SERVER FTP Come configurarli ?

[TheVice]

Salve, come da topic.
Ho più volte messo su un server ftp con cui uppo le mappe di Call Of Duty 2 sulla VPS (Debian) che uso per il server.
Puntualmente ogni volta che il server ftp è attivo viene bucato o comunque aggredito in maniera significativa, tanto da farmelo disabilitare.
Uso proftp come server, vi posto la config sperando vi troviate un po' di caxxate.

Codice:

#
# /etc/proftpd.conf -- This is a basic ProFTPD configuration file.
# To really apply changes reload proftpd after modifications.
#

ServerName                      "MyFTPName"
ServerType                      Standalone
DeferWelcome                    off

MultilineRFC2228                on
DefaultServer                   on
ShowSymlinks                    on


TimeoutNoTransfer               600
TimeoutStalled                  600
TimeoutIdle                     1200

DisplayLogin                    welcome.msg
DisplayFirstChdir               .message
#ListOptions                    "-l"

#DenyFilter                     \*.*/

# Uncomment this if you are using NIS or LDAP to retrieve passwords:
#PersistentPasswd               off

# Uncomment this if you would use TLS module:
#TLSEngine                      on

# Uncomment this if you would use quota module:
#Quotas                         on

# Uncomment this if you would use ratio module:
#Ratios                         on

# Port 21 is the standard FTP port.
Port                            xx21  <----------l'ho cambiata

# To prevent DoS attacks, set the maximum number of child processes
# to 30.  If you need to allow more than 30 concurrent connections
# at once, simply increase this value.  Note that this ONLY works
# in standalone mode, in inetd mode you should use an inetd server
# that allows you to limit maximum number of processes per service
# (such as xinetd)

MaxInstances                    3

# Set the user and group that the server normally runs at.
User                            nobody
Group                           nogroup

# Umask 022 is a good standard umask to prevent new files and dirs
# (second parm) from being group and world writable.
Umask                           022  022
# Normally, we want files to be overwriteable.
AllowOverwrite                  on

# Delay engine reduces impact of the so-called Timing Attack described in
# http://security.lss.hr/index.php?page=details&ID=LSS-2004-10-02
# It is on by default.
DelayEngine                     on

# A basic anonymous configuration, no upload directories.
DefaultRoot ~
<Anonymous ~ftp>
   User                         ftp
   Group                                nogroup
# We want clients to be able to login with "anonymous" as well as "ftp"
   UserAlias                    anonymous ftp
# Cosmetic changes, all files belongs to ftp user
   DirFakeUser  on ftp
   DirFakeGroup on ftp

   RequireValidShell            on
#
#   # Limit the maximum number of anonymous logins
MaxClients                      1

# We want 'welcome.msg' displayed at login, and '.message' displayed
# in each newly chdired directory.
   DisplayLogin                 welcome.msg
   DisplayFirstChdir            .message
#
# Limit WRITE everywhere in the anonymous chroot
   <Directory *>
     <Limit READ WRITE STOR>
       DenyAll
     </Limit>
   </Directory>
</Anonymous>

Include /etc/proftpd.include

e ovviamente il file di inclusione

Codice:

<VirtualHost 194.xxx.xxx.xxx>
        ServerName  "DarkZone"

        Port   xx21
        #User xxxxxxx
        #Group xxxxxxxx
        AllowOverwrite on
        AllowRetrieveRestart on
        AllowStoreRestart on
        DeleteAbortedStores     off
        DefaultTransferMode     binary
        Umask 022
        TimeoutLogin            60
        TimeoutIdle             600
        TimeoutNoTransfer       600
        TimeoutStalled          1200
        RequireValidShell on

        DefaultRoot ~
        MaxClients 4
        AuthPAM on
<Limit LOGIN>
        DenyAll
        Allow my_user1
        Allow my_user2
</Limit>
<Directory /*>
        AllowOverwrite On
#       <Limit LOGIN>
#               AllowAll
#       </Limit>
#       <Limit READ>
#               AllowAll
#       </Limit>
#       <Limit WRITE>
#               AllowAll
#       </Limit>
#       <Limit STOR>
#               AllowAll
#       </Limit>

  </Directory>
</VirtualHost>

onestamente di configurazioni dichiarate buone ne ho trovate parecchie ma preferirei che mi si spiegasse anche il perchè di certe impostazioni piuttosto che il dire : "questa è roba buona ... "
per sicurezza ho pure spostato la porta di ssh e inibito il login diretto dell'utente root .
Allo stato attuale, senza ftp, non sto avendo problemi ma la cosa è piuttosto seccante visto che vorrei mettere un pannello per consentire il controllo del server agli altri membri del "club" senza che pasticcino con la console del VPS.

[Luca]

sposto in gestione server linux

[Shazan]

Può definire cosa intendi esattamente per "bucato o aggredito in maniera significativa"?
Tutto dipende da questo, se si tratta di brute force attacks significa che le password sono troppo facili, che non hai eliminato alcuni utenti di sistema e che non utilizzi alcuno strumento anti-intrusione (tipo BFD).

[TheVice]

Allora :
ho avuto sicuramente delle intrusioni, dai log hanno provato ad accedere (e + volte ci sono riusciti) tramite ftp utilizzando utenti di sistema come admin (che però non è presente) .
Sempre dai log e dai tentativi fatti sempre dallo/dagli stessi IP direi che provano col brute force, tuttavia sono riusciti una sola volta a modificare (di questo son sicuro) proprio il file dell'ftp e a bloccarmi la VPS inducendomi a fare poi un reboot.
Sulla VPS non ho servizi e server mail o web, perchè è interamente dedicata al server cod2 che da solo assorbe buona parte delle risorse di memoria.
Non ho filtri sulla connessione sempre perchè avendo una VPS e avendo quel tipo di servizio attivo rischierei di aumentare i tempi di esecuzione a danno della fluidità di gioco.
Un'altra volta (verso maggio) riuscirono a entrare come utente ad alti privilegi e a mettere un po' di roba in TMP (tutta eliminata prima del riavvio della VPS) tant'è che cambiai porta a SSH e disabilitai il login remoto come utente root (anche all'epoca avevo servizi FTP attivi).
A parte l'intrusine, vista sul log ma di cui non ho piena cognizione se non l'alterazione di proftpd.conf (io non permettevo di mandare gli utenti ftp in giro per le cartelle ma li inchiodavo nella loro home) non ho rilevato script o files anomali.
Per le password, probabile che debba rendere la password + lunga aggiungendo caratteri meno ovvii, tuttavia l'ftp se vedi è dedicato a soli 2 utenti (sempre se non ho cannato la conf, ovvio) e i loro nomi non mi sembrano proprio così ovvii.
Peccato non avere + i log vecchi sennò ne postavo uno stralcio.
Comunque il problema credo sia lì, perchè se attivo FTP dopo un po' mi ritrovo con una sequela di tentativi di connessione con nomi di sistema che però non corrispondono agli utenti che ho sulla vps , faccio sempre un lastlog in questi casi per vedere se un accesso ha avuto successo.

[Shazan]

Che versione usi di ProFTPD? E' possibile che sia affetta da qualche vulnerabilità. Il mio suggerimento è comunque quello di passare a PureFTPD, molto più sicuro.

[Devil!]

io proverei anche vsftpd
http://vsftpd.beasts.org/

[Naruto]

Oppure passa a vsftp .
Cmq sia questi ip che provano ad entrare...sono italiani ?
Se si...di che provider sono ?Magari rintracci costui^^

[TheVice]

Oppure passa a vsftp .
Cmq sia questi ip che provano ad entrare...sono italiani ?
Se si...di che provider sono ?Magari rintracci costui^^

dal whois erano tutti stranieri (Russia e Cina) ho mandato una segnalazione ai loro abuse ma credo che non serva proprio a nulla.

Hmmm versione ProFTPD 1.2.10 (...devo togliermi il vizio di usare aptitude per ogni cosa ...)
Ora metto la 1.3.0, lascio quella config (se avete cose da suggerire in merito fate pure) e vedo che succede nei prossimi giorni .

Leggendo tra le Release note mi sono inchiodato su questo :

Codice:

      mod_delay
        There is the possibility of a timing attack on proftpd, leading
        to discovery of valid user names (Bug #2480).  This module was
        added to mitigate this timing attack; see doc/modules/mod_delay.html
        for more information.

sembra pienamente compatibile con gli attacchi via FTP che ho ricevuto.
Ma qui però non dice che il problema è stato risolto, solo arginato ...
Comunque la domanda posta in essere resta :

Come configurare al meglio il proprio FTP onde evitare brutte sorprese?
Cosa va tenuto in considerazione quando si istanzia un demone ftp ?
Con quale tipologia di user è bene avviare il servizio ? (proftpd usa nobody e nogroup)
Come è + corretto limitare gli accessi agli utenti non autorizzati ? (ftp privato)

Ecco per me nella domanda "come configurare un server FTP" rientrano soprattutto queste cose.

[Shazan]

A me sembra che la tua configurazione vada bene, anche se eliminerei l'accesso anonimo perché, anche se non gli dai la possibilità di fare upload, consente qualsiasi utente di autenticarsi e lanciare attacchi che sfruttino vulnerabilità impossibili se non avendo un accesso locale.
La cosa migliore sarebbe basare l'autenticazione non sugli utenti di sistema ma su un database, come fa pureftpd.

[TheVice]

A me sembra che la tua configurazione vada bene, anche se eliminerei l'accesso anonimo perché, anche se non gli dai la possibilità di fare upload, consente qualsiasi utente di autenticarsi e lanciare attacchi che sfruttino vulnerabilità impossibili se non avendo un accesso locale.
La cosa migliore sarebbe basare l'autenticazione non sugli utenti di sistema ma su un database, come fa pureftpd.

...riflettendoci hai ragione, anche anonymous ha come utente predefinito ftp, quindi è un utente del sistema ... mo lo castro subito in attesa di imparare a usare pure-ftp

[EvolutionCrazy]

mod_delay (http://www.castaglia.org/proftpd/modules/mod_delay.html)
e
bfd (http://www.rfxnetworks.com/bfd.php magari con intervalli anche + bassi dei 5 minuti di default?)

potrebbero aiutare...

[giovanni81]

Si, ti serve BFD... però metterlo su Debian ti darà qualche grattacapo... però dopo niente piu' attacchi bruteforce

[TheVice]

messo pureftp

[ceccus]

Salve,
Ma anche un bel Firewall ??? Che filtri il protocollo FTP ???
Tipo un IpTables su Linux o ISA Server su Windows ...

Ciao !!

[EvolutionCrazy]

ma se devi filtrare FTP tanto vale fermare il servizio... o sbaglio? :S