 |
|
|
|
Aplikace driverpack
stáhnout driverpack
Aplikace Nlite
stáhnout Nlite
Nejprve pomocí Nlite upravíme proces instalace. Spusťte Nlite, klikněte na Další, do editačního pole zadejte cestu k instalačním souborům a klikněte opět na další. Nyní můžete nahrát poslední relaci Nlite, nic méně pokud Nlite aplikujete na instalaci poprvé, klikněte na další, v opačném případě můžete vybrat v rozbalovacím seznamu poslední relaci. V následujícím dialogu zaškrtneme jakou úlohu chceme provést s instalací, možností je docela dost: Integrace servicepacku, opravné aktualizace a pluginy, ovladače hardwaru.. Odebrat lze také některé součásti, které nejsou vysloveně nutné k běhu systému. Nic méně hodně bych rozmýšlel, kterou součást odebrat, stává se, že některé aplikace, popř funkce systému pak nepracují korektně a není zdaleka jednoduché zjistit příčinu. Bezobslužná instalace je myslím zřejmá, volby zde je možné konfigurovat volby operačního systému. Následující dvě zatrhávací tlačítka umožňují vytvoření bootovatelného iso obrazu a některé další zkryté možnosti operačního systému, tzv. tWeaky. My se v tomto textu budeme soustředit jen na vytvoření automatické instalace a vytvoření ISO souboru. Nejprve zaškrtněte možnost bezobslužné instalace a možnost vytvoření bootovatelného obrazu ISO ponechejte prozatím odškrtnutou. Vrátíme se k ní později. Pokračujte tlačítkem další.
Poznámka
WM1.8.6 nečte stav zaškrtávacích polí (zaškrtnuto/odškrtnuto) s Jaws 9.0.2169 i s NVDA je vše v pořádku. informace na štěstí lze vyčíst pomocí WM zkratkové klávesy Ctrl+shift+F3.
Následuje okno s bezobslužnou instalací. Do editačních polí vyplňte svůj product key, můžete také vypnout firewall, vypnout podporu spánku nebo přeskočit OOBE. Slovo „OOBE” je zkratka z anglického „out-of-box experience“. Vrozbalovacím seznamu bezobslužný mód vyberte plně automatické, vše ostatní ponechte bezezměny. Okno s bezobslužnou instalací má také několik záložek. Obecné, první spuštění, uživatelé, vlastník a Id sítě, regionální nastavení, nastavení sítě, motivy plochy, automatická aktualizace, zobrazení součásti. Na záložce první spuštění lze v editačním poli zadat soubor, který bude obsahovat seznam příkazů, které se provedou při prvním přihlášení uživatele. Může se jednat například o dávku, která bude spouštět open source NVDA. Další záložka uživatelé obsahuje několik editačních polí, zatrhávacích tlačítek a dva rozbalovací seznamy. Můžeme přidávat uživatele,nastavit heslo, definovat délku hesla, nastavit prázdné heslo atd… V prvním rozbalovacím seznamu je zobrazen aktuální seznam uživateů, druhý combobox přiřazuje uživatele ke skupině, např. administrators. Na záložce vlastník a ID sítě lze vyplnit celé jméno, jméno počítače, pracovní skupinu, organizaci a doménu. Zde není nutné nic vyplňovat. Následuje záložka regionální nastavení kde vybereme v rozbalovacích seznamech jazyk, jazykovou skupinu a časové pásmo. Na záložce nastavení sítě lze definovat název připojení, pokud jej máte např. zálohované, v opačném případě ponechte původní hodnoty. Následující záložka motivy plochy umožňuje přidávat motivy a vkládat všechny místní profily Dále je zde možné zaškrtnout klasickou nabídku start nebo vybrat, který profil bude použit jako výchozí. Což se hodí pro všechny, kteří mají rádi klasické zobrazení systému.
Poznámka
Při testování s WM 1.8.6 jsem narazil na chybu. Jakmile je focus v seznamu profilů a zároveň se v něm nevyskytují žádné informace o profilu, tzn. Seznam je prázdný se WM zhroutí, pokud se pokusíte vyčíst detaily pomocí Ctrl+Shift+F3.
Na záložce automatické aktualizace lze nastavit parametry automatických aktualizací. Můžeme také zaškrtnout možnost včetně nedůležitých aktualizací, tzn. Že systém bude stahovat i nedůležité aktualizace systému. Možnost povýšit neadministrátory znamená, že případné uživatelé v systému mají práva administrátora. Na předposlední záložce zobrazení, lze měnit parametry zobrazení, tj. velikost rozlišení, počet bitů, highcolor/truecolor a frekvenci monitoru. Můžete také definovat vlastní hodnoty. Poslední záložka obsahuje jeden rozbalovací seznam, jde o instalaci typických součástí systému. Seznam obsahuje 3 položky, defaultní, instalovat, neinstalovat. Myslím, že význam je jasný. Jakmile jste hotovi se všemi možnostmi, můžete pokračovat na tlačítku další. Nlite se vás ještě dotáže zda to opravdu chcete, potvrďte na tlačítku Ano. Nyní se aplikují změny v souboru odpovědí. Tzv. soubory odpovědí jsou textové soubory obsahující nastavení, které by jinak během instalace zadával uživatel, a poskytují tedy odpovědi na dotazy, které zobrazuje instalační program během instalace systému. Navíc mohou soubory odpovědí obsahovat instrukce pro spuštění programů a aplikací. Soubor odpovědí lze také editovat ručně, popř. použít dodávané nástroje od Microsoftu. Po dokončení procesu úpravy ukončete Nlite na tlačítku storno. Nyní máme na disku c:\winxp_nlite vytvořenou automatickou instalaci systému. Nyní do ní ještě integrujeme novější ovladače hardware. Poslouží nám k tomu nástroj driverpack. Integrace ovladače (například řadiče disků) do instalačních souborů Windows byla popsána už mnohokrát.
Od pracné “ruční metody” (ta obnášela editaci konfiguračních souborů), až po poměrně pohodlné utility typu nLite.
Přístup driverpack je však jiný - obsahuje, zdokonalané a postupně aktualizované tématicky zaměřené balíčky ovladačů tak, aby spolu mohly koexistovat. Například balíček ovladačů zvukových karet a zvukových kodeků “Sound B” obsahuje podporu pro více než 116 zvukových čipů od dvanácti výrobců. Balíčky ovladačů zahrnují celkově podporu více než 1000 do instalačního média nezahrnutých zařízení (počítáno s různými verzemi). Po rozbalení a spuštění DPs_BASE.exe se zobrazí okno programu ve kterém se lze pohybovat pomocí klávesy Tab. Nejprve ve stromovém seznamu vybereme update checker, zaškrtneme, které balíky ovladačů chceme aktualizovat a pak klikneme na tlačítko update selected. Můeme také použít kláv. Zkratku Alt+U. Poté ve stromovém seznamu zvolíme větev settings rozbalíme ji a vyhledáme location. Ponecháme volbu disc a klikneme na tlačítko brwse. Nalistujeme umístění instalačních dat, v našem případě c:\winxp_nlite a potvrdíme. Následně v settings/driverpacks zaškrtněte, které balíčky ovladačů chcete integrovat. Pak už jen stačí kliknout na tlačítko slipstream a vyčkat několik minut. Uslyšíte řadu výstupních informací. Po dokončení procesu integrace pomocí Nlite vytvoříme bootovatelný obraz ISO. Postupujte v Nlite stejně jako v případě bezobslužné instalace. Místo bezobslužné instalace však zaškrtněte bootovatelný obraz ISO a klikněte na tlačítko další. Do editačního pole zadejte cestu a název ISO souboru. Pokračujte na tlačítku vytvořit ISO. Po dokončení stačí již jen iso soubor vypálit na CD, v biosu nastavit bootování z CD. Poté vyčkat až nabootuje instalátor systému, odklepnout kam se bude Windows instalovat, defaultně je „c:\“. Následuje 4x šipka nahoru, tj. zformátovat jednotku systémem NTFSa opět odklepnout enter. Poslední co ještě musíte udělat je stisknout písmeno f, číž zahájíte instalaci. Toť vše ostatní informace se již načtou ze souboru odpovědí. Za několik minut v závislosti na Hardware budete mít nainstalovaný systém i se všemi ovladači. Pak už stačí jen pomocí win klávesy +r vyvolat dialogové okno spustit a zadat cestu např. k NVDA.
ProFTPD je jeden z nejrozšířenějších FTP serverů. Byl vyvíjen jako patch pro WU-FTP, ze kterého se nakonec stal samostatný produkt. Oproti WU-FTPD je bezpečný a jeho další výhodou je snadná konfigurace podobná www serveru Apache. ProFTPD podporuje IPv6, zabezpečený přenos SSL/TLS, propojení s mySQL databází ATD… Je možné zvolit, zda se bude chovat jako
samostatná serverová aplikace (standalone) a nebo bude spouštěn přes inetd. ProFTPD používají i některé velké portály, což ukazuje jeho sílu, bezpečnost a oblibu.
Poznámka
Inetd (internet daemon) se již dnes sice téměř nepoužívá, ale na starších strojích tuto možnost určitě ještě někdo ocení…
My se budeme zabývat konfigurací ve “standalone” módu.
Instalace
Zdrojové soubory ProFTPD naleznete na domovských stránkách ProFTPD.
http://www.proftpd.org
Instalace se malinko liší v závislosti na distribuci, balíčkovacím systému. V Gentoo použijeme emerge, v Debianu a na něm založených distribucích (Ubuntu) apt-get.
Příkaz tedy bude vypadat asi takto:
Debian (ubuntu, etc)
apt-get install proftpd
pokud budete chtít propojit i s mySQL databází tak ještě zadejte
apt-get install proftpd-mysql
Gentoo
V portage stromu /usr/portage/net-ftp/proftpd/
Emerge proftpd-1.3.1_rc3.ebuild (možná že už je novější)
Samozřejmě musíte být přihlášeni jako root pomocí su nebo můžete před příkazy ještě přidat sudo.
Pokud z nějakého důvodu potřebujete provést kompilaci tak stačí zadat
configure, make a make install.
./configure –with-modules=mod_sql (pokud chcete i moduly sql)
./configure –with-modules=mod_tls pokud budete využívat SSL
další z užitečných modulů je např. mod_ban nebo mod_exec.Doporučuji skompilovat všechny uvedené moduly.
Zápis by tedy vypadal takto:
./configure –with-modules=mod_tls mod_sql mod_exec mod_ban
kompilační parametry skriptu configure získáte pomocí ./configure –help
příklad výpisu skriptu configure (zkráceno)
checking for gcc… gcc
checking for C compiler default output… a.out
checking whether the C compiler works… yes
checking whether we are cross compiling… no
checking for suffix of executables…
checking for suffix of object files… o
checking whether we are using the GNU C compiler… yes
checking whether gcc accepts -g… yes
checking for gcc option to accept ANSI C… none needed
checking for style of include used by make… GNU
checking dependency style of gcc… gcc3
checking for g++… g++
checking whether we are using the GNU C++ compiler… yes
checking whether g++ accepts -g… yes
checking dependency style of g++… gcc3
checking for a BSD-compatible install… /usr/bin/install -c
checking for ranlib… ranlib
checking how to run the C++ preprocessor… g++ -E
checking for X… libraries /usr/X11R6/lib, headers /usr/X11R6/include
Pokud se skript configure u něčeho zastaví a nedoběhne do konce, musíme problém napravit (obvykle chybí některá knihovna nebo utilita).
Kompilace
Jestliže vše proběhlo, můžeme spustit samotnou kompilaci. Make dokáže také přijímat parametry a jedním z nich je název akce, kterou má dle makefile provádět.
Následuje tedy “make”.
Make
Poznámka
Pokud za “make” neuvedeme parametr, začne defaultní akce, jenž obvykle znamená kompilaci. Opět uvidíme řadu kompilačních výstupů a musíme si počkat. Jak dlouho bude překlad trvat závisí především na výkonu vašeho PC.
posledním krokem je “make install” tj. instalace do vašeho systému.
make install
Toto je sice nejjednodušší postup, ale má několik nevýhod. Pokud totiž používáme balíčkovací distribuci (což je dnes skoro každá), nebude při tomto postupu balíčkovací systém o nové aplikaci vůbec vědět. To může mít za následek problém se závislostmi (program v systému doopravdy je, ale podle databáze ne).
Navíc se připravíme o možnost komfortní odinstalace a v systému nám tak začne postupem času vznikat chaos.. Řešením je vytvořit před instalací balíček a ten následně nainstalovat.
Poslouží nám k tomu utilitka checkinstal, která hlídá činnost make install a také dokáže rekonstruovat všechny kroky, posbírat soubory a sestavit balíček.Místo posledního příkazu “make install! Tedy zadáme:
Checkinstall
Program se po krátké přípravě zeptá, pro jakou distribuci má balíček vytvořit (Slackware, RPM nebo Debian), vyžádá si popis programu a po kontrole údajů se již balíček vytvoří a nainstaluje.
Konečná podoba zápisu tedy bude vypadat nějak takto:
./configure –with-modules=mod_tls mod_sql mod_exec mod_ban
make
checkinstall
Poznámka
Proces kompilace jako takový nemusíte provádět jako root a a ani to nedoporučuji.A však poslední krok “checkinstall” nebo “make install” již musíte provést jako root. Toho docílíte příkazem “su” a zadáním příslušného hesla.
Kromě FTP démona se nainstalují programy:
/usr/bin/ftpwho - informace o uživatelích připojených k FTP serveru
/usr/bin/ftpcount - aktuální počet připojení pro každý FTP server na daném počítači
/usr/sbin/ftpshut- zastavení všech FTP serverů na daném počítači.
Vlastní démon se potom nainstaluje do:
/usr/sbin/proftpd.
Je možné jej spouštět z internet super-server démona (inetd) pokaždé, když přijde požadavek na FTP spojení, nebo jako samostatného démona (standalone.
Když ProFTPD běží jako samostatný démon a dostane signál SIGHUP, tak znovu přečte svůj konfigurační soubor. ProFTPD nikdy nespouští žádný externí program.
Nastavení ProFTPD
Stejně jako většina nastavení v GNU/Linuxu má i ProFTPd hlavní konfigurační složku v /etc. Tedy přesněji v /etc/proftpd/proftpd.conf, /etc/proftpd.conf nebo /usr/local/etc/proftpd.conf.
Kromě této “globální” konfigurace je také možné specifikovat, jak se má server chovat v jednotlivých adresářích pomocí souboru .ftpaccess v daném adresáři.
V souboru proftpd.conf se konfigurace nastavuje pomocí direktiv. Nejprve se nastavují základní vlastnosti serveru a potom můžeme pomocí různých sekcí nastavovat chování serveru ve speciálních případech. V sekci
Následuje praktická ukázka konfiguračního souboru proftpd.conf
Řádky začínající znakem # jsou komentáře, kde si můžete zapisovat poznámky což velmi doporučuji. Konfigurace tak bude přehlednější a lépe se hledají chyby.
#konfigurace proftpd
#jmeno serveru
ServerName “My ProFTPD server”
#typ serveru (inetd/standalone)
ServerType standalone
#defaultni FTP port
Port 21
#standartni umaska, tak aby nove adresare nebyly zapisovatelne pro group a others
Umask 022
#nastaveni timeoutu
TimeoutLogin 120
TimeoutIdle 600
TimeoutNoTransfer 900
TimeoutStalled 3600
#maximalni pocet potomku (funguje jen ve standalone modu)
MaxInstances 30
#uzivatel a skupina, pod kterymi server bezi
User nobody
Group nogroup
#koren ftp stromu
DefaultRoot korenovy_adresar/
#kam se ukladaji pid soubory
ScoreboardPath /var/run/proftpd
#logovaci soubor
TransferLog /var/spool/syslog/proftpd/xferlog.
legacy
#format zapisu logu
LogFormat default “%h %l %u %t \”%r\” %s %b”
LogFormat auth “%v [%P] %h %t \”%r\” %s”
LogFormat write “%h %l %u %t \”%r\” %s %b”
#ve vsech adresarich je mozne prepisovat soubory
AllowOverwrite on
#neni-li receno jinak, je vsude zakazano zapisovani
dENYall
DisplayLogin welcome.msg
DisplayFirstChdir readme
# Logging
#zapis pristupu k souborum/adresarum
ExtendedLog /var/spool/syslog/proftpd/access.
log WRITE,READ write,read
#zapis vsech prihlaseni
ExtendedLog /var/spool/syslog/proftpd/auth.
log AUTH auth
#paranoidni logovani
ExtendedLog /var/spool/syslog/proftpd/paranoid.
log ALL default
#zakladni konfigurace anonymniho FTP serveru as jednim upload adresarem
#prihlasit se mnohou vsichni
AllowAll
#maximalni pocet klientu se zpravou
MaxClients 5 “Sorry, max %m users — try again later”
#novy uzivatel a skupina
User ftp
Group ftp
#klienti se prihlasuji jako “anonymous” nebo “ftp”
UserAlias anonymous ftp
#upload adresar ktery umoznuje jen zapisovani souboru
DenyAll
AllowAll
#priklad jednoho virtualniho FTP serveru
ServerAdmin ftp_admin@jinde.cz
ServerName “Jinde FTP server”
MaxLoginAttempts 2
RequireValidShell no
TransferLog /var/spool/syslog/proftpd/xferlog.www
MaxClients 50
DefaultServer on
DefaultRoot jiny_koren/
#nejsem tak prisny jako hlavni server 
TimeoutLogin 240
TimeoutIdle 900
TimeoutNoTransfer 1200
#ale nemame moc radi nektere domeny
Order Allow,Deny
Allow .evil.net, .evil2.net
Allow .dangerous.net
Deny ALL
#private adresar jen pro hodne kamarady
AllowUser kamarad1
AllowUser kamarad2
DenyAll
Více o použití direktiv si můžete přečíst na
http://www.proftpd.org/docs/directives/linked/configuration.html
Pokud chcete propojení s mySQL serverem tak do konfiguračního souboru zapište ještě #
#propojeni s mysql
SQLConnectInfo databaze@server prihlasovaci_jmeno heslo
(pftpd@localhost pftpd ******)
#sql tabulka
SQLAuthenticate users
#Typ autentifikace
SQLAuthTypes backend
#standartni adresar
SQLDefaultHomedir /home/ftp
#Nasledujici sloupce tabulky uvadi informace o uzivateli a skupine:
SQLUserInfo users userid passwd uid gid homedir shell
SQLGroupInfo groups groupname gid members
#Pokud chcete logovat prístupy uzivatele
SQLLog PASS updatecount
SQLNamedQuery updatecount UPDATE “count=count+1 WHERE userid=’%u’” users
Tabulku users musíte mít v sql databázi samozřejmě vytvořenou. To můžete provést následovně.
#sql zapis pro vytvoreni tabulky users pro proftpd
CREATE TABLE `users`
(
`userid` varchar(255) NOT NULL default ”,
`name` varchar(255) default NULL,
`mail` varchar(255) default NULL,
`uid` int(11) default ‘65534′,
`gid` int(11) default ‘65534′,
`passwd` varchar(255) NOT NULL default ”,
`shell` varchar(255) NOT NULL default ‘/bin/neexistujici’,
`homedir` varchar(255) NOT NULL default ‘/home/ftp’,
`note` text,
`count` int(11) NOT NULL default ‘0′,
`admin` int(1) NOT NULL default ‘0′,
`closed` int(1) NOT NULL default ‘0′,
UNIQUE KEY `userid` (`userid`)
)
Pomocí jazyka PHP s mySQL pak můžete přidávat/upravovat údaje o uživatelých v tabulce users.
Jak jsem se již zmiňoval FTP není příliš bezpečný. Z hlediska bezpečnosti doporučuji používat protokol FTPS - jde o šifrované spojení.
Poznámka
Proftpd musí být skompilováno s modulem MODTLS.
V našem případě podporu skompilovanou máme -
Pokud chcete zjistit jaké moduly máte skompilovány stačí zadat příkaz
proftpd -l
Příklad výpisu proftpd -l
Compiled-in modules:
mod_core.c
mod_xfer.c
mod_auth_unix.c
mod_auth.c
mod_ls.c
mod_log.c
mod_site.c
mod_delay.c
mod_ratio.c
mod_readme.c
mod_auth_pam.c
mod_tls.c
mod_wrap.c
mod_sql.c
mod_sql_mysql.c
mod_cap.c
mod_ctrls.c
Abychom mohli využívat SSL musíme nejprve vygenerovat certifikáty.
Vytvoříme si adresář /etc/proftpd/ssl
mkdir -p /etc/proftpd/ssl
Nyní vejdeme do /etc/proftpd/ssl
cd/etc/proftpd/ssl
pomocí příkazu openssl s těmito parametry vytvoříme RSA 1024 bitový certifikát, který podepsaný sám sebou:
openssl genrsa 1024 > host.key
openssl req -new -x509 -nodes -sha1 -days 1095 -key host.key > host.cert
Doplníme informace o certifikátu
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter ‘.’, the field will be left blank.
Country Name (2 letter code) [AU]:CZ
State or Province Name (full name) [Some-State]:Czech Republic
Locality Name (eg, city) []:Brno
Organization Name (eg, company) [Internet Widgits Pty Ltd]:likvid
Organizational Unit Name (eg, section) []:
Common Name (eg, YOUR name) []:likvid
Email Address []:likvid@nvda.venik.org
Do konfiguračního souboru proftpd.conf přidejte ještě podporu TLS.
# Podpora TLS
TLSEngine on
TLSLog /var/log/proftpd/proftpd_tls.log
TLSProtocol SSLv23
TLSRequired off
TLSVerifyClient off
TLSRSACertificateFile /etc/proftpd/ssl/host.cert
TLSRSACertificateKeyFile /etc/proftpd/ssl/host.key
poznámka
Pokud se Vám server bude zdát pomalý můžete vypnout DNS lookup ipadres připojených klientů. Do konfiguračního souboru přidejte:
UseReverseDNS Off
IdentLookups Off
Konfiguraci uložíme a restartujeme FTP server.
/etc/init.d/proftpd restart
Nyní se již pomocí nějakého ftp klienta např. Filezilla můžeme připojit. Při FTPs spojení musíme nastavit ssl over explicit encription.
Příklad SSL spojení
Status: Connecting to myserver.cz
Status: Connected with myserver.cz, negotiating SSL connection…
Response: 220 ProFTPD 1.2.10 Server (myserver.cz)[147.251.209.1]
Command: AUTH SSL
Response: 234 AUTH SSL successful
Status: SSL connection established. Waiting for welcome message…
No Comments
Rozdíl mezi explicitním a implicitním spojením si můžete přečíst např. tady
http://help.globalscape.com/help/secureserver2/Explicit_versus_implicit_SS.htm
Závěrem třetího dílu
Proftpd je opravdu kvalitní a profesionální FT|P server. Zvládá SSL spojení je rychlý a bezpečný. Na víc se dá jednoduše propojit s mySQL databází. Pomocí PHP a mySQL se pak dá server velice jednoduše spravovat (přidávání, logování uživatelů atd)
Odkazy
]]>
Pro Windows existuje spousty FTP serverů ať už placených nebo freeware, většinou zvládají všechny základní funkce, které budeme potřebovat, já jsem zvolil FileZilla_Server-0_9_24.
Aplikace je šířená jako Open source GPL, pracují s ní všechny známé screen readery, podporuje SSL zabezpečenní, má jednoduchý IP filtr, Autoban ATD…
Instalace
Aplikaci lze stáhnout z http://filezilla-project.orggg, aktuální verze je 0.9.25 Instalaci zahájíme spuštěním FileZilla_Server-0_9_24.exe.
Potvrdíme licenční ujednání GPL na tlačítku Agree
Nyní nám instalátor nabízí několik možností instalace.
*standart - Nainstaluje se jak služba FTP serveru tak administrativní rozhraní filezilla interface a dokumentace
*full Nainstaluje se vše co v standart, přibývají jen zdrojové kódy - sources (c++)
*service only - Nainstaluje se jen služba FTP serveru,
*interface only - Nainstaluje se jen administrativní rozhraní serveru - filezilla interface
*custom - podrobnější nastavení co a jak se bude instalovat
Já zvolil *full - tedy kompletní instalaci.
Pokračujeme na tlačítku Next.
Dalším krokem instalace je výběr cílového adresáře, defaultně je C:\Program Files\FileZillaServer
Pokračujeme na tlačítku Next.
Následuje startup settings, - zde nastavujeme jak se bude server chovat po startu Operačního systému. Na výběr máme hned z několika možností:
*install as service - started with windows - bude nainstalována služba serveru a bude se spouštět automaticky.
*install as service - started manually - Bude nainstalována služba serveru a bude spouštěna ručně uživatelem.
*v Do not install as service, start server automatically - Server nebude instalován jako služba, bude spouštěn automaticky. Tato volba se příliš nedoporučuje. (má smysl hlavně na win 9X systémech)
V startup settings ještě vyplníme na jakém portu bude naslouchat administrace serveru, defaultně je 14147 a zda chceme spustit server hned po instalaci.
Následuje opět Next.
V posledním kroku instalace lze nastavit spouštění filezilla server interface - tj. administrativní rozhraní serveru. Defaultně je nastavené, aby se interface spouštěl všem uživatelům v systému.
Konečně můžeme spustit instalaci, kliknutím na Install. Proces instalace trvá několik sekund v závislosti na konfiguraci hardwaru.
Po dokončení instalace se automaticky spustí služba serveru filezilla server a filezilla Interface - administrativní rozhraní serveru. Vyplníme server adres, defaultně je localhost tj. 127.0.0.1, port na kterém naslouchá konfigurace serveru defaultně 14147 a heslo. V našem případě pokračujeme na tlačítku OK.
Filezilla interface se připojí na IP kde běží služba serveru a pomocí menu lze nastavení serveru měnit. Do menu lze vstoupit pomocí klávesy Alt nebo F10.
Nabídka file
Zde jsou jen 3 položky, connect to server (připojit k serveru), disconnect (odpojit) a quit (konec.
Nabídka server obsahuje dvě položky active (aktivovat) a lock (zamknout). Nás bude zajímat hlavně nabídka edit, kde jsou tyto položky settings (nastavení), users (uživatelé) a groups (skupiny).
Vytvoření uživatelského účtu
Po instalaci filezilla server do vašeho počítače je nutné vytvořit uživatelský účet. To lze zařídit v menu Edit položka users zde odklepnout a tabem dojet na tlačítko Add (přidat). Lze také použít klávesovou zkratku Alt +A. Po odklepnutí se objeví dialogové okno kde vyplníme uživatelské jméno a vybereme skupinu do které bude uživatel patřit. V našem případě žádná skupina vytvořena zatím není takže jen vyplníme uživatelské jméno a odklepneme na tlačítku OK. Dialogové okno users si popíšeme malinko podrobněji. Nachází se zde karty general, shared folders, ip filters, speed limits. Mezi jednotlivými kartami se přepínáme pomocí šipka nahoru/šipka dolů nikoli jak jsme zvyklý šipka vlevo/šipka vpravo. Na kartě General lze aktivovat uživatele, měnit hesla uživatelů, nastavit datové limity na jednotlivé IP adresy, vynutit SSL přihlášení atd… Na kartě Shared folders lze uživatelům přidělovat práva k jednotlivým složkám. Karta Speed limits slouží k definování pravidel rychlosti upload/download. Lze nastavit konstantní rychlost nebo přímo vytvářet pravidla pro určité události. Karta IP filter slouží jak už z názvu napovídá k filtrování IP adres. Nejprve se definuje rozsah IP, které budou filtrovány a poté se definují IP adresy, které mají k serveru přístup. Většinou se filtrují všechny IP *.*.*.* a pak se vypisují ip adresy, které mohou navazovat spojení se serverem. Jakmile máme vytvořeného uživatele přidělíme mu domovský adresář. Na kartě shared folders stiskněte klávesovou zkratku alt +d zobrazí se windowsí dialogové okno kde nalistujte domovský adresář např. FTP a potvrďte na tlačítku OK. Samozřejmě adresář FTP nejprve vytvořte. Nyní máme vytvořeného uživatele který má přístup do adresáře FTP a všech jeho podsložek. Sbívá nastavit uživatelská práva. Defaultně je nastavené READ, LIST a SUBDIRS tzn. Uživatel má právo číst soubory, listovat a procházet i podsložky. Zde záleží na každém jak si práva na serveru nastaví, obecně platí co není povoleno je zakázáno. :o) Práva se nastavují pomocí zatrhávacích tlačítek (checkbox). ).
*READ - uživatel má právo pouze číst
*WRITE - uživatel má právo zapisovat
*LIST - uživatel má právo listovat tzn.. procházet obsah serveru
*CREATE - uživatel má právo vytvářet soubory nebo složky
*DELETE - uživatel má právo mazat soubory
*SUBDIRS - uživatel má právo procházet i podsložky
Nyní máme vytvořeného uživatele, který má přidělený domovský adresář FTP a má přidělena práva číst (READ), procházet obsah serveru (LIST) a může procházet i podsložky (SUBDIRS) Prakticky by již bylo možné použít nějakého FTP klienta a připojit se na IP adresu serveru, nicméně je potřeba ještě zajistit několik důležitých věcí. Na straně serveru musí být povolen port 21 FTP. To samé samozřejmě i na straně klienta. Dále je více než vhodné v IP filters vyplnit IP adresy které budou mít přístup k serveru a všechny ostatní IP zakázat. Mohlo by to vypadat například takto: Do prvního editačního pole zadejte *.*.*.* a do druhého pole vypište IP adresy oddělené čárkou, které se budou moct na server připojit. Pokud klient nebude v seznamu povolených IP adres obdrží hlášku unauthorized IP a odpojí se. Protokol FTP jak jsem se již zmiňoval v prvním díle tohoto seriálu není příliš bezpečný proto raději používejte FTPS. Filezilla server FTPS podporuje ale než zatrhneme na kartě general Force SSL login, musíme zajistit ještě několik dalších záležitostí. V menu edit zvolte položku setings a zde kartu SSL/TLS Settings, zde zaškrtněte tlačítko enable SSL/TLS support, vyplňte název privátního klíče, soubor certifikátu a klikněte na tlačítko generate new certificate. Můžete také použít klávesovou zkratku alt G. Zobrazí se dialog kde vyplníte všechny požadované údaje a sílu šifrování od 1024 bitů do 4096 bitů. Na kartě SSL/TLS settings ještě můžete vyplnit na jakém portu bude naslouchat SSL spojení defaultně je 990 dále můžete vynutit SSL spojení i na normálním FTP spojení ATD…
Poznámka
Protokol FTPS musí být podporován jak na straně serveru tak na straně klienta. Filezilla server využívá open source knihoven Open SSL. Dále musí být na firewallu povolené porty na SSL (990)V routerech/ADSL modemech hledejte funkci PF, kterou jsem zmiňoval v prvním díle seriálu.
Dialogové okno Settings si popíšeme také malinko podrobněji. Nachází se zde general settings, Welcome message, IP bindings, IP filter, Passive mode settings, security settings, Miscellaneous, admin interface Settings, logging, GSS settings, speed limits, file transfer compression, SSL/TLS settings, autoban.
Jak je vidět z výčtu nastavení je tu opravdu hodně. Provberem si to popořádku. V general settings lze nastavit na jakém portu bude FTP server naslouchat, defaultně je 21, Maximální počet uživatelů defaultně je 0 tzn. Neomezený počet, počet vláken defaultně 2 čas v sekundách kdy server odpojí klienta defaultně je 120 , čas v sekundách kdy server odpojí klienta v případě nečinnosti (defaultně 240)a samozřejmě taky login timeout tzn. Jak dlouho server čeká na přihlášení uživatele. Zde je výchozí hodnota na 60 sekund. Ve většině případů zde není třeba nic nastavovat, všechny hodnoty jsou optimální. Pokud chcete být paranoidní můžete zkrátit login timeout na 30, no transfer timeout na 120 a connection timeout na 60.
Ve Welcome message můžete napsat zprávu, která se zobrazí všem klientům jako uvítací zpráva hned po nalogování. Můžete také zaškrtnout/odškrtnout aby se uvítací zpráva nezobrazovala v logovacím souboru.
Následuje IP bindings zde můžete definovat IP adresy, které budou mít přístup k administrativnímu rozhraní. Výchozí hodnoty jsou nastaveny tak, aby se k serveru dalo připojit pouze z localhost tzn. Pc na kterém běží i služba serveru.
IP filter má v podstatě stejnou funkci jako v dialogovém okně users. Proč dvakrát IP filter?
V dialogu users se definují IP adresy které se vážou na daného uživatele, zatím co zde se definují IP adresy obecněji.
V praxi to funguje asi takhle. Představte si síť s rozsahem IP 147.251.209.*, 147.251.210.*, 147.251.211.*. V IP filter settings nastavíme rozsah *.*.*.* a 147.251.*.*
Nyní se k serveru dostanou jen IP adresy které jsou definované v IP filter/settings. Administraci tak můžete provádět z rozsahu IP 147.251.*.*.
V dialogovém okně users ještě můžete filtrovat IP adresy dle uživatelů což je někdy potřeba.
Po ip filtru následuje Passive mode setings. Doporučuji zde vyplnit IP adresu serveru a rozsah portů které máte forwardovaný. O pasivním a aktivním režimu jsem psal v minulém dílu seriálu.
Security settings - zde můžete nastavit blokování příchozích(/odchozích spojení (data transfer) ze serveru na server a také aktivovat/deaktivovat striktní IP filtr.
Miscellaneous - zde můžete zaškrtnout/odškrtnout zapisování hesla v logovacím souboru, měnit velikost interní vyrovnávací paměti při transferu a také velikost socket bufferu. Hodnoty jsou optimální, není potřeba nic měnit.
V admin interface settings můžete definovat port na kterém bude naslouchat služba serveru, defaultně je 14147, dále lze definovat rozsah IP adres, které se k službě serveru budou moci připojit. Samozřejmě zde také lze měnit administrátorské heslo.
Logging - nastavení logování můžete zaškrtnout/odškrtnout logování do souboru, vybrat formát souboru, omezit velikost logu nebo nastavit po jaké době se mají logovací sobuory odstranit. Historie logování je nastavena na 14 dní.
V GSS settings můžete aktivovat podporu GSS - protokol Kerberos
V speed limits lze opět omezit rychlost upload/download stejně jako v speed limits/users. Platí zde v podstatě to samé jako u IP filter.
File transfer compression - zde můžete měnit nastavení komprese při přenosu defaultně je tato volba vypnutá. SSL/TLS settings s klidným svědomím přeskočíme jelikoš jsem se mu v textu už věnoval. Poslední položkou je Autoban - automatické banování IP adres, doporučuju nechat tak jak je defaultně nastaveno tzn. Autoban je aktivován a banuje (zakazuje) IP adresy které se chtějí vlámat do serveru nebo se snaží o DOS útoky.
Nyní již je všechno hotovo, stačí v FTP klientovi zadat Ip adresu serveru nastavit ftps spojení a připojit se.
Poznámka
Nastavení serveru se ukládá do c:\program files\filezilla server\filezillaserver.xml a filezilla interface.xml. Stačí tedy soubory zálohovat a po instalaci serveru jen přepsat výchozí nastavení. Změny ve filezilla interface se provádějí okamžitě není třeba restartovat službu serveru.
Závěrem druhého dílu
Samozřejmě si jsem vědom, že jsem nepopsal všechna nastavení serveru, nic méně si myslím, že pokročilí uživatelé na zbytek jistě dojdou samy. V příštím díle se již budeme věnovat FTP serveru pod Linuxem konkrétně půjde o PROFTPD.
Odkazy
]]>
FTP je zkratka z File Transfer Protocol. Je to jeden z nejstarších protokolů z rodiny TCP/IP vůbec. Od
prvopočátku byl určen na rychlé přenosy souborů. Jeho stáří je zároveň jeho výhodou, ale i slabinou (vysoká rychlost a textový komunikační protokol, prakticky nulové zabezpečení proti odposlechu hesla, vícespojové přenosy)
FTP běžně pracuje na dvou portech, 21 a 20 a běží výhradně přes TCP (Transmission control protocol) FTP server naslouchá na portu 21 na příchozí spojení z FTP klienta. Na tomto portu běží příkazy, které zachytává server. Na portu 20 se přenáší pouze data, nikoliv příkazy. Jakmile se začnou stahovat data, na příkazovém portu se nic nepřenáší. Zde Může nastat problém při stahování velkých dat přes firewally, protože po dlouhé nečinnosti portu 21 ho může firewall autom. odpojit, a objeví se chybové hlášení.
Nejčastější užití ftp přenosů jsou:
Sdílení dat (často hudba, filmy, ATD… Správa účtů internetových stránek.
Nevýhody protokolu FTP
Hesla a soubory jsou zasílány jako běžný text (nejsou šifrovaná). Je použito mnoho TCP/IP spojení (jedno pro příkazy a každé další pro upload/download souborů). Firewall může blokovat stahování, problémy mohou také nastat při stahování velkých souborů nebo při stahování trvající dlouhou dobu. Je možné zachytávat data třetím počítačem, proto se nedoporučuje používat FTP pro důležitá data. FTP má poměrně dlouhou dobu odezvy, proto není vhodné stahovat velké množství malých souborů.
Připojení k FTP serveru je možné realizovat v aktivním nebo pasivním režimu.
Aktivní režim
Na portu TCP/20 jsou přenášena data (data connection).
V aktivním režimu navazuje připojení pro přenos dat server, klient naslouchá.
Problém zpravidla nastává v případě, kdy se klient připojuje z privátní sítě a jeho IP adresa je překládána (NAT).
Pasivní režim
V pasivním režimu navazuje data connection klient, kterému při sestavování připojení poslal server svou IP adresu a TCP port, na kterém naslouchá.Pasivní režim je bezpečnější ale není vždy technicky možný.
Pokud je připojení k FTP serveru realizováno prostřednictvím PF (Port forwarding) (nejčastěji se jedná o router - NAT a PF), tak router musí mít následující vlastnost - čte datovou část paketů FTP připojení, zjistí na jakém portu server naslouchá pro navázání data connection klientem a tento port začne forwardovat směrem k serveru. Po ukončení relace je ukončen i popsaný PF. Routery mají zpravidla tuto vlastnost již vestavěnou. V případě systému Linux je nutné na routeru spustit příslušný modul - příkaz je „modprobe ip_conntrack_ftp“
Závěrem prvního dílu
Problematika protokolu FTP je na delší čtení, nic méně výsledkem Vám bude funkční FTP server. :o) V příštím díle se podrobněji podíváme na instalaci FTP serveru pod windows (filezilla server) a Linux (proftpd).
Pokud se o protokolu FTP chcete dočíst více tak zde uvádím pár odkazů
Na těchto stránkách se bude časem objevovat to co dříve, tzn. nějaké ty recenze softwaru, praktické postupy jak a co atd… atd… snad se bude líbit…..
]]>