Instalando e configurando o FTP no Windows Server 2003
16/02/04
Instalando e configurando o FTP no Windows Server 2003
Esta matéria está dividida em três tutoriais, que se complementam:
1. Instalando e configurando o Windows Server 2003 e IIS 6.0
2. Instalando e configurando o FTP no Windows Server 2003 (este tutorial)
3. Instalando e configurando o Terminal Server no Windows Server 2003
Ao lê-los, você será capaz de:
1. Instalar e configurar o Windows Server 2003
2. Instalar e configurar um site usando o IIS 6.0
3. Instalar e configurar o FTP com isolamento de usuários (um usuário não pode acessar a pasta de outro)
4. Instalar e configurar o Terminal Server, permitindo acesso remoto aos Administradores ou usuários pré-determinados
No final do tutorial sobre Terminal Server há três dicas de segurança que devem ser implementadas para aumentar a segurança do seu servidor.
O FTP (File Transfer Protocol) permite que você configure o seu servidor para enviar e receber arquivos, anonimamente ou não. O IIS 6 tem uma novidade: o isolamento de usuários, que é muito útil quando você tem vários usuários acessando um ou mais sites: com o isolamento deles, eles não terão acesso às pastas dos demais usuários, tendo seu acesso restrito apenas a uma pasta pré-definida (e suas sub-pastas).
Para instalar o FTP, clique no botão Iniciar > Painel de Controle> Adicionar/Remover programas> Adicionar/Remover componentes do Windows > clique em Servidor de aplicativo > botão Detalhes > duplo-clique em Serviços de informações da Internet (IIS) > Serviço FTP (File Transfer Protocol). Clique em OK, OK e Avançar e a instalação do FTP será realizada:
Ao instalar o FTP, você notará que uma nova opção Sites FTP foi adicionado no Gerenciador dos Serviços de Informações de Internet (IIS):
Elimine o Site FTP padrão da mesma forma que fizemos com o IIS: dê um duplo-clique em Sites FTP > clique com o botão da direita do mouse em Site FTP padrão > Excluir. Confirme a exclusão. Agora vamos criar o FTP do site BABOO 2: clique com o botão direito do mouse em Sites FTP > Novo > site FTP. Em Descrição digite o nome genérico do site (BABOO 2 no nosso caso) e clique em Avançar.
Na próxima tela você deve colocar o IP do servidor no primeiro campo. Se você quiser indicar o IP correto, feche a janela atual para cancelar a criação do site FTP atual e clique no botão Iniciar > Painel de Controle > Conexões de Rede > Clique na conexão existente (normalmente é "Conexão Local") > Propriedades > Avançado > dê um duplo-clique em Protocolo TCP/IP. Coloque ali as informações desejadas (IP, Gateway e DNS) e clique em OK. Agora volte à janela do Gerenciador do IIS e siga os passos do parágrafo acima: a diferença é que agora o IP que você forneceu na sua conexão de rede está disponível para ser configurado no IIS.
No campo Porta TCP, deixe como está (21) e se você desejar, digite o cabeçalho de host do site no campo correto. Clique em Avançar.
Agora você tem três opções para escolher:
Escolha a segunda opção (Isolar usuários) e clique em Avançar. No campo Caminho: você deve informar qual é a pasta que conterá os arquivos do seu site. Clique em Avançar. A seguir você pode definir o acesso à pasta de FTP (Leitura e/ou Gravação) e clique em Avançar.
Um detalhe importante é que uma vez escolhida a opção de isolamento ou não de usuário, não há como mudá-la posteriormente: você deverá apagar o site FTP e criar outro.
A configuração do site FTP é similar à configuração do IIS: dê um duplo-clique em Sites FTP > clique com o botão da direita do mouse no site criado (BABOO 2 no nosso caso) > Propriedades.
Nas aba Site FTP temos as opções abaixo:
Descrição: contém o nome genérico do site FTP
Endereço IP: indica o IP do site
Porta TCP: é a porta utilizada para acessar o FTP do site: 21
Conexão de site FTP: define o número máximo de conexões e o tempo-limite de conexão para definir como inativa
Ativar logs: permite criar arquivos de log de acesso ao servidor (algo importante para auditoria)
Sessões atuais: mostra todas as conexões ativas ao site FTP
Ao clicar no botão Propriedades você define os parâmetros de criação de arquivos de log:
Clique em Diariamente (para que se crie um arquivo de log por dia), clique em Usar hora local para nomeação e sobreposição de arquivo para que a data/hora do log seja o mesmo do servidor (ao usar a hora do W3C, que é a mesma de Greenwich). Em Diretório do arquivo de log, digite a pasta aonde serão salvos os arquivos de log. Não é necessário fazer mais modificações: clique em OK.
O ideal é que você mantenha os arquivos de log em uma partição própria pois eles costumam fragmentar muito a partição aonde estão localizados. Além disso você deve configurar a pasta de log para compactar os arquivos e sub-pastas ali existentes para que os arquivos de log ocupem menos espaço no disco (essa dica pode dobrar o espaço livre destinado aos logs pois o arquivo de log é um arquivo texto que é altamente compactável).
Na aba Contas de segurança você define se conexões anônimas são permitidas ou não. Se você não permitir o acesso anônimo, isso significa que apenas usuários pré-definidos terão acesso ao site FTP - e isso pode representar um problema de segurança pois as senhas utilizadas são transmitidas sem criptografia e podem ser obtidas se houver um sniffer (analisador de protocolo) monitorando a transmissão de dados:
Na aba Mensagens você tem as opções:
Faixa: permite que se defina uma frase que aparecerá antes da conexão ser completada
Boas-vindas: permite que se defina uma frase que aparecerá assim que a conexão foi completada
Saída: permite que se defina uma frase que aparecerá assim que a conexão foi finalizada
Nº máximo de conexões: indica o número máximo de conexões permitido no site FTP
A aba Pasta base contém informações sobre a localização da pasta do site FTP, as permissões dela (Leitura e/ou Gravação), a possibilidade de criar logs de visitantes e o estilo de listagem de pasta (UNIX ou MS-DOS)
A aba Segurança de diretório permite definir o acesso ou bloqueio de um computador (ou um grupo deles) de acordo com o IP.
A configuração do isolamento de usuários (em que cada usuário só tem acesso à sua própria pasta) tem um único pré-requisito: a criação de uma pasta e sub-pasta dentro do Caminho: definido na configuração da pasta FTP. A pasta deve se chamar LocalUser e dentro dela devem haver as pastas com o nome de cada usuário, que serão utilizadas como pasta-base para cada usuário.
Exemplo: você tem dois usuários (Homer Simpson e Yoda) que devem acessar suas respectivas pastas em um site cujo caminho local seja a pasta C:\BABOO 2004. Para que cada um deles tenha acesso somente à sua própria pasta, você deve criar duas sub-pastas dentro de C:\BABOO 2004: a pasta Homer Simpson e a pasta Yoda. Desta maneira a estrutura das pastas ficará desta maneira:
C:\BABOO 2004\LocalUser\Homer Simpson: pasta do usuário Homer Simpson
C:\BABOO 2004\LocalUser\Yoda: pasta do usuário Yoda
Criadas desta maneira, os usuários Homer Simpson e Yoda terão acesso SOMENTE às suas próprias pastas: se o usuário Homer Simpson quiser acessar outra pasta que não seja C:\BABOO 2004\Homer Simpson, ele não conseguirá.
Para os usuários Homer Simpson e Yoda (bem como qualquer outros usuários) poderem acessar as suas pastas, você deve criar estes usuários e definir senhas para eles que serão usadas no login. Para fazer isso, clique no botão Iniciar > Painel de Controle> Ferramentas Administrativas > Gerenciamento do Computador > duplo-clique em Usuários e Grupos locais > clique com o botão da direita do mouse em Usuários > Novo usuário.
Digite os dados do usuário, sendo que as únicas informações requeridas são o nome e senha dos mesmos. Ao criar os usuários, cada um deles terá acesso exclusivo à sua própria pasta, bastando para isso criar a pasta C:\BABOO 2004\LocalUser\(nome do usuário). Simples, né ? :) ...
Dica importante: você deve utilizar o sistema de Segurança da partição NTFS para poder definir as permissões nas pastas de cada usuário. Exemplo: como fazer que o usuário Homer Simpson tenha acesso à sua própria pasta mas proibi-lo de salvar arquivos ali ? Muito simples: configure a pasta C:\BABOO 2004\LocalUser\Homer Simpson para que seja somente leitura para o usuário Homer Simpson ! (lembre-se que se você desativar a opção de Gravação na pasta principal de FTP da aba Pasta base, isso impedirá que todos os usuários salvem arquivos nas suas respectivas pastas)
Na prática:
1. Clique com o botão da direita do mouse na pasta desejada (C:\BABOO 2004\LocalUser\Homer Simpson no nosso caso) e clique em Propriedades
2. Clique na aba Segurança e no botão Adicionar
3. Clique no botão Avançado e depois no botão Localizar agora
4. Dê um duplo-clique no usuário desejado (Homer Simpson no nosso caso) e clique em OK: você voltará na janela principal da aba Segurança
5. Clique no nome do usuário e na opção Gravar/Negar
6. Clique em OK.
Pronto ! Desta maneira o usuário Homer Simpson terá acesso à pasta FTP dele mas não poderá salvar arquivo ali. Para você definir mais opções para este usuário, clique no botão Avançado e depois no botão Editar: você terá uma lista de tarefas que poderá permitir ou negar para este usuário. Isso inclui a criação de pastas, a eliminação de arquivos e muitas outras opções.
Dica: é uma boa idéia você compactar a pasta principal do site FTP (C:\BABOO 2004\LocalUser\no nosso caso) para que você economize espaço em disco. Para ativar a compactação, clique no botão Iniciar > Meu computador > duplo-clique na partição aonde a pasta principal do site FTP se encontra > clique com o botão da direita do mouse na pasta LocalUser > Propriedades > Avançados > clique em Compactar o conteúdo para economizar espaço em disco > clique em OK > clique em Aplicar as alterações a esta pasta, sub-pastas e arquivos e clique em OK. Quanto menor o número de arquivos ali, mais rápida essa tarefa será finalizada. Depois da compactação, a pasta ficará com a cor azul, indicando que os dados ali estão compactados.
Muito cuidado ao habilitar a opção de Permitir conexões anônimas na aba Contas de segurança pois se a opção de Gravação na pasta principal de FTP da aba Pasta base estiver habilitada, isso permitirá que qualquer internauta salve arquivos no seu servidor.
Um comentário:
Artigo oririnal copaido do Baboo
Dirceu Altair Henchen
Postar um comentário