přejít na obsah přejít na navigaci

Linux E X P R E S, Za bezpečnější FTP

Za bezpečnější FTP

Aneb ProFTPd s podporou TLS


V tomto zápisku bych se chtěl podívat na to jak se nastavuje FTP server v podobě ProFTPd tak, aby fungoval přes zabezpečené spojení TLS - nástupce SSL.

Instalace

Zřejmě bude stačit něco jako

aptitude install proftpd openssl

Vytvoření certifikátu

Nemáte-li žádné zábrany jako já, pak si v adresáři /etc/proftpd/ vytvořte adresář cert a vstupte do něj

mkdir /etc/proftpd/cert
cd /etc/proftpd/cert

a vygenerujte si vlastní cetifikát

openssl req $@ -new -x509 -days 5000 -nodes -out proftpd.pem -keyout proftpd.pem

Parametr -days 5000 určuje dobu platnosti certifikátu ve dnech. Zřejmě by bylo lepší volit menší hodnotu, ale komu by se chtěl certifikát obnovovat... Po zadání příkazu budete dotázáni na několik údajů a po jejich vyplnění se vytvoří certifikát.

Nastavení ProFTPd

Nyní se pusťte do úpravy souboru /etc/proftpd/proftpd.conf.  V podstatě by mělo stačit např. nakonec přidat tyto řádky:

<IfModule mod_tls.c>
TLSEngine                               on
TLSLog                                  /var/log/proftpd/tls.log
TLSProtocol                             SSLv3
TLSOptions                 NoCertRequest
TLSRSACertificateFile                /etc/proftpd/cert/proftpd.pem
TLSRSACertificateKeyFile           /etc/proftpd/cert/proftpd.pem
TLSRequired                           on
TLSVerifyClient                        off
</IfModule>

Pokud chcete nastavení trochu vylepšit, pak doporučuji změnit port na kterém bude ProFTPd běžet, např. na 23 (už ani nevím co se mi na něm tolik líbí..)

Port   23

Odkomentovat řádek

DefaultRoot ~

pro omezení uživatele pouze na domovský adresář. Podobně byste nastavili např. adresář public_html pro web

DefaultRoot ~/public_html

a pokud chcete omezit přístup pouze pro určité uživatele, pak také přidejte tuto volbu

<Limit LOGIN>
AllowUser martin
AllowUser pepa
AllowGroup ftpuser
DenyAll
</Limit>

Nyní ProFTPd restartujte.

/etc/init.d/proftpd restart

A pokud je vše v pořádku, můžete se bez obav přihlásit.

Bezpečné přihlášení

Tak k tomu se dá použít např. univerzální FileZilla. Nejdřív musíte nastavit server, ke kterému se připojujete -  v nabídce Soubor - Správce míst. Jak by nastavení mohlo (mělo) vypadat se můžete inspirovat na dalším obrázku.1_1.png

No a pak už stačí kliknout na tlačítko Spojit - dole v okně Správce míst a potvrdit nabízený certifkát.

2p.png

Odkazy

Jak nastavit Apache s podporou SSL v Debianu

Jak nastavit ProFTPd s podporou TLS v Debianu

Nahoru

Přidat názor

Nejsou podporovány žádné značky, komentáře jsou jen čistě textové. Více o diskuzích a pravidlech najdete v nápovědě.
Diskuzi můžete sledovat pomocí RSS kanálu rss



 
 

Top články z OpenOffice.cz

Martin Šín

Martin Šín

Martin Šín (*1980) vystudoval pedagogickou fakultu a nyní pracuje jako učitel matematiky a výpočetní techniky na střední škole. Ve volném čase překládá a také hraje hry (ani jedno mu příliš nejde). V práci se snaží prosazovat open-source programy.


  • Distribuce: Debian

| proč linux



Public Relations

I ve velké firmě je místo pro startupového ducha

Michal BroučekMichal Brouček pracuje v plzeňské pobočce společnosti Siemens Advanta dva a půl roku jako softwarový inženýr a vedoucí vývojového týmu. Svou práci si velmi pochvaluje. Kromě technických záležitostí má na starosti i spokojenost svých kolegů v týmu a zajišťování celkové pohody na pracovišti. 

Pokračování ...



Public Relations

Safetica spustila SaaS verzi svého bezpečnostního softwaru s pravidelným předplatným

safeticaMladá tech­no­lo­gic­ká spo­leč­nost Safe­tica, která stojí za stej­no­jmen­ným soft­warem na ochra­nu před úniky dat (DLP – Data Loss Pre­ven­tion) a vnitř­ní­mi hroz­ba­mi (ITP – In­sid­er Threat Pro­tec­tion), tento rok spus­ti­la ostrý pro­voz nové SaaS ver­ze své­ho pro­duk­tu – Safe­tica NXT. Ta fun­gu­je pří­mo z clou­du bez potře­by in­s­ta­la­ce na za­ří­ze­ní a pla­tí se pro­s­třed­nict­vím pra­vi­del­né­ho před­plat­ného.

Pokračování ...


Redakční blog

Pavel Fric

Pavel Fric, 10. April

Zapojte se do tvorby distribuce Mageia

Podílejte se na vytváření balíčků pro Mageiu, dělejte, co je potřeba, staňte se baličem


Pavel Fric

Pavel Fric, 13. March

Lollypop

Lollypop je hudební přehrávač navržený, jak ukazuje jeho podoba, aby výborně zapadl do pracovního...


Pavel Fric

Pavel Fric, 26. February

QElectroTech

Kreslení elektrotechnických i jiných výkresů


Všechny blogy »


Public Relations

Malá bedýnka velkých možností vCube AiO TSP – kompaktní, ekonomické, bezpečné IT

vCubeV této malé kostce se skrývá vše, co potřebuje firemní IT. Systém vCube AiO, byť je kompaktní, poskytne nekompromisní výkon. Má silné procesory, dostatek operační paměti, velká výkonná úložiště, pro komunikaci využívá rychlou 10Gbit síť. Systém poskytuje dostatečný výkon pro provoz firemních virtuálních serverů a uživatelských pracovních stanic.

Pokračování ...


Tagy