATem.

FTP - softwarové vybavení

Programové vybavení podporující protokol FTP je k dispozici pro většinu operačních systémů.

Na klientských stanicích je vždy k dispozici konzolový FTP klient. Z množství klientů pro GUI jmenujme alespoň programy gFTP či FileZilla.

Příklady nejčastěji používaných FTP serverů pro platformu Linux:

• wu-ftpd
  Původně napsán na Washington University pro její vnitřní sít. Dříve velmi používaný, dnes nahrazován FTP servery se snazší konfigurací a bohatšími funkcemi.
• vsftpd - Very Secure FTP Daemon
  Rychlý a bezpečný FTP server. Obsahuje mimo jiné podporu pro virtuální hostitele, virtuální uživatele, omezení zdrojů a šifrování přenosu.
• Pure-FTPd
  Podporuje použití virtuální kvóty, externí autentizace i šifrování komunikace.
• ProFTPD
  Multiplatformní, bezpečný a konfigurovatelný FTP server, napsaný "po vzoru" HTTP serveru Apache. Pomocí modulů podporuje například: SSL/TLS přenosy, LDAP autentizaci a SQL (např. k ukládání autentizačních údajů).

Většina serverů poskytuje služby jako: anonymní přístup, chroot() do adresáře, umask pro vytvářené soubory.

FTP - server proftpd

Syntaxe konfiguračních nastavení se podobá konfiguraci HTTP serveru Apache. Konfigurace je typicky uložena v /etc/proftpd.conf. Obsahuje několik sekcí:

• server config
  Konfigurace bez uvedení sekce se týká základního nastavení FTP serveru. Logovací a pid soubor, uživatel a skupina pro server, typ spuštění.
• <Global>
  Sekce týkající se hlavního a všech virtuálních serverů.
• <VirtualHost ftp.lab.fi.muni.cz>
  Tento blok obsahuje nastavení jednotlivých virtuálních hostů.
• <Anonymous /pub/ftp/anonymous>
  V této sekci definujeme nastavení pro anonymní FTP server.
• <Limit>
  Tato sekce slouží k omezení jednoho či více FTP příkazů.
• <Directory /pub/ftp>
  V tomto bloku specifikujeme nastavení pro jednotlivé adresářové podstromy. Při zjišťování práv platí nejbližší vyšší direktiva v adresářové struktuře. Konfigurace pro adresář může být uložena v souboru ".ftpaccess" v příslušném adresáři.

Pozn.: žádnou z direktiv nelze zvýšit systémová práva.

Příklad konfigurace anonymního severu:

ServerName			"Our FTP Server"

# Server běží jako samostatný; další možností je spouštění přes inetd
ServerType			standalone

Port				21

# Uživatel a skupina pod kterými server běží
User				nobody
Group				nogroup

# Kořenový adresář stromu pro FTP server
DefaultRoot /pub/ftp

# K celému serveru zakážeme přístup z určitých domén, ostatním povolíme
<Limit LOGIN>
  Order			deny,allow
  Deny 			from .evil.net, .otherevil.net
  Allow			from all
</Limit>

# Max počet potomků - ochrana pře DoS útokem
MaxInstances                    30

DisplayLogin			welcome.msg

# Anonumní FTP server s adresářem pro zápis 
<Anonymous /ftp/anonymous >

  # Povolíme přihlášení všem z výše povolených domén.
  <Limit LOGIN>
    AllowAll
  </Limit>

  # Maximální počet současně připojených klientů
  MaxClients			5 "Sorry, max %m users -- try again later"

  User				ftp
  Group				ftp
  
  # Uživatelský alias
  UserAlias			anonymous ftp

  # Skryjeme soubory uživatele 'root'
  HideUser			root
  
  # Defaultní maska přístupových práv pro nahrané soubory
  Umask 022
  
  # Nastavení timeoutu pro připojení
  TimeoutLogin           120
  TimeoutIdle            600 
  
  # Zakázaný zápis v celém stromě
  <Limit WRITE>
    DenyAll
  </Limit>

  # Pouze do adresáře 'uploads' povolíme zápis, ale zakážeme čtení
  <Directory uploads/*>
    <Limit READ>
      DenyAll
    </Limit>

    <Limit STOR>
      AllowAll
    </Limit>
  </Directory>
</Anonymous>

FTP - bezpečnost

V základní FTP protokolu nejsou řídící instrukce ani soubory nijak šifrovány. Existuje několik metod jak přenos souborů přes síť ochránit:

• FTPS
  Označováno též jako FTP/SSL, je metoda zpětně kompatibilní s původním FTP protokolem. Klient na začátku komunikace se serverem požádá o ustavení zabezpečeného kanálu. Nebo je možné na jiném portu šifrovat celou komunikaci.
• SFTP - SSH file transfer protocol
  Protokol SFTP byl navržen IETF. Sám o sobě nezajišťuje autentizaci ani zabezpečení přenášených dat, k tomu využívá nejčastěji protokol SSH2, ale je možné využít i jiné protokoly. Bývá používán také jako modernější a komplexnější alternativa k příkazu scp.
• Secure FTP
  FTP přenos je zapouzdřen do navázaného SSH spojení. Protože FTP využívá dvě TCP spojení, je tato implementace netriviální nebo je šifrováno pouze řídící spojení.

rsync

Rsync je program (klient i server) a protokol sloužící pro synchronizaci adresářů a souborů - příkladem může být zrcadlení obsahu repositářů distribucí. Využívá algoritmus minimalizující množství přenášených dat po síti a počet spojení.

rsync - algoritmus

Máme dva stroje alpha and beta. Na stroji alpha je soubor A a na beta soubor B. Soubory A a B by mají být synchronizovány. Mezi alpha a beta je pomalá linka. rsync algoritmus postupuje takto:

1. Stroj beta rozdělí soubor B do nepřekrývajících se bloků velikosti S bytů (s možnou výjimkou posledního).
2. Pro každý z těchto bloků spočítá 2 kontrolní součty: slabý tzv. 'rolling' (32bitů) a silný MD4(128b).
3. beta pošle tyto kontrolní součty na stroj alpha.
4. alpha prohledá soubor A, aby nalezl všechny bloky délky S (na libovolném místě, nejen násobky S), které mají stejné kontrolní součty jako nějaký z bloků B. Toto může být provedeno jedním průchodem a velmi rychle díky speciálním vlastnostem kontrolního součtu 'rolling'.
5. alpha pošle na stroj beta instrukce jak sestavit kopii A. Každá instrukce je buď odkazem na blok z B nebo příslušná data, která se v B nevyskytují.

Výsledkem je, že beta obsahuje přesnou kopii souboru A. Sítí jsou přeneseny pouze potřebná data a pár "služebních" informací (instrukce a kontrolní součty). Potřebu pouze dvou spojení oceníme zvláště na linkách s velkou latencí. Podrobnější informace o protokolu a popis tvorby kontrolní součtů naleznete v článku The rsync algorithm.

rsync - klient

• Program rsync může být využíván lokálně
  rsync -av /src/nekde/ /dest/jinde
• Může se připojit k vzdálenému rsyncd server
  rsync -av data.nekde.cz::ftp/cesta/ /cil/
• Dokáže se připojit přes ssh
  rsync -av -e "ssh -l ssh-user" rsync-user@data.nekde.cz::modul /cil
• Vylistovat moduly vzdáleného serveru
  rsync data.nekde.cz::

rsync - server

rsyncd, rsync server, používá defaultně TCP port 873. Může být spouštěn pomocí inetd nebo jako samostatně běžící proces. Příklad konfiguračního souboru /etc/rsyncd.conf:

# Uživatel a skupina pod kterou server běží
uid = nobody
gid = nobody

# Chroot()uje se
use chroot = yes

# Maximální počet otevřených spojení
max connections = 4

#moduly
[ftp]
        path = /pub/ftp/
        comment = FTP archiv
        read only = yes

[html]      
        comment = HTML root
        path = /pub/html
        pid file = /var/run/rsync.html.pid
        read only = no
        list = no
        hosts allow = alfa.nekde.net beta.jinde.net 
        dont compress = *.zip

Literatura

• Archív referátů PV090
• File Transfer Protocol - Wikipedia
• ProFTPD - home page
• rsync - Wikipedia
• rsync - home page