(495) 925-0049, ITShop интернет-магазин 229-0436, Учебный Центр 925-0049
  Главная страница Карта сайта Контакты
Поиск
Вход
Регистрация
Рассылки сайта
 
 
 
 
 

Как сделать обычный сервер FTP по-настоящему безопасным и одновременно удобным?

Источник: habrahabr
EminH

Сразу оговорюсь: подробных инструкций/конфигураций не предоставляю, просто делюсь мыслями как можно сделать. Так же, под FTP подразумеваю не только классический FTP, но также SFTP и SSL-FTP - это статья про безопасность паролей, а не протокола как такового.

Представьте хостинг компанию предоставляющую хостинг аккаунты с повышенной безопасностью, а именно с двухфакторной аутентификацией.

Сложного ничего нет, надо просто внедрить на сервере один или несколько вариантов подключаемых модулей аутентификации со вторым фактором (например code.google.com/p/google-authenticator/wiki/PamModuleInstructions или motp.sourceforge.net/#6 ) и привязать к ним пользователей.
В большинстве случаев, PAM можно указать и в конфигурации FTP серверов, и принципе проблема безопасности FTP будет решена таким же образом.
Проблема в другом; дело в том, что в зависимости от скорости соединения, настроек сервера/роутера или режима FTP соединения FTP сессия может прерываться при отсутствии активности в течение определённого времени (или даже просто прерываться в самый неподходящий момент). В "классическом" FTP клиент просто подключится еще раз, надо просто поставить галочку "сохранить пароль". В случае же двух факторной аутентификации это не сработает, придется вводить пароль и код с "токена" довольно часто, а это для конечного пользователя очень неудобно. Если как то можно убедить пользователя в необходимости использования "токена" при входе в систему, объяснить необходимость делать это в процессе загрузки файлов по несколько раз уже сложно.
Проблему, я надеюсь, объяснил. Теперь поделюсь идеей повышения удобства для конечных пользователей.

Генерация временных паролей для FTP

На самом деле, сам принцип не оригинален, я предлагаю сделать, что то вроде паролей приложений используемых для учетных записей Google с активированной двухэтапной аутентификацией.
Для этого нужно подобие веб-интерфейса для генерации паролей приложений. Сам веб-интерфейс будет доступен только с использованием двухфакторной аутентификации. После входа в систему, пользователь будет генерировать FTP пароль, который будет активен только в течение определённого времени и только для определённого IP адреса (по умолчанию будет предлагаться текущий адрес). Приблизительный интерфейс может выглядеть вот так:

При генерации скрипт заносит данные в таблицу базы данных (например, MySQL), а именно имя пользователя, IP адрес и timestamp указанного пользователем времени, а также сгенерированный FTP пароль, который и показывается пользователю в интерфейсе. Для доступа по FTP будет использоваться именно этот временный пароль. Таблица будет выглядеть вот так:

Конфигурация FTP сервера

В качестве примера возьмём PureFTPD, благо его можно привязать к MySQL. Руководствуясь инструкциями настраиваем PureFTPD таким образом:

MYSQLSocket /tmp/mysql.sock MYSQLUser root MYSQLPassword rootpw MYSQLDatabase pureftpd MYSQLCrypt cleartext MYSQLGetPW SELECT temp_password FROM temp_pass WHERE username="\L" AND IP="\R" AND expires <= UNIX_TIMESTAMP() MYSQLGetUID SELECT Uid FROM users WHERE User="\L" MYSQLGetGID SELECT Gid FROM users WHERE User="\L" MYSQLGetDir SELECT Dir FROM users WHERE User="\L"

В конфигурационном файле используются переменные
\L - логин юзера
\R - IP адреc клиент

Вот в принципе и все. В идеале еще надо бы какой-нибудь крон скрипт для очистки таблицы от истекших паролей.

Ссылки по теме


 Распечатать »
 Правила публикации »
  Написать редактору 
 Рекомендовать » Дата публикации: 13.12.2013 
 

Магазин программного обеспечения   WWW.ITSHOP.RU
Rational ClearCase Multisite Floating User License
ARCHICAD 21, локальная лицензия на 12 месяцев
Microsoft 365 Business Standard (corporate)
Inventory 9
ABViewer Professional пользовательская
 
Другие предложения...
 
Курсы обучения   WWW.ITSHOP.RU
 
Другие предложения...
 
Магазин сертификационных экзаменов   WWW.ITSHOP.RU
 
Другие предложения...
 
3D Принтеры | 3D Печать   WWW.ITSHOP.RU
 
Другие предложения...
 
Новости по теме
 
Рассылки Subscribe.ru
Информационные технологии: CASE, RAD, ERP, OLAP
OS Linux для начинающих. Новости + статьи + обзоры + ссылки
Реестр Windows. Секреты работы на компьютере
Мир OLAP и Business Intelligence: новости, статьи, обзоры
Один день системного администратора
Компьютерная библиотека: книги, статьи, полезные ссылки
3D и виртуальная реальность. Все о Macromedia Flash MX.
 
Статьи по теме
 
Новинки каталога Download
 
Исходники
 
Документация
 
 



    
rambler's top100 Rambler's Top100