Последнее изменение файла: 2023.12.27
Скопировано с www.bog.pp.ru: 2025.05.14

Bog BOS: TFTP

Поисковая машина search.msn.com в течение 5 лет направляла пользователей на эту (несуществовавшую все эти 5 лет!) страницу. Раз уж им так хочется, то придется написать ;)

TFTP (Trivial File Transfer Protocol) представляет собой упрощенный протокол передачи файлов (никакой авторизации, выдачи оглавления и т.д). В отличие от FTP использует для передачи пакетов протокол UDP, что упрощает его реализацию для встроенных устройств.

Применяется для загрузки конфигурации или firmware различными устройствами (например, сетевыми принтерами или маршрутизаторами) в сочетании с протоколом bootp (DHCP) и ARP, RARP.

Используется протокол UDP, стандартный порт для инициализации соединения - 69, для передачи файла выбираются порты со случайным номером с обеих сторон. Передача начинается с посылки запроса на чтение или запись файла, далее файл пересылается блоками по 512 байт (к ним добавляются заголовки TFTP, UDP, IP и канального уровня), при получении очередного блока посылается подтверждение о приеме. Посылка блока длиной менее 512 байт сигнализирует о конце файла. Если блок теряется по дороге, то принимающая сторона по истечению времени ожидания повторяет передачу своего блока или подтверждения. В случае ошибки (нет такого файла, нет прав доступа, некорректный пакет, потеря доступа к ресурсу), любая сторона посылает сообщение об ошибке и завершает работу, не дожидаясь подтверждения. Проверка правильности передачи данных возлагается на подсчет контрольных сумм UDP.

Каждый пакет содержит заголовок TFTP, состоящий из двухбайтового кода пакета:

1. запрос на чтение (пакет содержит имя файла, завершающееся нулем, и режим передачи - netascii или octet)
2. запрос на запись (пакет содержит имя файла, завершающееся нулем, и режим передачи - netascii или octet)
3. данные (содержит двухбайтовый номер блока, стало быть размер файла не может быть более 32 МБ; длина собственно данных от 0 до 512 байт)
4. подтверждение (содержит двухбайтовый номер блока)
5. ошибка (содержит двухбайтовый код ошибки и строку сообщения, завершающуюся нулем)
   • 0 - Not defined, see error message (if any).
   • 1 - File not found.
   • 2 - Access violation.
   • 3 - Disk full or allocation exceeded.
   • 4 - Illegal TFTP operation.
   • 5 - Unknown transfer ID.
   • 6 - File already exists.
   • 7 - No such user.

Позднейшие дополнения к протоколу (RFC 2347, RFC 2348, RFC 2349) позволяют согласовывать некоторые опции обмена (размер блока - blksize от 8 до 65464 байт, интервал задержек - timeout от 1 до 255 секунд, размер файла - tsize, размер окна передачи - windowsize). Имена опций и их значения передаются в пакете запроса на чтение или запись. Сервер отвечает на это пакетом подтверждения опций вместо обычного пакета подтверждения, в котором он указывает опции, с которыми он согласен.

Если MTU сети недостаточно, чтобы передавать блоки данных (вместе с заголовками TFTP, UDP, IP) "одним куском", то реализация TCP/IP стека должна уметь фрагментировать/дефрагментировать IP пакеты.

Программа tftp в Solaris 2.5 и Linux (CentOS 5/6). Параметры задают имя или адрес TFTP сервера и, возможно, порт, дальше вас спросят. Команды (можно задать в командной строке, см. ключ -c; перед именем удалённого файла можно указать "имя-хоста:"; имена удалённых файлов в формате Unix (разделитель имён каталогов - "/")):

• help имя-команды
• connect имя-или-адрес-хоста [ номер-порта ] (в реальности, никакого соединения - это же UDP!)
• mode {ascii | binary} (по умолчанию - ascii!)
• ascii (netascii)
• binary (octet)
• literal (можно использовать ":" в именах файлов)
• put имя-файла
• put имя-локального-файла имя-удаленного-файла
• get имя-файла
• get имя-удаленного-файла имя-локального-файла
• quit
• rexmt секунд (интервал перепосылки пакетов)
• status (показать состояние)
• timeout секунд
• trace (переключение трассировки пакетов)
• verbose (переключение болтливости вывода)

В RHEL/CentOS 7 и выше используется модификация tftp-hpa от разработчик ядра Linux 5.2 (версия перескочила от 0.49 сразу к 5.0). Ключи:

• -V (вывести номер версии и конфигурацию)
• -v (увеличить болтливость)
• -4
• -6
• -m {ascii | binary}
• -c команда параметры (выполнить команду)
• -l (не воспринимать ':' как разделитель имени хоста)
• -R от:до (интервал номеров исходящего порта)
• -w число (задать значение windowsize - RFC 7440)

В Cisco IOS TFTP клиент встроен в команду copy, а имя хоста и файла спрашиваются в интерактивном режиме. Аналогично у имитаторов.

В коммутаторах HPE TFTP клиент встроен в команду copy.

В коммутаторах Dell TFTP клиент встроен в команду copy.

В коммутаторах D-Link TFTP клиент встроен в команду copy (ещё в TFTP умеет команда debug и копирование ключей SSL ;).

В коммутаторах Huawei Cloud Engine TFTP клиент встроен в команду save и в BIOS и ZTP (Zero Touch Provisioning).

Демон in.tftpd в Solaris 2.5 запускается с помощью супердемона inetd с правами nobody/nobody. В качестве параметра задается директория, относительно которой будут задаваться имена файлов (по умолчанию - /tftpboot). Ключ "-s" заставляет сервер сделать chroot() в указанную директорию, которая в этом случае должна существовать. Допускается чтение только общедоступных файлов. Записывать можно только те файлы, которые уже существуют и доступны на запись всем. Порт и прочие параметры задаются в файле /etc/inetd.conf:

tftp dgram udp wait root /usr/sbin/in.tftpd in.tftpd -s /tftpboot

Демон in.tftpd в Linux (RHEL/CentOS 5: пакет tftp-server, with remap, with tcpwrappers) запускается с помощью супердемона xinetd с правами nobody/nobody. В качестве параметра задается каталог, относительно которого будут задаваться имена файлов (по умолчанию - /tftpboot или /var/lib/tftpboot). Допускается чтение только общедоступных файлов (если не используется ключ "-p" или "--permissive"). Записывать можно только те файлы, которые уже существуют и доступны на запись всем (если не используется ключ "-c" или "--create"). SELinux также проверяет контекст файлов, с которыми работает in.tftpd, так что требуется обрабатывать их с помощью restorecon. Используется механизм /etc/hosts.allow и /etc/hosts.deny (рекомендуется использовать системный фильтр типа iptables). Сервер поддерживает дополнительные опции обмена, определенные в RFC 2347, RFC 2348 и RFC 2349: blksize (до 65464), blksize2 (степень 2; до 32768), tsize (размер файла), timeout (секунд ожидания перед повторной передачей блока), utimeout (микросекунд ожидания перед повторной передачей блока), rollover (0), windowsize (1; число блоков)). Ключи:

• -V (вывести номер версии и особенности сборки; --version)
• -v (увеличить болтливость)
• -vv (ещё увеличить болтливость)
• -vvv (и ещё увеличить болтливость; отладка правил отображения имён файлов)
• --verbosity уровень
• -4 (только IPv4; --ipv4)
• -6 (только IPv6; --ipv6)
• -l (CentOS 4 и выше: задаёт автономный режим работы без xinetd; --listen)
• -L (задаёт автономный режим работы без xinetd без отсоединения от командной оболочки; --foreground)
• -a адрес:порт (для автономного режима работы задаёт адрес и порт; --address)
• -c (позволяет создавать новые файлы с правами в соответствии с ключами -p и -U)
• -s каталог (сервер делает chroot() в указанный каталог, который в этом случае должна существовать; в неё хорошо бы скопировать etc/localtime; --secure; только на время выполнения задания в дочернем процессе после clone())
• -u uid-или-имя-пользователя (nobody; под каким пользователем работать (запускать под root); --user; только на время выполнения задания в дочернем процессе после clone())
• -U маска (0; umask для создаваемых файлов; --umask)
• -p (ослабить проверку прав доступа до обычных; в несуществующий файл без ключа -c не пишет, несмотря на имеющиеся права)
• -P имя-pid-файла (создаётся в автономном режиме; удаляется по завершению)
• -t секунд (900; запущенный сервер ждёт следующего запроса указанное время; --timeout; игнорируется в автономном режиме)
• -T микросекунд (1000000; ожидание перед повторной посылкой пакета; --retransmit; клиент может изменить опциями timeout и utimeout)
• -m имя-файла (позволяет задать правила отображения запрашиваемых имён в локальные имена; --map; разные клиенты могут получить разные файлы по одному и тому же имени в соответствии со своим IP адресом; при получении сигнала HUP файл перечитывается)
• -r option ... (отключить обработку blksize, tsize, timeout; PXE требует tsize; --refuse
• -B байт (максимальный размер блока; для тупых клиентов задать минимальный MTU-32; --blocksize)
• -R порт:порт (использовать порты из указанного интервала; --port-range)
• -l (RH7.3: записывать журнал на syslog, источник - DAEMON; уровень - INFO, NOTICE, WARNING или ERR

Порт и прочие параметры задаются в файле /etc/xinetd.d/tftp (не забыть сделать /etc/rc.d/init.d/xinetd reload):

service tftp
{
        socket_type             = dgram
        protocol                = udp
        wait                    = yes
        user                    = root
        server                  = /usr/sbin/in.tftpd
;        server_args             = -l -s /tftpboot
        server_args             = -s /tftpboot
        disable                 = no
}

В RHEL/CentOS 7 и выше используется модификация tftp-hpa от разработчиков ядра Linux 5.2. Изменения от 0.49 до 5.2 (версия перескочила от 0.49 сразу к 5.0):

• -P имя-pid-файла

В RHEL/CentOS 7 и выше устанавливаются выключенные сервисы tftp.socket (UDP/69) и tftp.service (-s /var/lib/tftpboot). Отдельный пользователь для tftp не создаётся, что нарушает рекомендацию разработчиков ("-p -c -U 002 -u tftpd"). Рекомендуется самостоятельно

• создать пользователя и группу tftpd
• поменять права /var/lib/tftpboot на 700 для tftpd:tftpd
• создать привязанный к интерфейсу /etc/systemd/system/tftpbound.socket

  [Unit]
  Description=Tftp Server Activation Socket
  Wants=network-online.target
  After=network-online.target
  
  [Socket]
  ListenDatagram=адрес:69
  
  [Install]
  WantedBy=sockets.target
  

• задать привязанный /etc/systemd/system/tftpbound.service

  [Unit]
  Description=Tftp Server bound
  Requires=tftpbound.socket
  Documentation=man:in.tftpd
  After=network.target
  Wants=network-online.target
  After=network-online.target
  
  [Service]
  ExecStart=/usr/sbin/in.tftpd -4 -p -U 002 -vvv -u tftpd -s /var/lib/tftpboot
  StandardInput=socket
  
  [Install]
  Also=tftpbound.socket
  WantedBy=multi-user.target
  

• systemctl daemon-reload
• systemctl start tftpbound.socket
• systemctl start tftpbound
• тестировать
• systemctl enable tftpbound.socket
• systemctl enable tftpbound

tftp сервер в Cisco IOS.

Протокол не имеет средств аутентификации и авторизации, поэтому обеспечение его безопасного использования на клиентах является непростой задачей. Использование протокола без установления соединения UDP усугубляет проблему (возможна посылка пакетов вслепую с поддельными исходящими адресами и портами). Первым делом надо заблокировать прием пакетов на порт UDP/69 на периферии сети (Cisco ACL) и с помощью ipchains ограничить их прием на внутреннем экране (это, к сожалению, обходится, если не использовать дополнительных средств наподобие коммутатора с привязкой портов к MAC адресам), т.е. на клиентах добавить перед строками "запретить все" в /etc/sysconfig/ipchains (не забыть сделать /etc/rc.d/init.d/ipchains restart):

# tftp
-A input -s исходящие-адреса -d адрес-сервера/255.255.255.255 69:69 -p udp -j ACCEPT

Так как порты для передачи данных выбираются случайным образом, то необходимо обеспечить прием и передачу UDP пакетов на все порты из интервала ip_local_port_range сквозь внутренний экран.

Для iptables достаточно на клиенте (и промежуточных маршрутизаторах) подгрузить модуль ядра ip_conntrack_tftp (nf_conntrack_tftp) и разрешить

-A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

Особенно осторожно надо распорядиться правами доступа к файлам в директории /tftpboot:

• права доступа к директории /tftpboot должны быть: root:root ---x--x--x
• имена файлов в директории не должны быть легко угадываемы
• права на запись файлам нужно давать только в тот момент, когда это необходимо, а затем тут же отнимать (необязательно давать им при этом права на чтение)
• не стоит давать права на чтение файлам, содержащим конфиденциальную информацию

• RFC 1350 THE TFTP PROTOCOL (REVISION 2). K. Sollins. July 1992
• RFC 2347 TFTP Option Extension. G. Malkin, A. Harkin. May 1998
• RFC 2348 TFTP Blocksize Option. G. Malkin, A. Harkin. May 1998
• RFC 2349 TFTP Timeout Interval and Transfer Size Options. G. Malkin, A. Harkin. May 1998
• RFC 1785 TFTP Option Negotiation Analysis. G. Malkin and A. Harkin. March 1995
• RFC 906 Bootstrap loading using TFTP. R. Finlayson. Jun-01-1984