WinSCP Sites in INI-Datei oder Registry? wo sind gespeicherte Sites?
WinSCP speichert die Ziele mit den Verbindungsdaten unter Sites, sind nach einem Update sämtliche Einträge zu den Sites verschwunden. Das gibt es kein Anlass zur Panik. Die Sites können einfach und schnell wieder hergestellt werden, wie dabei vorzugehen ist, wird in diesem Beitrag gezeigt.
Nach dem ein Software Update von WinSCP durchgeführt wurde, und die Sites in der Registry abgelegt wurden, was in den früheren Versionen der Standard war, kann es vorkommen das nach einem Update von WinSCP, die Einstellung auf INI-Datei (WinSCP.ini) geändert wurde. Wir müssen also nur die Einstellung zurück zu Registry ändern.
WinSCP Preferences öffnen
Die Einstellung von WinSCP.ini zu Windows registry ändert man mit Klick auf die Schaltfläche Tools, ist das Login Session Fenster nicht geöffnet, drückt man die Tasten Ctrl+N und dann auf die Schaltfläche Tools.
WinSCP Preferences Configuration storage
Unter Preferences zu Storage gehen und im Bereich Configuration storage mit Klick bei Windows registry die Einstellung aktivieren.
Tools – Preferences – Storage – Configuration storage: Windows registry.
Nach beenden von WinsCP und erneutem ausführen, erscheinen die Zielen wieder im Fenster Sites Ctrl+N
WinSCP Konfiguration in Registry
Wenn die Registry als Konfigurationsspeicher verwendet wird, wird die Konfiguration unter folgendem Schlüssel gespeichert.
Beim Laden der Konfiguration sucht WinSCP zunächst nach einer INI-Datei in dem Verzeichnis, in dem die ausführbare WinSCP.exe-Datei gespeichert ist. Die INI-Datei muss die .ini-Erweiterung und denselben Namen wie die ausführbare Datei (d. h. WinSCP.ini) haben. Wenn die INI-Datei dort nicht gefunden wird, sucht WinSCP im Anwendungsdatenverzeichnis Ihres Benutzerprofils, d. h. nach C:\Benutzer\Benutzername\AppData\Roaming\WinSCP.ini.
Wenn die INI-Datei zum ersten Mal verwendet wird. Dann versucht WinSCP, sie in das Verzeichnis zu schreiben, in dem die ausführbare WinSCP.exe gespeichert ist. Falls das Verzeichnis nicht beschreibbar ist, wird die INI-Datei im Anwendungsdatenverzeichnis des Benutzerprofils gespeichert.
WinSCP Konfigurations-Transfer
Die angelgten Ziele (Sites) mit den Verbindungsdaten werden mit dem wechsel von Windows registry zu Automatic INI file in die WinSCP.ini Datei kopiert. Wenn die Sites zuvor in der Registry gespeichert wurden. Um die Sites für WinSCP auf einem anderen Computer bereitzustellen, werden unter Tools mit Export/Backup Configuration und Import/Restore Configuration, die Sites mit dem Verbindungsdaten übertragen.
In diesem Tutorial zeigen wir, wie man den FTP-Daemon vsFTPD auf einem Linux-Server bereitstellt. Schließlich wird vsFTPD durch fail2ban gehärtet.
Very Secure File Transfer Protocol Daemon, wie uns das gleichnamige Dienstprogramm verspricht, ist VSFTPD ein sicherer FTP-Daemon, dieser als Standard-FTP-Server von den meisten Linux Distributionen verwendet wird, so in Debian, Ubuntu, CentOS, Fedora, RHEL und weiteren mehr. VSFTPD ist ein stabiler FTP-Server dieser unter der GNU General Public License autorisiert ist. VSFTPD wurde entwickelt für eine sichere und einfache Unterstützung virtueller Clients mit PAM (Pluggable Authentication Modules). In diesem Tutorial wird gezeigt, wie man VSFTPD installiert und mit Fail2ban auf Debian 10 (buster) oder anderen Linux Versionen implementiert. Fail2ban ist ein in Python geschriebenes Intrusion Prevention System, das auf jedem Linux Betriebssystem läuft, dieses eine manipulierbare Firewall beinhaltet.
Very Secure File Transfer Protocol Daemon – VSFTPD – absichern mit Fail2ban
vsFTPD Installation
Unter Debian und Ubuntu wird VSFTPD mit dem apt Paket Manager aus dem Standard Repository installiert.
$ sudo apt-get install vsftpd -y
Bei CentOS und RHEL wird VSFTPD mit YUM installiert.
$ sudo yum install vsftpd -y
Nach der Installation geht’s zur Konfiguration von VSFTPD.
$ sudo vi /etc/vsftpd.conf
Bei CentOS / RHEL / Fedora ist vsftpd.conf unter /etc/vsftpd.
$ sudo vi /etc/vsftpd/vsftpd.conf
Wer nicht mit VIM arbeitet, kann mit nano oder ne editieren.
Wir deaktivieren die anonyme Anmeldung und erlauben lokalen Benutzern zu schreiben.
chroot steht für change root und ist eine Funktion für Unixoide Systeme, um das Rootverzeichnis zu ändern. chroot wirkt sich nur auf den aktuellen Prozess und seine Child-Prozesse aus, es ist ein einfacher Jail-Mechanismus in dem das FTP-Dienstprogramm verhindert das Benutzer auf Dateien ausserhalb seines Verzeichnisses zugreifen können. chroot bietet auch eine einfache Möglichkeit, nicht vertrauenswürdige Daten in eine Sandbox zu versetzen. Die chroot Einstellungen für VSFTPD Benutzer findet man in der Datei vsftpd.conf bei Zeile chroot_local_user und ändere dort auf YES, so auch bei chroot_list_enable.
chroot_local_user=YES
chroot_list_enable=YES
Alle Benutzer werden chroot zugeteilt, bis auf einige die befreit sind, dazu wird die Datei /etc/vsftpd.chroot_list erstellt, diese Benutzer enthält, die von chroot ausgeschlossen werden.
Erstelle eine Datei vsftpd.userlist und füge Benutzer hinzu diese abgelehnt werden sollen. Abgelehnt werden Service Accounts, da diese gerne für Angriffe genutzt werden. Benutzer pro Zeile hinzufügen, Beispiel: vsftpd.userlist
root
bin
daemon
sys
sync
man
backup
admin
sshd
lp
sync
proxy
list
irc
shutdown
halt
mail
news
uucp
operator
games
nobody
postfix
www-data
ftp
mysql
SFTP verschlüsselte Authentifizierung
Damit Passwörter nicht im Klartext gesendet werden, diese Optionen zur Konfigurationsdatei hinzufügen, einige davon sind bereits verhanden, überprüfe diese und ändere ggf. die Optionen.
Anmerkung: Wird der SSH Server auf dem System ausgeführt, muss beachtet werden, das per Standard SFTP durch den SSH Daemon bereits ausgeführt wird, deshalb die Datei /etc/ssh/sshd_config überprüfen.
Subsystem sftp /usr/lib/openssh/sftp-server
Weitere empfohlene VSFTPD Einstellungen
# chroot() jail at times vsftpd does not require filesystem.
secure_chroot_dir=/var/run/vsftpd/empty
# This string is the name of the PAM service vsftpd will use.
pam_service_name=ftp
# Uncomment this to indicate that vsftpd use a utf8 filesystem.
utf8_filesystem=YES
# passive mode FTP port range this allows by firewall.
pasv_min_port=40000
pasv_max_port=50000
Anmerkung: Eine FTP-Verbindung besteht aus dem Befehlskanal und dem Datenkanal. Der passive Modus ermöglicht es dem FTP-Client, beide Kanäle zu erstellen, so dass die Firewall die FTP-Verbindung nicht blockieren darf, daher muss der Portbereich von pasv_min_port bis pasv_max_port auf der Firewall geöffnet sein.
VSFTPD schützen und härten mit Fail2ban
Um den FTP-Server vor Brute-Force Angriffe zu schützen, wird Fail2ban (Fehlschlag führt zum Bann) für VSFTPD aktiviert. Bei einer definierten Anzahl fehlgeschlagener Anmeldeversuche, wird der verdächtige Host für eine bestimmte Zeit gesperrt. Fail2ban liest die Anmeldeversuche aus den Logdateien. Hierzu wird Fail2ban auf dem FTP-Server installiert.
$ sudo apt install -y fail2ban
Für Fail2ban und VSFTPD die Datei jail.local erstellen, falls nicht bereits vorhanden.
$ sudo vi /etc/fail2ban/jail.local
Weiter kann die Datei jail.conf kopiert werden, oder es werden einzelne Blöcke der Services in jail.local hinzugefügt.
[vsftpd]
enabled = true
# or overwrite it in jails.local to be
# logpath = %(syslog_authpriv)s
# if you want to rely on PAM failed login attempts
# vsftpd's failregex should match both of those formats
port = ftp,ftp-data,ftps,ftps-data
logpath = %(vsftpd_log)s
findtime=1800
bantime = 7200
maxretry = 4
Der Fail2ban Filter für VSFTPD enthält die Datei unter /etc/fail2ban/filter.d/vsftpd.conf
Im Standard wird /var/log/vsftpd.log ausgelesen, was mit der Variable %(vsftpd_log)s vordefiniert ist.
Für die funktionsweise von Fail2ban sind die Logs von bedeutung. Der FTP-Server (VSFTPD) protokolliert in der Logdatei /var/log/vsftpd.log. Fail2ban ist flexibel und kann für die meisten Anforderungen angepasst werden, wird zusätzlich ein weiteres Diensprogramm eingesetzt, dieses xferlog voraussetzt, kann mit dual_log_enable=YES in beide Logdateien protokolliert werden.
Um änderungen von Fail2ban zu übernehmen, muss der Daemon neu gestartet werden.
$ sudo systemctl restart fail2ban
Die von Fail2ban gesperrten IP Adressen können überprüft werden, hier als root mit folgendem fail2ban-client Kommando.
$ fail2ban-client status vsftpd
Status for the jail: vsftpd
|- Filter
| |- Currently failed: 0
| |- Total failed: 3
| `- File list: /var/log/vsftpd.log
`- Actions
|- Currently banned: 17
|- Total banned: 126
`- Banned IP list:
UNBLOG verwendet Cookies, um Dein Online-Erlebnis zu verbessern. Mit "ACCEPT" gibst Du Deine Zustimmung zur Nutzung dieser Website und unseren Datenschutzbestimmungen, oder wähle Cookie settings.
Diese Website verwendet Cookies, um Ihre Erfahrung zu verbessern, während Sie durch die Website navigieren. Von diesen werden die Cookies, die nach Bedarf kategorisiert werden, in Ihrem Browser gespeichert, da sie für das Funktionieren der grundlegenden Funktionen der Website wesentlich sind. Wir verwenden auch Cookies von Drittanbietern, mit denen wir analysieren und verstehen können, wie Sie diese Website nutzen. Diese Cookies werden nur mit Ihrer Zustimmung in Ihrem Browser gespeichert. Sie haben auch die Möglichkeit, diese Cookies zu deaktivieren. Das Deaktivieren einiger dieser Cookies kann sich jedoch auf Ihre Browser-Erfahrung auswirken.
Notwendige Cookies sind unbedingt erforderlich, damit die Website ordnungsgemäß funktioniert. Diese Kategorie enthält nur Cookies, die grundlegende Funktionen und Sicherheitsmerkmale der Website gewährleisten. Diese Cookies speichern keine persönlichen Informationen.
Alle Cookies, die für die Funktion der Website möglicherweise nicht besonders erforderlich sind und speziell zur Erfassung personenbezogener Daten des Benutzers über Analysen, Anzeigen und andere eingebettete Inhalte verwendet werden, werden als nicht erforderliche Cookies bezeichnet. Es ist obligatorisch, die Zustimmung des Benutzers einzuholen, bevor diese Cookies auf Ihrer Website ausgeführt werden.