Gentoo Forums
Gentoo Forums
Gentoo Forums
Quick Search: in
[Tip]Secure Ftp
View unanswered posts
View posts from last 24 hours
View posts from last 7 days

Goto page Previous  1, 2  
Reply to topic    Gentoo Forums Forum Index Forum italiano (Italian) Risorse italiane (documentazione e tools)
View previous topic :: View next topic  
Author Message
X-Drum
Advocate
Advocate


Joined: 24 Aug 2003
Posts: 2517
Location: ('Modica','Trieste','Ferrara') Italy

PostPosted: Wed Jun 02, 2004 8:49 pm    Post subject: Reply with quote

[Aggiornamento]
Dopo aver testato:

-Openssh:
il "classico" ottimo sistema che purtroppo "cosi com'è" da accesso ,ad un utente remoto, a tutto il sistema....

-Pure-ftpd+SSL/TLS:
ottimo ma mi da alcuni problemi con il NAT buggato del mio router, infatti in locale funziona tutto ma talvolta ho grossi problemi quando un client si connette, la modalita PASV non risolve

-Scponly: buon sistema (grazie fonderia), compatibilissimo con putty/winscp
ma ho qualche problema con l'accesso openssh sotto linux.

per il mio scopo la soluzione migliore risulta essere:
Openssh + jail, ovvero utilizzare Openssh normalmente, ma chrootare gli utenti in un "sistema" costruito ad-hoc tramite jail un insieme di utility che semplicano notevolmente tale processo.

allo stato attuale infatti il sistema "fittizio" a cui posso accedere gli utenti (ovviamente chrootati) è minimo e consente solo di eseguire pochi comandi:
scp,sftp,ssh,ls,cp,ecc..
_________________
"...There are two sort of lies, lies and benchmarks..."
Back to top
View user's profile Send private message
flocchini
Veteran
Veteran


Joined: 17 May 2003
Posts: 1124
Location: Milano, Italy

PostPosted: Wed Jun 02, 2004 9:12 pm    Post subject: Reply with quote

chiedo venia, mi ero perso il "Y 2", io avevo attivato con

TLSEngine on
TLSRequired on
TLSRSACertificateFile /etc/ssl/private/ftpd-rsa.pem
TLSRSACertificateKeyFile /etc/ssl/private/ftpd-rsa-key.pem

come suggeriva bld qui

Come faccio a essere certo che il criptaggio ssl sia attivato? Quando mi connetto con IglooFTP pro mi spara un bel "unable to encrypt file transfer" mentre da coreftp-lite (win) non so come stabilire se la connessione ssl protetta sia attiva?

Il nat per me non e' stato un problema, mi era bastato limitare le porte usate x i pasv e forwardarle direttamente sul router.
_________________
~~ Per amore della rosa si sopportano le spine... ~~
Back to top
View user's profile Send private message
X-Drum
Advocate
Advocate


Joined: 24 Aug 2003
Posts: 2517
Location: ('Modica','Trieste','Ferrara') Italy

PostPosted: Wed Jun 02, 2004 9:27 pm    Post subject: Reply with quote

sicuramente hai un router mol to piu' recente/decente del mio....
a me ha dato una marea di problemi, ho provato di tutto ma il DMZ non lo metto su manco morto quindi....via cambiato soluzione :D 1 porta 1 servizio!

io generavo il certificato self-signed ssl come nella documentazione di pureftd,
e il pessimo igloo-ftp operava tranquillamente notificando che la cifratura era attiva no nsaprei cosa dirti
_________________
"...There are two sort of lies, lies and benchmarks..."
Back to top
View user's profile Send private message
flocchini
Veteran
Veteran


Joined: 17 May 2003
Posts: 1124
Location: Milano, Italy

PostPosted: Wed Jun 02, 2004 10:14 pm    Post subject: Reply with quote

entrando con smartftp
(win) e' chiaro dal log che mentre con pro-ftpd riesco ad ottenere una connessione ssl anche sui trasferimenti, con pure-ftpd vengono criptati solo i comandi... Mi piacerebbe sapere che client hai provato che pure-ftpd cripti tutto, anche solo uno stralcio di log, cosi' magari riesco a sistemare sta cosa, pure-ftpd e' sicuramente piu' comodo a mio avviso, e' un peccato non usarlo.

attualmente il mio file di conf e'

Code:

IS_CONFIGURED="yes"

SERVER="-S 192.168.0.12,31000"

## Number of simultaneous connections in total, and per ip ##
MAX_CONN="-c 10"
MAX_CONN_IP="-C 10"

## Start daemonized in background ##
DAEMON="-B"

## Don't allow uploads if the partition is more full then this var ##
DISK_FULL="-k 90%"

## If your FTP server is behind a NAT box, uncomment this ##
#USE_NAT="-N"

## Authentication (others are 'pam', ...)##
## Further infos in the README file.
AUTH="-l puredb:/etc/pureftpd.pdb"

## Change the maximum idle time. (in minutes. default 15)
TIMEOUT="-I 5"

## Use that facility for syslog logging. It defaults to 'ftp'
## Logging can be disabled with '-f none' .
LOG="-f facility"

## Misc. Others ##
#
MISC_OTHER="-Y 2 -p 65000:65005  -A -x -j -E -R -F /etc/FTP-MOTD -O clf:/var/log/pureftpd.log"


ho gia' seminato post un po' ovunque ma non ho mai avuto una risposta definitiva... non abbandonarmi anche tu :wink:
_________________
~~ Per amore della rosa si sopportano le spine... ~~
Back to top
View user's profile Send private message
bld
l33t
l33t


Joined: 26 Mar 2003
Posts: 759
Location: Outter Space

PostPosted: Thu Jun 03, 2004 12:33 am    Post subject: Reply with quote

flocchini wrote:

Come faccio a essere certo che il criptaggio ssl sia attivato?


Ti passo un paper, una storiella molto divertente!! Ti sara di aiuto sul come capire se una conessione e' crittata -> qui


per chroot-are openssh ci sono molti guide da quel che ho visto su google. Non posso indicarti una specifica perche non ho mai provato ad aplicarla, ma ce un progetto anche su sourceforge che tratta questo tema, pare sia una patch per openssh.

ciao
_________________
A happy GNU/Linux user!!
Back to top
View user's profile Send private message
X-Drum
Advocate
Advocate


Joined: 24 Aug 2003
Posts: 2517
Location: ('Modica','Trieste','Ferrara') Italy

PostPosted: Thu Jun 03, 2004 7:09 am    Post subject: Reply with quote

@flocchini:
ciao ecco uno stralcio del log di pureftpd (ho aumentato il livello di verbosità ) spero che ti sia utile,
mi rendo conto che non è molto...la configurazione del server la conosci già il client è lftp (lo user zuglio :wink: )
Code:
Jun  3 09:01:58 Thunder pure-ftpd: (?@192.168.254.101) [INFO] New connection from 192.168.254.101
Jun  3 09:01:58 Thunder pure-ftpd: (?@192.168.254.101) [DEBUG] Command [auth] [TLS]
Jun  3 09:01:58 Thunder pure-ftpd: (?@192.168.254.101) [INFO] SSL/TLS: Enabled TLSv1/SSLv3 with AES256-SHA, 256 secret bits cipher
Jun  3 09:01:58 Thunder pure-ftpd: (?@192.168.254.101) [DEBUG] Command [user] [zuglio]
Jun  3 09:01:58 Thunder pure-ftpd: (?@192.168.254.101) [DEBUG] Command [pass] [<*>]
Jun  3 09:01:58 Thunder pure-ftpd: (?@192.168.254.101) [INFO] zuglio is now logged in
Jun  3 09:01:58 Thunder pure-ftpd: (zuglio@192.168.254.101) [DEBUG] Command [pwd] []
Jun  3 09:01:58 Thunder pure-ftpd: (zuglio@192.168.254.101) [DEBUG] Command [pbsz] [0]
Jun  3 09:01:58 Thunder pure-ftpd: (zuglio@192.168.254.101) [DEBUG] Command [prot] [P]
Jun  3 09:01:58 Thunder pure-ftpd: (zuglio@192.168.254.101) [DEBUG] Command [pret] [LIST ]
Jun  3 09:01:58 Thunder pure-ftpd: (zuglio@192.168.254.101) [DEBUG] Command [pasv] []
Jun  3 09:01:58 Thunder pure-ftpd: (zuglio@192.168.254.101) [DEBUG] Command [list] []
Jun  3 09:02:03 Thunder pure-ftpd: (zuglio@192.168.254.101) [DEBUG] Command [type] [I]
Jun  3 09:02:03 Thunder pure-ftpd: (zuglio@192.168.254.101) [DEBUG] Command [pasv] []
Jun  3 09:02:03 Thunder pure-ftpd: (zuglio@192.168.254.101) [DEBUG] Command [stor] [url.txt]
Jun  3 09:02:03 Thunder pure-ftpd: (zuglio@192.168.254.101) [NOTICE] /home/ftp//url.txt uploaded  (42 bytes, 45.47KB/sec)
Jun  3 09:02:08 Thunder pure-ftpd: (zuglio@192.168.254.101) [DEBUG] Command [prot] [P]
Jun  3 09:02:08 Thunder pure-ftpd: (zuglio@192.168.254.101) [DEBUG] Command [type] [A]
Jun  3 09:02:08 Thunder pure-ftpd: (zuglio@192.168.254.101) [DEBUG] Command [pasv] []
Jun  3 09:02:08 Thunder pure-ftpd: (zuglio@192.168.254.101) [DEBUG] Command [list] []
Jun  3 09:02:09 Thunder pure-ftpd: (zuglio@192.168.254.101) [DEBUG] Command [type] [I]
Jun  3 09:02:09 Thunder pure-ftpd: (zuglio@192.168.254.101) [DEBUG] Command [size] [url.txt]
Jun  3 09:02:09 Thunder pure-ftpd: (zuglio@192.168.254.101) [DEBUG] Command [mdtm] [url.txt]
Jun  3 09:02:09 Thunder pure-ftpd: (zuglio@192.168.254.101) [DEBUG] Command [pasv] []
Jun  3 09:02:09 Thunder pure-ftpd: (zuglio@192.168.254.101) [DEBUG] Command [retr] [url.txt]
Jun  3 09:02:09 Thunder pure-ftpd: (zuglio@192.168.254.101) [NOTICE] /home/ftp//url.txt downloaded  (42 bytes, 350.82KB/sec)
Jun  3 09:02:10 Thunder pure-ftpd: (zuglio@192.168.254.101) [DEBUG] Command [quit] []
Jun  3 09:02:10 Thunder pure-ftpd: (zuglio@192.168.254.101) [INFO] Logout.


@bld:
carina la storiella :D eheheh molto corretto da parte sua aver avvisato
chi di dovere!
_________________
"...There are two sort of lies, lies and benchmarks..."
Back to top
View user's profile Send private message
flocchini
Veteran
Veteran


Joined: 17 May 2003
Posts: 1124
Location: Milano, Italy

PostPosted: Thu Jun 03, 2004 12:17 pm    Post subject: Reply with quote

Dunque: :)

Code:
Jun  3 13:54:45 flocgentoo pure-ftpd: (?@flocgentoo.rccsys.net) [INFO] New connection from flocgentoo.rccsys.net
Jun  3 13:54:45 flocgentoo pure-ftpd: (?@flocgentoo.rccsys.net) [ERROR] Can't open /etc/FTP-MOTD
Jun  3 13:54:45 flocgentoo pure-ftpd: (?@flocgentoo.rccsys.net) [DEBUG] Command [auth] [TLS]
Jun  3 13:54:45 flocgentoo pure-ftpd: (?@flocgentoo.rccsys.net) [INFO] SSL/TLS: Enabled TLSv1/SSLv3 with AES
256-SHA, 256 secret bits cipher
Jun  3 13:54:45 flocgentoo pure-ftpd: (?@flocgentoo.rccsys.net) [DEBUG] Command [user] [daninni82]
Jun  3 13:54:45 flocgentoo pure-ftpd: (?@flocgentoo.rccsys.net) [DEBUG] Command [pass] [<*>]
Jun  3 13:54:45 flocgentoo pure-ftpd: (?@flocgentoo.rccsys.net) [INFO] daninni82 is now logged in
Jun  3 13:54:45 flocgentoo pure-ftpd: (daninni82@flocgentoo.rccsys.net) [DEBUG] Command [pwd] []
Jun  3 13:54:45 flocgentoo pure-ftpd: (daninni82@flocgentoo.rccsys.net) [DEBUG] Command [pbsz] [0]
Jun  3 13:54:45 flocgentoo pure-ftpd: (daninni82@flocgentoo.rccsys.net) [DEBUG] Command [prot] [P]
Jun  3 13:54:45 flocgentoo pure-ftpd: (daninni82@flocgentoo.rccsys.net) [DEBUG] Command [pret] [LIST ]
Jun  3 13:54:45 flocgentoo pure-ftpd: (daninni82@flocgentoo.rccsys.net) [DEBUG] Command [pasv] []
Jun  3 13:54:45 flocgentoo pure-ftpd: (daninni82@flocgentoo.rccsys.net) [DEBUG] Command [list] []
Jun  3 13:54:51 flocgentoo pure-ftpd: (daninni82@flocgentoo.rccsys.net) [DEBUG] Command [type] [I]
Jun  3 13:54:51 flocgentoo pure-ftpd: (daninni82@flocgentoo.rccsys.net) [DEBUG] Command [size] [[Linux] Red Hat 9.0 shrike-i386-disc1.iso]
Jun  3 13:54:51 flocgentoo pure-ftpd: (daninni82@flocgentoo.rccsys.net) [DEBUG] Command [mdtm] [[Linux] Red Hat 9.0 shrike-i386-disc1.iso]
Jun  3 13:54:51 flocgentoo pure-ftpd: (daninni82@flocgentoo.rccsys.net) [DEBUG] Command [pasv] []
Jun  3 13:54:51 flocgentoo pure-ftpd: (daninni82@flocgentoo.rccsys.net) [DEBUG] Command [retr] [[Linux] Red Hat 9.0 shrike-i386-disc1.iso]
Jun  3 13:54:51 flocgentoo pure-ftpd: (daninni82@flocgentoo.rccsys.net) [NOTICE] /data/1/ftpusers/daninni82//[Linux] Red Hat 9.0 shrike-i386-disc1.iso downloaded  (16777216 bytes, 58660.32KB/sec)
Jun  3 13:55:04 flocgentoo pure-ftpd: (daninni82@flocgentoo.rccsys.net) [DEBUG] Command [quit] []
Jun  3 13:55:04 flocgentoo pure-ftpd: (daninni82@flocgentoo.rccsys.net) [INFO] Logout.


uguale al tuo, quindi cappellate *non dovrei* averne fatte.

A questo punto pero' ho notato che (sempre da lftp) quando mi connetto a pro-ftpd mi viene fuori accanto al trasferimento "[Receiving data/TLS]" mentre se mi connetto a pure-ftpd no.

Quindi giungo alla conclusione che come temevo pure-ftpd sia solo in grado di criptare via ssl i comandi, lasciando in chiaro il trasferimento dati mentre proftpd cripta anche questi ultimi. Naturalmente e' bene accetta qualsiasi tipo di smentita :wink:
_________________
~~ Per amore della rosa si sopportano le spine... ~~
Back to top
View user's profile Send private message
flocchini
Veteran
Veteran


Joined: 17 May 2003
Posts: 1124
Location: Milano, Italy

PostPosted: Thu Jun 03, 2004 2:17 pm    Post subject: Reply with quote

In effetti mi rendo conto che piuttosto che fare tutto sto casino era + semplice leggere attentamente ilreadme.tls della documentazione ufficiale...

Documentazione ufficiale wrote:
------------------------ SSL/TLS SUPPORT ------------------------

Starting with version 1.0.16, Pure-FTPd has experimental support for
encryption of the control channel using SSL/TLS security mechanisms.

When this extra security layer is enabled, login and passwords are no more
sent cleartext. Neither are other commands sent by your client nor replies
made by the server.

However, the data channel is not affected by SSL/TLS. This combination
brings no significant decrease of performance and the FXP protocol keeps
working even when mixing SSL/TLS-enabled and non SSL/TLS-enabled servers.


Per me il criptaggio dei dati solosul canale di controllo non e' sufficiente, quindi me ne torno mesto mesto sul mio proftpd, un po' piu' incasinato da configurare ma piu' adatto per le mie esigenze. Grazie comunque per la vostra disponibilita' :D
_________________
~~ Per amore della rosa si sopportano le spine... ~~
Back to top
View user's profile Send private message
federico
Advocate
Advocate


Joined: 18 Feb 2003
Posts: 3270
Location: Italy, Milano

PostPosted: Thu Jun 03, 2004 2:28 pm    Post subject: Reply with quote

Ma a parita' di trasferimento, un sistema fatto con ssh+scponly per il trasferimento dei file su connessione criptata e uno fatto con proftpd+ssl, hanno velocita' uguale?
_________________
Sideralis www.sideralis.org
Pic http://blackman.amicofigo.com/gallery
Arduino http://www.arduino.cc
Chi aveva potuto aveva spaccato
2000 pezzi buttati là
Molti saluti,qualche domanda
Semplice come musica punk
Back to top
View user's profile Send private message
FonderiaDigitale
Veteran
Veteran


Joined: 06 Nov 2003
Posts: 1710
Location: Rome, Italy

PostPosted: Thu Jun 03, 2004 8:24 pm    Post subject: Reply with quote

come sicuramente avrai pensato, in linea di massima, ssh e' piu lento perche aggiunge piu traffico di controllo.
_________________
Come disse un amico, i sistemisti sono un po' come gli artigiani per l'informatica :)
Back to top
View user's profile Send private message
bld
l33t
l33t


Joined: 26 Mar 2003
Posts: 759
Location: Outter Space

PostPosted: Fri Jun 04, 2004 1:14 am    Post subject: Reply with quote

federico wrote:
Ma a parita' di trasferimento, un sistema fatto con ssh+scponly per il trasferimento dei file su connessione criptata e uno fatto con proftpd+ssl, hanno velocita' uguale?


i test da me fatti dicono nettamente di "si" :)
_________________
A happy GNU/Linux user!!
Back to top
View user's profile Send private message
bld
l33t
l33t


Joined: 26 Mar 2003
Posts: 759
Location: Outter Space

PostPosted: Fri Jun 04, 2004 1:17 am    Post subject: Reply with quote

flocchini wrote:
In effetti mi rendo conto che piuttosto che fare tutto sto casino era + semplice leggere attentamente ilreadme.tls della documentazione ufficiale...

mesto mesto sul mio proftpd, un po' piu' incasinato da configurare ma piu' adatto per le mie esigenze. Grazie comunque per la vostra disponibilita' :D


Ma non e' vero che e' difficile da configurare! Io ho dato un occhiata su /usr/share/doc/proftpd/ ed ho trovate quasi tutto. La documentazione e' in parte incompleta, ma ho trovato veramente tutto quello che mi verviva :P.

ps. Per la storiela si.. lui ha fatto sapere a chi di dovere.. :P ma da quel che dice aveva altri precedenti negativi, cmq la storia e' proprio bella ehehehe non pensavo esistesse gente cosi matta :P
_________________
A happy GNU/Linux user!!
Back to top
View user's profile Send private message
flocchini
Veteran
Veteran


Joined: 17 May 2003
Posts: 1124
Location: Milano, Italy

PostPosted: Fri Jun 04, 2004 10:18 am    Post subject: Reply with quote

Beh "difficile" in senso assoluto no, diciamo "+ difficile" di pure-ftpd, sono comunque riuscito a configurarlo correttamente :D

La storiella era assolutamente fantastica :wink:
_________________
~~ Per amore della rosa si sopportano le spine... ~~
Back to top
View user's profile Send private message
federico
Advocate
Advocate


Joined: 18 Feb 2003
Posts: 3270
Location: Italy, Milano

PostPosted: Fri Jun 04, 2004 11:34 am    Post subject: Reply with quote

A scopo informativo ho preparato un "ftp" in sftp e vi ho fatto accedere un amico tramite un tunnel ssh in port forwarding, la trasmissione dei dati quindi passava tra due criptazioni ssh. La velocita' era ottima (la massima consentita dalla banda)
_________________
Sideralis www.sideralis.org
Pic http://blackman.amicofigo.com/gallery
Arduino http://www.arduino.cc
Chi aveva potuto aveva spaccato
2000 pezzi buttati là
Molti saluti,qualche domanda
Semplice come musica punk
Back to top
View user's profile Send private message
Display posts from previous:   
Reply to topic    Gentoo Forums Forum Index Forum italiano (Italian) Risorse italiane (documentazione e tools) All times are GMT
Goto page Previous  1, 2
Page 2 of 2

 
Jump to:  
You cannot post new topics in this forum
You cannot reply to topics in this forum
You cannot edit your posts in this forum
You cannot delete your posts in this forum
You cannot vote in polls in this forum