Matakuliah Perangkat Lunak Sistem Operasi Jaringan

Tanggal 21 Oktober 2015

Topik Konfigurasi FTP Server
Waktu pengerjaan 2 Sessions
Setoran Laporan Praktikum
Batas akhir penyerahan Akhir sesi
Tempat penyerahan TA
Tujuan Mahasiswa dapat mengkonfigurasi FTP Server

FTP Server
Ada 2 tipe server FTP :
1. Anonymous FTP Server yaitu server yang mengijinkan siapa saja untuk
koneksi ke server dan mengakses file
2. Standard FTP server yaitu server yang mengharuskan nama account dan
password dari siapa saja ynag ingin mengakses server tersebut.
Disaat Anda memilih menginstalasi anonymous FTP server ada bebarpa hal yang
perlu diperhatikan:
1. Umumnya server anonymous FTP ditempatkan diluar firewall pada dedicated
machine
2. Pastikan bahwa dedicated machine hanya melayani FTP server saja dan tidak
mengandung data yang critial yang tidak dapat direstore dengan cepat
3. Hindari untuk menempatkan data-data yang critical dan sesnsitif
4. Pastikan menggunakan partisi khusus atau terpisah untuk FTP file system
dan dimount dengan mode read only.
vsftpd Server Packages
vsftpd adalah Very Secure File Transfer Protocol Daemon. Untuk melihat apakah
server sudah terinstal paket vstpd dapat digunakan command rpm
[root@nss /]# rpm –qa vsftpd

Jika belum terinstall, silahkan install aplikasi vsftpd dengan menggunakan yum
(menggunakan repository media DVD)
[root@nss /]# yum install vsftpd

Anda juga bisa menginstall ftp client jika applikasi tersebut belum ada di server anda
[root@nss /]# yum install ftp

Menjalankan vsftpd
Anda dapat menstart, stop, atau merestart vsftpd dengan command berikut :
[root@nss]# /etc/init.d/vsftpd start
[root@nss]# /etc/init.d/vsftpd stop
[root@nss]# /etc/init.d/vsftpd restart

Agar vsftpd start pada saat mesin dibooting anda dapat mengaktifkannya dengan
command chkconfig atau menggunakan ntsysv :
[root@nss]# systemctl enable vsftpd

06-Lab Konfigurasi FTP Server.doc10/20/2015 7:20 PM Page 1 of 4

Testing Status Vsftpd
Anda dapat melihat apakah proses vsftpd sudah berjalan atau tidak dengan
menggunakan command netstat yang akan menampilkan semua port TCP dan UDP
yang sedang listening.
[root@nss conf]# netstat -a|grep ftp
tcp 0 0 *:ftp *:* LISTEN

Jika vstpd belum running maka tidak ada output dari command tersebut.
vsftpd.conf – file config vsftpd
vsftpd.conf file konfigurasi yang hanya dibaca pada saat vsftpd distart, jadi jika Anda
melakukan perubahan pada file konfigurasi maka Anda harus merestart vsftpd. File
konfigurasi ini secara default berlokasi pada /etc/vsftpd.conf.
Configuring the Very Secure FTP Server
Beberapa configurasi yang perlu diperhatikan :
anonymous_enable=YES
Jika Anda tidak mengharapkan anonymous mengakses server Anda ubah --> NO
local_enable=YES
Untuk mengontrol apakah login local user diijinkan atau tidak Configurasi ini
memberikan resiko karena username dan password yang dikirimkan melalui jaringan
tanpa enkripsi.Policy yang paling baik adalah menolak akses user local ke server
menggunakan user account.
write_enable=YES
Untuk mengatur apakah commands FTP dapat mengubah filesystem atau tidak.
Contoh command FTP: STOR, DELE, RNFR, MKD, RMD, APPE dan SITE.
local_umask=022
Nilai umask untuk file yang di-create oleh users local.
dirmessage_enable=YES
If enabled, users of the FTP server can be shown messages when they first enter a
new directory.By default, a directory is scanned for the file .message, but that may be
overridden with the configuration setting message_file.
xferlog_enable=YES
Activate logging of uploads/downloads.
connect_from_port_20=YES
This controls whether PORT style data connections use port 20 (ftp-data) on the
server machine.For security reasons, some clients may insist that this is the case.
Conversely, disabling this option enables vsftpd to run with slightly less privilege.
chroot_local_user=YES
If set to YES, local users will be (by default) placed in a chroot() jail in their home
directory after login. Warning: This option has security implications, especially if the
users have upload permission, or shell access. Only enable if you know what you are
doing. Note that these security implications are not vsftpd specific. They apply to all
FTP daemons which offer to put local users
in chroot() jails.Seluruh lokal user hanya dapat mengakses home directory. Perlu
agar user tidak dapat mengakses file user lain melalui ftp.
chroot_list_enable=YES

06-Lab Konfigurasi FTP Server.doc10/20/2015 7:20 PM Page 2 of 4

chroot_list_file=/etc/vsftpd/chroot_list
Abpaila Anda ingin membatasi chroot() hanya untuk beberapa user, Anda dapat
mendaftarkan nama-nama user tersebut pada file yang anda daftarkan di
chroot_list_file.
listen=YES
Jika diubah menjadi YES, maka vsftpd listen pada ipv4 sockets. Vsftpd hanya dapat
listen untuk satu jalur saja, apakah itu ipv4 atau ipv6. Jika vsftpd menggunakan ipv4
maka ipv6 di disable atau di comment.
Listen_ipv6=NO

Opsi vsftpd.conf yang lain

Bebrapa opsi yang perlu diperhatikan adalah :
 Untuk membatasi jumlah maksimum client yang dapat melakukan koneksi
(max_clients)
 Untuk membatsi jumlah koneksi berdasarkan source IP address (max_per_ip)
 Membatasi rate transfer data per anononymous login (anon_max_rate)
 Membatasi rate transfer data per non-anononymous login (local_max_rate)
Untuk keterangan opsi yang tersedia dapat Anda lihat pada manual :
[root@nss ~]# man vsftpd.conf

Masalah Keamanan FTP

1. FTP login dan transfer data tidak dienkripsi, jadi hati-hati
2. Membatasi/melarang user tertentu untuk mengakses FTP. Anda dapat melakukan
ini dengan menambahkan user tersebut ke daftar pada file /etc/vsftpd.ftpusers
3. Pastikan FTP Greeting Banner sudah Anda ganti pada file sftpd.conf, untuk
memperuslit user mengetauhi sistem yang Anda gunakan.
ftpd_banner= New Banner Here

4. User local Anda dapat diset hanya dapat mengakses home direktorinya (root
direktorinya dalah home direktorinya) pada saat login dengan ftp dengan menset
ospi
chroot_local_user=YES

Konfigurasi vsftpd untuk Secure Connection

FTP tradisional kurang aman karena pada saat login, username dan password akan
dikirimkan tanpa enkripsi (clear text) sehingga ada kemungkinan password anda di
“sniff” oleh orang lain. Untuk mengantisipasi, anda dapat mengkonfigurasi vsftpd
server Anda dengan menggunakan enkripsi OpenSSL sehingga username dan
password dan data file akan dienkripsi pada saat transfer.
Terlebuh dahulu pastikan vsftpd Anda dikompail dengan mensupport ssl, dapat anda
cek dengan perintah berikut :
[root@nss vsftpd]# ldd /usr/sbin/vsftpd | grep libssl
libssl.so.5 => /lib/libssl.so.5 (0x00ecf000)

Jika ada output seperti diatas, maka vstpd Anda support ssl.

06-Lab Konfigurasi FTP Server.doc10/20/2015 7:20 PM Page 3 of 4

Langkah pertama yang harus anda lakukan adalah membuat sertifikat server Anda
menggunakan tools OpenSSl (lihat modul sebelumnya mengenai Konfigurasi Secure
Apache Web Server). Atau jalankan perintah ini :
[root@nss vsftpd]# openssl req -x509 -nodes -days 365 -newkey rsa:1024 -keyout
/etc/vsftpd/vsftpd.crt -out /etc/vsftpd/vsftpd.crt

Kemudian edit file konfigurasi vsftpd anda di /etc/vsftpd/vsftpd.conf, tambahka baris

berikut :
ssl_enable=YES
ssl_tlsv1=YES
allow_anon_ssl=NO
force_local_data_ssl=NO
force_local_logins_ssl=NO
ssl_sslv2=NO
ssl_sslv3=NO
rsa_cert_file=/etc/vsftpd/vsftpd.crt

Kemudian restart server Anda.

Opsi force_local_logins_ssl diset NO agar client dapat koneksi dengan atau tanpa SSL.
Untuk dapat mengakses ftpserver Anda dengan ssl maka client Anda harus
menggunakan FTP client yang mensuport SSL/TSL. Aplikasi yang terssedia yang
dapat digunakan adalah CoreFTP dari http://www.coreftp.com (diattach pada modul
ini). Aplikasi yang lain adalah WinSCP
(http://duktek.del.ac.id/software/File%20Transfer/FTP/WinSCP/).
Menggunakan SFTP alternatif FTP yang aman.
OpenSSH juga mempunyai program SFTP, yang berjalan melalui koneksi SSH tetapi
tidak support untuk anonymous login.
Contoh berikut adalah koneksi mengunakan sftp
[root@nss vsftpd]# sftp user@172.21.1.8
Connecting to 172.21.1.8...
user@172.21.1.8's password:
Permission denied, please try again.
user@172.21.1.8's password:
sftp> dir
a.out build install.log isec-ptrace-kmod-exploit.c kuliah
mail mysql nss pas.c
public_html swish-e-2.4.3 swish-e-2.4.3.tar.tar web_index
sftp>

Referensi :
1. http://www.linuxhomenetworking.com/wiki/index.php/Quick_HOWTO_:_Ch15_:_
Linux_FTP_Server_Setup
2. http://wiki.vpslink.com/index.php?title=Configuring_vsftpd_for_secure_connectio
ns_(TLS/SSL/SFTP)

06-Lab Konfigurasi FTP Server.doc10/20/2015 7:20 PM Page 4 of 4