přejít na obsah přejít na navigaci

Linux E X P R E S, Za bezpečnější FTP

Za bezpečnější FTP

Aneb ProFTPd s podporou TLS


reklama

V tomto zápisku bych se chtěl podívat na to jak se nastavuje FTP server v podobě ProFTPd tak, aby fungoval přes zabezpečené spojení TLS - nástupce SSL.

Instalace

Zřejmě bude stačit něco jako

aptitude install proftpd openssl

Vytvoření certifikátu

Nemáte-li žádné zábrany jako já, pak si v adresáři /etc/proftpd/ vytvořte adresář cert a vstupte do něj

mkdir /etc/proftpd/cert
cd /etc/proftpd/cert

a vygenerujte si vlastní cetifikát

openssl req $@ -new -x509 -days 5000 -nodes -out proftpd.pem -keyout proftpd.pem

Parametr -days 5000 určuje dobu platnosti certifikátu ve dnech. Zřejmě by bylo lepší volit menší hodnotu, ale komu by se chtěl certifikát obnovovat... Po zadání příkazu budete dotázáni na několik údajů a po jejich vyplnění se vytvoří certifikát.

Nastavení ProFTPd

Nyní se pusťte do úpravy souboru /etc/proftpd/proftpd.conf.  V podstatě by mělo stačit např. nakonec přidat tyto řádky:

<IfModule mod_tls.c>
TLSEngine                               on
TLSLog                                  /var/log/proftpd/tls.log
TLSProtocol                             SSLv3
TLSOptions                 NoCertRequest
TLSRSACertificateFile                /etc/proftpd/cert/proftpd.pem
TLSRSACertificateKeyFile           /etc/proftpd/cert/proftpd.pem
TLSRequired                           on
TLSVerifyClient                        off
</IfModule>

Pokud chcete nastavení trochu vylepšit, pak doporučuji změnit port na kterém bude ProFTPd běžet, např. na 23 (už ani nevím co se mi na něm tolik líbí..)

Port   23

Odkomentovat řádek

DefaultRoot ~

pro omezení uživatele pouze na domovský adresář. Podobně byste nastavili např. adresář public_html pro web

DefaultRoot ~/public_html

a pokud chcete omezit přístup pouze pro určité uživatele, pak také přidejte tuto volbu

<Limit LOGIN>
AllowUser martin
AllowUser pepa
AllowGroup ftpuser
DenyAll
</Limit>

Nyní ProFTPd restartujte.

/etc/init.d/proftpd restart

A pokud je vše v pořádku, můžete se bez obav přihlásit.

Bezpečné přihlášení

Tak k tomu se dá použít např. univerzální FileZilla. Nejdřív musíte nastavit server, ke kterému se připojujete -  v nabídce Soubor - Správce míst. Jak by nastavení mohlo (mělo) vypadat se můžete inspirovat na dalším obrázku.1_1.png

No a pak už stačí kliknout na tlačítko Spojit - dole v okně Správce míst a potvrdit nabízený certifkát.

2p.png

Odkazy

Jak nastavit Apache s podporou SSL v Debianu

Jak nastavit ProFTPd s podporou TLS v Debianu

Nahoru

(Jako ve škole)
Průměr: 1,00 | Hodnotilo: 2
 

Top články z OpenOffice.cz

Příspěvky

Za bezpečnější FTP
Lukáš Jelínek 13. 02. 2010, 23:31:19
Odpovědět  Odkaz 
Pozor při připojení přes firewall nebo NAT! Pokud je na straně klientského počítače zapnutý firewall blokující příchozí komunikaci (kromě paketů souvisejících s existující komunikací) nebo je počítač za NATem, je nezbytně nutné použít pasivní režim, protože firewall/NAT není schopen detekovat, který port má otevřít/promapovat. Naopak, pokud by byl firewall na serveru, fungoval by ze stejného důvodu jen aktivní režim.

Přidat názor

Nejsou podporovány žádné značky, komentáře jsou jen čistě textové. Více o diskuzích a pravidlech najdete v nápovědě.
Diskuzi můžete sledovat pomocí RSS kanálu rss



 
 

Martin Šín

Martin Šín

Martin Šín (*1980) vystudoval pedagogickou fakultu a nyní pracuje jako učitel matematiky a výpočetní techniky na střední škole. Ve volném čase překládá a také hraje hry (ani jedno mu příliš nejde). V práci se snaží prosazovat open-source programy.


  • Distribuce: Debian
  • Hodnocení autora: **

| proč linux