Capitolo 149. Servente OpenBSD FTP

Il servente OpenBSD FTP ⁽¹⁾ è un programma molto semplice da installare e configurare, anche in un sistema GNU, con il vantaggio che è in grado di operare anche con il protocollo IPv6. Eventualmente, se il tipo di configurazione disponibile non è sufficiente per le proprie esigenze, si può optare per serventi FTP differenti, come WU-FTP che è descritto in un altro capitolo.

149.1 Avvio del demone

OpenBSD FTP, come altri serventi FTP mette a disposizione l'eseguibile in.ftpd (o ftpd, a seconda della distribuzione). Questo demone può funzionare in modo autonomo, oppure sotto il controllo del supervisore dei servizi di rete. Nel primo caso si avvia con l'opzione -D, mentre nel secondo si usa l'opzione -q:

in.ftpd -D [opzioni]

in.ftpd -q [opzioni]

Nell'esempio seguente viene mostrata la riga di /etc/inetd.conf in cui si dichiara il suo possibile utilizzo per quanto riguarda il caso particolare di Inetd:

ftp     stream  tcp     nowait  root    /usr/sbin/tcpd  in.ftpd -q

Dal momento che OpenBSD FTP viene usato anche con IPv6, conviene vedere la configurazione necessaria per il file /etc/xinetd.conf, nel caso il supervisore dei servizi di rete sia Xinetd:

service ftp
{
        socket_type     = stream
        protocol        = tcp
        wait            = no
        user            = root
        server          = /usr/sbin/in.ftpd
        server_args     = -q
}

Segue la descrizione di alcune opzioni della riga di comando di ftpd.

Opzione	Descrizione
`-d`	Vengono aggiunte informazioni diagnostiche all'interno del registro di sistema.
`-l`	Ogni sessione FTP viene annotata all'interno del registro di sistema; se viene usata due volte, le indicazioni sono più dettagliate.
`-t n`	Permette di specificare la durata espressa in secondi (`n`) del tempo di inattività oltre il quale la sessione FTP viene conclusa automaticamente. Questo parametro è negoziabile anche da parte del cliente. Il valore predefinito è di 15 minuti (900 s).
`-T n`	Permette di specificare la durata espressa in secondi (`n`) del tempo massimo di inattività. In questo modo, un cliente non può negoziare una durata superiore.
`-A`	Consente solo l'accesso anonimo, oppure solo le utenze elencate nel file `/etc/ftpchroot`.
`-u maschera_dei_permessi`	Definisce un valore particolare della maschera dei permessi, che è 027₈ in modo predefinito.
`-p`	Disabilita la modalità «passiva», in modo da non accettare la creazione di connessioni a porte indicate dai clienti. Ciò serve a facilitare l'attraversamento di un firewall (purché il firewall consenta questo passaggio), ma può creare difficoltà ad alcuni programmi cliente.
`-q`	Non mostra informazioni sulla versione al cliente che si collega.
`-M`	Consente di gestire directory differenti per l'accesso anonimo, in base al nome di dominio presso cui giunge la richiesta, secondo la forma `~ftp/nome_di_dominio/`.

149.2 Configurazione

La configurazione di OpenBSD FTP è molto semplice. Per prima cosa, l'accesso anonimo è consentito solo se nel sistema è previsto l'utente fittizio ftp, assieme alla sua directory personale e a una shell valida.⁽²⁾

Teoricamente, OpenBSD FTP non richiede nemmeno la predisposizione di una struttura particolare della directory ~ftp/, secondo la tradizione, perché gestisce internamente il comando ls e di tutto il resto si può fare a meno.

Nel caso si utilizzi l'opzione -M, si dovrà provvedere a dividere la directory ~ftp/ in sottodirectory corrispondenti ai nomi di dominio con cui si può accedere al servizio. Per esempio, se l'elaboratore che ospita il servente OpenBSD FTP è raggiungibile con i nomi dinkel.brot.dg e weizen.mehl.dg, ci potranno essere le directory ~ftp/dinkel.brot.dg/ e ~ftp/weizen.mehl.dg/; chi accede a ftp://dinkel.brot.dg in modo anonimo, vedrà la prima directory, mentre chi accede a ftp://weizen.mehl.dg vedrà la seconda.

Si rammenta che l'utente anonimo accede solo alla porzione di file system che inizia da ~ftp/, come se questa fosse la radice.

Dopo la sistemazione dell'accesso anonimo, conviene occuparsi del file /etc/ftpchroot, all'interno del quale si possono elencare gli utenti che, pur potendo accedere con il proprio nominativo, possono entrare solo nella propria directory personale, come avviene per gli utenti anonimi con la directory ~ftp/.

tizio
caio

L'esempio che si vede sopra è molto breve e serve a fare in modo che gli utenti tizio e caio possano accedere limitatamente alla propria directory personale; tutti gli altri utenti hanno accesso a tutto il file system, con le limitazioni normali date dai permessi dei file e delle directory.

OpenBSD FTP riconosce anche il file /etc/ftpusers, all'interno del quale vanno elencati i nominativi degli utenti a cui non si consente l'accesso. Generalmente si tratta di utenti fittizi, compreso root per questioni di sicurezza, come nell'esempio seguente:

root
bin
daemon
adm
lp
sync
shutdown
halt
mail
news
uucp
operator
games
nobody

Naturalmente, per compilare correttamente questo file, è bene osservare il file /etc/passwd del proprio sistema.

Infine, OpenBSD FTP riconosce anche il file /etc/nologin, in presenza del quale rifiuta gli accessi; inoltre, è possibile definire un messaggio di benvenuto nel file /etc/ftpwelcome e anche il contenuto di /etc/motd viene visualizzato all'accesso.

1) OpenBSD FTP UCB BSD

2) Il particolare della shell valida va tenuto in considerazione perché altri serventi FTP si comportano diversamente.