Как сделать обычный сервер FTP по-настоящему безопасным и одновременно удобным?

    Сразу оговорюсь: подробных инструкций/конфигураций не предоставляю, просто делюсь мыслями как можно сделать. Так же, под FTP подразумеваю не только классический FTP, но также SFTP и SSL-FTP – это статья про безопасность паролей, а не протокола как такового.

    Представьте хостинг компанию предоставляющую хостинг аккаунты с повышенной безопасностью, а именно с двухфакторной аутентификацией.

    Сложного ничего нет, надо просто внедрить на сервере один или несколько вариантов подключаемых модулей аутентификации со вторым фактором (например code.google.com/p/google-authenticator/wiki/PamModuleInstructions или motp.sourceforge.net/#6 ) и привязать к ним пользователей.
    В большинстве случаев, PAM можно указать и в конфигурации FTP серверов, и принципе проблема безопасности FTP будет решена таким же образом.
    Проблема в другом; дело в том, что в зависимости от скорости соединения, настроек сервера/роутера или режима FTP соединения FTP сессия может прерываться при отсутствии активности в течение определённого времени (или даже просто прерываться в самый неподходящий момент). В «классическом» FTP клиент просто подключится еще раз, надо просто поставить галочку «сохранить пароль». В случае же двух факторной аутентификации это не сработает, придется вводить пароль и код с «токена» довольно часто, а это для конечного пользователя очень неудобно. Если как то можно убедить пользователя в необходимости использования «токена» при входе в систему, объяснить необходимость делать это в процессе загрузки файлов по несколько раз уже сложно.
    Проблему, я надеюсь, объяснил. Теперь поделюсь идеей повышения удобства для конечных пользователей.

    Генерация временных паролей для FTP


    На самом деле, сам принцип не оригинален, я предлагаю сделать, что то вроде паролей приложений используемых для учетных записей Google с активированной двухэтапной аутентификацией.
    Для этого нужно подобие веб-интерфейса для генерации паролей приложений. Сам веб-интерфейс будет доступен только с использованием двухфакторной аутентификации. После входа в систему, пользователь будет генерировать FTP пароль, который будет активен только в течение определённого времени и только для определённого IP адреса (по умолчанию будет предлагаться текущий адрес). Приблизительный интерфейс может выглядеть вот так:


    При генерации скрипт заносит данные в таблицу базы данных (например, MySQL), а именно имя пользователя, IP адрес и timestamp указанного пользователем времени, а также сгенерированный FTP пароль, который и показывается пользователю в интерфейсе. Для доступа по FTP будет использоваться именно этот временный пароль. Таблица будет выглядеть вот так:


    Конфигурация FTP сервера


    В качестве примера возьмём PureFTPD, благо его можно привязать к MySQL. Руководствуясь инструкциями настраиваем PureFTPD таким образом:

    MYSQLSocket     /tmp/mysql.sock
    MYSQLUser       root
    MYSQLPassword   rootpw
    MYSQLDatabase   pureftpd
    MYSQLCrypt      cleartext
    MYSQLGetPW      SELECT temp_password FROM temp_pass WHERE username="\L" AND IP="\R" AND expires <= UNIX_TIMESTAMP()
    MYSQLGetUID     SELECT Uid FROM users WHERE User="\L"
    MYSQLGetGID     SELECT Gid FROM users WHERE User="\L"
    MYSQLGetDir     SELECT Dir FROM users WHERE User="\L"
    


    В конфигурационном файле используются переменные
    \L — логин юзера
    \R — IP адреc клиент

    Вот в принципе и все. В идеале еще надо бы какой-нибудь крон скрипт для очистки таблицы от истекших паролей.
    Метки:
    • +11
    • 16k
    • 9
    Поделиться публикацией
    Реклама помогает поддерживать и развивать наши сервисы

    Подробнее
    Реклама
    Комментарии 9
    • +3
      Как вариант при использовании MySQL можно обойтись без крона, воспользовавшись внутренним планировщиком. Как-то так:
      CREATE EVENT `tidyFTPpasswds`
      	ON SCHEDULE
      		EVERY 1 MINUTE
      	ON COMPLETION PRESERVE
      	ENABLE
      	COMMENT 'remove users with expired time-passwords'
      	DO BEGIN
      	DELETE FROM temp_pass WHERE expires > UNIX_TIMESTAMP();
      END
      
      • 0
        Отлично, спасибо
        только у вас там опечатка DELETE FROM temp_pass WHERE expires < UNIX_TIMESTAMP();
        • 0
          упс ) невнимательность меня когда-нибудь погубит… спасибо!
      • +1
        Думаю, логично было бы не фиксировать срок действия, а фиксировать срок «бездействия». Проще говоря, пароль действует в течении, например, часа после последнего использования. Если коннект рвется не чаще раза в час, то такая схема обеспечит долгую непрерывную работу.
        • 0
          SFTP ??? вы наверное с FTPS перепутали…
          • 0
            Есть и такой протокол, именно SFTP.
            winscp.org/ — как пример реализации.

            Сам его периодически использую для передачи файлов.
            Работает, используя ф-ционал ssh.

            Из «недостатков» — относительно сильно грузит CPU обоих сторон и не всегда есть возможность загрузить канал максимально (по крайней мере без тюнинга конфигов у меня не получалось на умеренно устаревших машинах).

            Из бонусов — ВЕСЬ трафик по умолчанию зашифрован, нет необходимости в отдельном сервисе, проще держать сервер за NAT\в ДМЗ.
            • 0
              Программа, оказывается, поддерживает оба упомянутых протокола, сам как-то обычно пользовался для FTP отдельным клиентом…

              С родного сайта:
              What is WinSCP?

              It is award-winning SFTP client, SCP client, FTPS client and FTP client integrated into one software program for file transfer to FTP server or secure SFTP server. [More]

              And it's free!
              • 0
                FileZilla например, тоже работает со всеми FTP протоколами
              • 0
                >Есть и такой протокол, именно SFTP.
                конечно я о нем знаю, даже делал vfs панельный модуль для mc чтобы по хостам шариться… просто sftp это очень далеко от ftp а вот ftps это как раз «костыль» к ftp…

            Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.