Wer einen FTP-Server für den Datenaustausch mit Freunden im Web veröffentlicht muss sich Gedanken machen, wie der Zugriff abgesichert werden kann.
Ich möchte hier nur einige kurze Notizen (unter anderem für mich selbst) machen, wie der Zugriff auf den FTP-Server von außen am besten gegen unbefugten Zugriff abgesichert werden kann. Dies wird keine Beschreibung der Installation, dazu gibt es bereits genügend Tutorials. Und ich verwende den FTP-Server unter Linux, einige Hinweise gelten sicherlich auch für Windows Anwendungen.
FTP-Server absichern
In einigen Servern gibt es Möglichkeiten User auszusperren, die mehrfach falsche Anmeldedaten eingeben. In PROFTPD mit dem Modul "mod_ban". Einfach mal in der Suchmaschine eurer Wahl "proftpd ban.tab" eingeben.
Eine Zeitlang habe ich auch "fail2ban" eingesetzt mit der mitgelieferten jail "proftpd.conf". fail2ban läßt sich nicht nur für den FTP-Server sondern auch für einen reinen Web-Server einsetzen und ist eigentlich für mich das geeignete Tool.
Darüber hinaus sollte man sich aber auch Gedanken machen über die Usernamen, die auf den Server zugreifen dürfen.
In meinen Logs sehe ich regelmäßig Versuche, sich auf dem FTP-Server anzumelden:
FTP [6041] 117.104.xxx.xx [21/Aug/2018:12:07:35 +0200] "USER admin" 331
FTP [4636] 202.131.xxx.xx [23/Sep/2018:11:08:55 +0200] "USER Admin" 331
FTP [14968] 198.20.xx.xxx [27/Aug/2018:19:35:57 +0200] "USER anonymous" 331
FTP [10379] 95.76.xx.xx [05/Sep/2018:15:48:02 +0200] "USER Anonymous" 331
Hier die Top 10 Usernamen:
- admin
- anonymous
- ftp
- guest
- mysql
- root
- test
- user
- username
- www-data
Meine Empfehlung: sucht euch möglichst keine einfachen Usernamen aus für den Zugriff auf den FTP-Server. Auch nicht für einen schnellen Test. Wie schnell kommt etwas dazwischen und man vergißt den User "Test" mit dem Passwort "test123" wieder zu löschen und wundert sich nach Wochen, warum man nicht mehr auf den eigenen FTP-Server kommt oder die Zugriffe plötzlich enorm anwachsen.
Als Beispiel sollten Usernamen keine realen Namen oder Vornamen sein. Benutzt doch einfach einen Passwortgenerator, zum Beispiel den Free Password Generator.
Ich nehme für den Usernamen einen kleinen Haken raus:
und generiere den Usernamen, dann kommt der Haken wieder rein und mit einigen Sonderzeichen wird das Passwort erzeugt:
Andere Tools wie "KeePass" können das auch, dort sollte man sich allerdings die Usernamen vorher ausgedacht haben.
Falls ihr noch Anregungen habt, nehme ich die gerne in den Kommentaren an.