Gentoo Forums
Gentoo Forums
Gentoo Forums
Quick Search: in
[Tip]Secure Ftp
View unanswered posts
View posts from last 24 hours
View posts from last 7 days

Goto page 1, 2  Next  
Reply to topic    Gentoo Forums Forum Index Forum italiano (Italian) Risorse italiane (documentazione e tools)
View previous topic :: View next topic  
Author Message
X-Drum
Advocate
Advocate


Joined: 24 Aug 2003
Posts: 2517
Location: ('Modica','Trieste','Ferrara') Italy

PostPosted: Sun May 30, 2004 8:40 pm    Post subject: [Tip]Secure Ftp Reply with quote

Salve gente!
vorrei garantire l'accesso ad N utenti alla mia macchina o meglio ad alcuni files sulla mia macchina...
al momento ho aperto degli account ssh con certificato RSA, tutto va come dovrebbe ma perche' dare loro (sebbene siano persone fidate) un account sul mio sistema?
Vengo alla domanda: è possibile mettere su un server Ftp con ssh? ho notato i seguenti pacchetti nel portage:

Code:
*  dev-perl/net-sftp
      Latest version available: 0.08
      Latest version installed: [ Not Installed ]
      Size of downloaded files: 22 kB
      Homepage:    http://search.cpan.org/~drolsky/Net-SFTP-0.08
      Description: Secure File Transfer Protocol client
      License:     Artistic | GPL-2

*  net-ftp/vsftpd
      Latest version available: 1.2.1
      Latest version installed: [ Not Installed ]
      Size of downloaded files: 132 kB
      Homepage:    http://vsftpd.beasts.org/
      Description: Very Secure FTP Daemon written with speed, size and security in mind
      License:     GPL-2


qualucno di voi ha già sperimentato una cosa simile? è possibli gestire certificati?
tnx
_________________
"...There are two sort of lies, lies and benchmarks..."


Last edited by X-Drum on Sun May 30, 2004 11:38 pm; edited 1 time in total
Back to top
View user's profile Send private message
Yans
Apprentice
Apprentice


Joined: 09 Feb 2003
Posts: 171
Location: [TI] Switzerland

PostPosted: Sun May 30, 2004 11:04 pm    Post subject: Reply with quote

io uso pure-ftpd affiancato a mysql per la gestione degli utenti virtuali, per la connessione sicura puoi usare TLS visto che pure-ftpd supporta tale features molto bene.

Adios...
_________________
¿ Which do ARMS obtain, the peace in the future or the nightmare in the past ?
"There are only 10 types of people in the world: Those who understand binary, and those who don't"
Back to top
View user's profile Send private message
X-Drum
Advocate
Advocate


Joined: 24 Aug 2003
Posts: 2517
Location: ('Modica','Trieste','Ferrara') Italy

PostPosted: Sun May 30, 2004 11:24 pm    Post subject: Reply with quote

si anche io lo uso da tempo è considerato uno dei + sicuri!
mi accontentero di lui pensavo ci fosse qualcosa di più avanzato...... :cry:
_________________
"...There are two sort of lies, lies and benchmarks..."
Back to top
View user's profile Send private message
FonderiaDigitale
Veteran
Veteran


Joined: 06 Nov 2003
Posts: 1710
Location: Rome, Italy

PostPosted: Sun May 30, 2004 11:24 pm    Post subject: Reply with quote

installa scponly. la documentazione sta sul sito. in quel modo dai accesso ftp sicuro tramite ssh senza dare accesso shell.
_________________
Come disse un amico, i sistemisti sono un po' come gli artigiani per l'informatica :)
Back to top
View user's profile Send private message
X-Drum
Advocate
Advocate


Joined: 24 Aug 2003
Posts: 2517
Location: ('Modica','Trieste','Ferrara') Italy

PostPosted: Sun May 30, 2004 11:26 pm    Post subject: Reply with quote

azz grazie fonderia!
abbiamo postato in contemporanea! do subito un'occhiata!
_________________
"...There are two sort of lies, lies and benchmarks..."
Back to top
View user's profile Send private message
X-Drum
Advocate
Advocate


Joined: 24 Aug 2003
Posts: 2517
Location: ('Modica','Trieste','Ferrara') Italy

PostPosted: Sun May 30, 2004 11:37 pm    Post subject: Reply with quote

thanks 1000x era proprio quello chemi serviva! :D

da accesso ai files ma non al sistema via ssh e supporta piu' utenti
grazie ancora!
_________________
"...There are two sort of lies, lies and benchmarks..."
Back to top
View user's profile Send private message
FonderiaDigitale
Veteran
Veteran


Joined: 06 Nov 2003
Posts: 1710
Location: Rome, Italy

PostPosted: Sun May 30, 2004 11:44 pm    Post subject: Reply with quote

apposto 8)
_________________
Come disse un amico, i sistemisti sono un po' come gli artigiani per l'informatica :)
Back to top
View user's profile Send private message
X-Drum
Advocate
Advocate


Joined: 24 Aug 2003
Posts: 2517
Location: ('Modica','Trieste','Ferrara') Italy

PostPosted: Mon May 31, 2004 11:54 am    Post subject: Reply with quote

ok ci siamo ho installato scponly ma la versione masked
per poter disporre di un binario chrooted,
un solo piccolo appunto: dato che per usare la versione chrooted di scponly è necessario copiare diverse cose nella home dell'utente, esistono + directory all'interno di quella home,come posso fare per "dirottare" l'utente direttamente sulla direcotry incoming al login?

Code:
root@Thunder scponly-3.11 # ls -l /home/ssh/scponly/
totale 3
drwxr-xr-x  2 root    root  360 31 mag 13:10 bin
drwxr-xr-x  2 root    root  136 31 mag 13:10 etc
drwxr-xr-x  2 scponly users  72 31 mag 13:19 incoming
drwxr-xr-x  2 root    root  448 31 mag 13:10 lib
drwxr-xr-x  4 root    root   96 31 mag 13:10 usr

_________________
"...There are two sort of lies, lies and benchmarks..."
Back to top
View user's profile Send private message
bld
l33t
l33t


Joined: 26 Mar 2003
Posts: 759
Location: Outter Space

PostPosted: Mon May 31, 2004 12:11 pm    Post subject: Reply with quote

dai un occhiata a questo thread..
https://forums.gentoo.org/viewtopic.php?t=144477&highlight=proftpd+tls
_________________
A happy GNU/Linux user!!
Back to top
View user's profile Send private message
X-Drum
Advocate
Advocate


Joined: 24 Aug 2003
Posts: 2517
Location: ('Modica','Trieste','Ferrara') Italy

PostPosted: Mon May 31, 2004 12:22 pm    Post subject: Reply with quote

[ignorantone mode on]
a livello di sicurezza l'uso di ssl è comparabile all'uso di ssh?
[ignorantone mode off]
_________________
"...There are two sort of lies, lies and benchmarks..."
Back to top
View user's profile Send private message
bld
l33t
l33t


Joined: 26 Mar 2003
Posts: 759
Location: Outter Space

PostPosted: Mon May 31, 2004 12:34 pm    Post subject: Reply with quote

X-Drum wrote:
[ignorantone mode on]
a livello di sicurezza l'uso di ssl è comparabile all'uso di ssh?
[ignorantone mode off]


Non lo dire mai piu questo -> [ignorantone mode on]

Non e' possibile sapere tutto, e poi e' un "topic" abbastanza discusso da quello che ho avuto modo di constatare :P . Avevo la stessa domanda:

Come sicurezza sono allo stesso livello, dato che sia il login che la trasmissione dei dati e' crittata con l'algoritmo che si e' scelto. L'unica diff e' che sftp praticamente e' una (considerata bruttissima) patch allo source code di ssh. Invece il sopporto TLS e' stato implementato in modo molto piu elegante, elastico e funzionante. Unfatti una volta ssh non sopportare "chroot" ed altre opzioni carine che invece trovi su proftpd ed altri ftp. Ora che una patch (che va proprio sopra l'altra patch) che fa anche questo per ssh. Non ricordo il sito pero l'avevo visto tempo fa.

Praticamente differenze essenziali non credo che troverai.. ftp+tls e' sicuramente piu elegante/elastico.

fai un giochetto :P
Quote:

$echo " echo che figo sftp!" >> ~/.bashrc


Ora prova ad usare sftp per conneterti al localhost :P vedi cosa succede.
_________________
A happy GNU/Linux user!!
Back to top
View user's profile Send private message
xchris
Advocate
Advocate


Joined: 10 Jul 2003
Posts: 2824
Location: 45.488291,9.186094

PostPosted: Mon May 31, 2004 1:53 pm    Post subject: Reply with quote

cmq per avere lo stesso risultato su openssh e' sufficiente specificare prima della chiave in authorized_keys2 l'opzione: no-pty

ciao
_________________
while True:Gentoo()
Back to top
View user's profile Send private message
bld
l33t
l33t


Joined: 26 Mar 2003
Posts: 759
Location: Outter Space

PostPosted: Mon May 31, 2004 2:07 pm    Post subject: Reply with quote

xchris wrote:
cmq per avere lo stesso risultato su openssh e' sufficiente specificare prima della chiave in authorized_keys2 l'opzione: no-pty

ciao


non ho capito su cosa ti riferisci quando dici "lo stesso risultato".
_________________
A happy GNU/Linux user!!
Back to top
View user's profile Send private message
xchris
Advocate
Advocate


Joined: 10 Jul 2003
Posts: 2824
Location: 45.488291,9.186094

PostPosted: Mon May 31, 2004 2:08 pm    Post subject: Reply with quote

sftp possibile ma nessuna shell per il tuo user
(e sono possibili altre opzioni)
ciao
_________________
while True:Gentoo()
Back to top
View user's profile Send private message
bld
l33t
l33t


Joined: 26 Mar 2003
Posts: 759
Location: Outter Space

PostPosted: Mon May 31, 2004 2:26 pm    Post subject: Re: [Tip]Secure Ftp Reply with quote

X-Drum wrote:
Salve gente!
vorrei garantire l'accesso ad N utenti alla mia macchina o meglio ad alcuni files sulla mia macchina...
al momento ho aperto degli account ssh con certificato RSA, tutto va come dovrebbe ma perche' dare loro (sebbene siano persone fidate) un account sul mio sistema?
Vengo alla domanda: è possibile mettere su un server Ftp con ssh? ho notato i seguenti pacchetti nel portage:

Code:
*  dev-perl/net-sftp
      Latest version available: 0.08
      Latest version installed: [ Not Installed ]
      Size of downloaded files: 22 kB
      Homepage:    http://search.cpan.org/~drolsky/Net-SFTP-0.08
      Description: Secure File Transfer Protocol client
      License:     Artistic | GPL-2

*  net-ftp/vsftpd
      Latest version available: 1.2.1
      Latest version installed: [ Not Installed ]
      Size of downloaded files: 132 kB
      Homepage:    http://vsftpd.beasts.org/
      Description: Very Secure FTP Daemon written with speed, size and security in mind
      License:     GPL-2


qualucno di voi ha già sperimentato una cosa simile? è possibli gestire certificati?
tnx


io ho fatto una cosa del genere, con ftp + tls ed ho messo la opzione
AllowUsers sull conf di ssh. Probabilmente come ha detto xchriss si possono fare altre cose. La soluzione piu elegante (si ho un ossessione con l'eleganza! :P ) sarebbe un ftpd + virtual users + ssl. Pero io non ce l'ho fatta con proftd a creare i users virtuali, se qualcuno ci dice come ha fatto gli offro una birra se passa da milano :P

Ciao
_________________
A happy GNU/Linux user!!
Back to top
View user's profile Send private message
X-Drum
Advocate
Advocate


Joined: 24 Aug 2003
Posts: 2517
Location: ('Modica','Trieste','Ferrara') Italy

PostPosted: Mon May 31, 2004 4:33 pm    Post subject: Reply with quote

beh come ha detto prima Yans è una cosa che con pureftpd si puo' fare in manieria semplicissima lui usa addirittura mysql! io mi limitavo all'uso di pureDb...con proftpd non saprei lo usato una sola volta e poi sono passato a pureftpd
_________________
"...There are two sort of lies, lies and benchmarks..."
Back to top
View user's profile Send private message
X-Drum
Advocate
Advocate


Joined: 24 Aug 2003
Posts: 2517
Location: ('Modica','Trieste','Ferrara') Italy

PostPosted: Mon May 31, 2004 7:39 pm    Post subject: Reply with quote

scusate ragazzi ma mi sfuggono ancora un paio di cose:

metodo 1) FTP+SSL => Applicativi: Pureftpd, Proftpd
PRO: utente naturalmente chrootato,no shell,buona sicurezza,cifratura,certificati,"elegante" 8)
CONTRO: servizio ftp troppo "vistoso"?

metodo 2) OpenSSH => Applicativi: openssh
PRO: cifratura,buona sicurezza,certificati,
CONTRO: utente non chrootato di default,accesso,shell

metodo 3)Scponly => Applicativi scponly
PRO: cifratura,solo servizio scp,sftp,no shell,chrottabile,ottimo con winscp
CONTRO: qualche problema con ssh,gftp

sono molto indeciso! quale delle 3 alternative adoperare: le ho provate tutte e 3 non voglio scatenare una guerra santa attenzione: sono 3 soluzioni validissime ma ftp è troppo "vistoso" in un certo senzo,
ssh chrootato e senza accesso alla bash sarebbe preferibile
_________________
"...There are two sort of lies, lies and benchmarks..."
Back to top
View user's profile Send private message
FonderiaDigitale
Veteran
Veteran


Joined: 06 Nov 2003
Posts: 1710
Location: Rome, Italy

PostPosted: Mon May 31, 2004 8:08 pm    Post subject: Reply with quote

guarda, io uso scp con gftp e va una meraviglia (la versione unstable)
ho comunque pureftpd+ssl per backup, con limiti sulle risorse (Cpu, spazio, sessioni concorrenti) per backup (principalmente per i miei utenti)

scp e' leggermente meno 'facile' da fare comprendere e usare agli utenti.. direi che pureftp/sftp e' una soluzione buona.
_________________
Come disse un amico, i sistemisti sono un po' come gli artigiani per l'informatica :)
Back to top
View user's profile Send private message
X-Drum
Advocate
Advocate


Joined: 24 Aug 2003
Posts: 2517
Location: ('Modica','Trieste','Ferrara') Italy

PostPosted: Tue Jun 01, 2004 11:01 am    Post subject: Reply with quote

scusate gente, sto provando pureftd+ssl
ho generato il certificato SSL come riportato nel README di pureftpd

sotto emulatore Core FTPlite (Winkozz)funziona correttamente
basta fornire il certificato e via!

ho emerso l'ultima versione di gftp che sembra essere decisamente migliore...
ma non riesco a loggarmi con GFTP
adesso dove me lo devo mettere il certifcato? :PPPPPPPPPPPPPPPPPPP (ehehe)
scherzi a parte come indico a gftp la pozizione del certificat ssl?
_________________
"...There are two sort of lies, lies and benchmarks..."
Back to top
View user's profile Send private message
bld
l33t
l33t


Joined: 26 Mar 2003
Posts: 759
Location: Outter Space

PostPosted: Tue Jun 01, 2004 11:08 pm    Post subject: Reply with quote

non ti posso aiutare con gftp dato che non lo uso... ma non credo che un ftpd ben configurato sia troppo vistoso :P

ps. Si ora mi son ricordato che non ho fatto i virtual users proprio perche richiedeva mysql e per 4 5 users non vale la pena imho.
_________________
A happy GNU/Linux user!!
Back to top
View user's profile Send private message
flocchini
Veteran
Veteran


Joined: 17 May 2003
Posts: 1124
Location: Milano, Italy

PostPosted: Tue Jun 01, 2004 11:17 pm    Post subject: Reply with quote

gftp non supporta ssl... Per unix io ho trovato solo lftp (testuale) e Igloo Ftp Pro (commerciale e fa abbastanza schifo) Se trovi qsa di funzionale fammi un fischio, io non ho saputo trovare altro. Gia' che ci sei mi posteresti la tua configurazione? Hai criptato solo i comandi o anche i trasferimenti? Io ho adottato proftpd proprio xke' non riuscivo a criptare tutto con pureftp... Anche io ho un ftp con ssl ma alcuni utenti lamentano problemi di velocita'... :roll:
_________________
~~ Per amore della rosa si sopportano le spine... ~~
Back to top
View user's profile Send private message
bld
l33t
l33t


Joined: 26 Mar 2003
Posts: 759
Location: Outter Space

PostPosted: Tue Jun 01, 2004 11:23 pm    Post subject: Reply with quote

flocchini wrote:
gftp non supporta ssl... Per unix io ho trovato solo lftp (testuale) e Igloo Ftp Pro (commerciale e fa abbastanza schifo) Se trovi qsa di funzionale fammi un fischio, io non ho saputo trovare altro. Gia' che ci sei mi posteresti la tua configurazione? Hai criptato solo i comandi o anche i trasferimenti? Io ho adottato proftpd proprio xke' non riuscivo a criptare tutto con pureftp... Anche io ho un ftp con ssl ma alcuni utenti lamentano problemi di velocita'... :roll:

bld@oxygen bld $ etcat -u ftp
[ Colour Code : set unset ]
[ Legend : (U) Col 1 - Current USE flags ]
[ : (I) Col 2 - Installed With USE flags ]

U I [ Found these USE variables in : net-ftp/ftp-0.17-r3 ]
+ + ssl : Adds support for Secure Socket Layer connections

io uso "ftp" :P

edit: che senso ha tenere in cleartext i trasferimenti/commandi?
a parte il fatto che non ricordo ne anche l'opzione per tale scelta :P
_________________
A happy GNU/Linux user!!
Back to top
View user's profile Send private message
X-Drum
Advocate
Advocate


Joined: 24 Aug 2003
Posts: 2517
Location: ('Modica','Trieste','Ferrara') Italy

PostPosted: Wed Jun 02, 2004 11:22 am    Post subject: Reply with quote

Questa è la mia configurazione:

Code:
# Config file for /etc/init.d/pure-ftpd
##Comment variables out to disable its features, or change the values in it... ##

## This variable must be uncommented in order for the server to start ##
IS_CONFIGURED="yes"

## FTP Server,Port (separated by comma) ##
## If you prefer host names over IP addresses, it's your choice :
## SERVER="-S ftp.rtchat.com,21"
## IPv6 addresses are supported.
SERVER="-S 192.168.254.101,21"

## Number of simultaneous connections in total, and per ip ##
MAX_CONN="-c 5"
MAX_CONN_IP="-C 5"

## Start daemonized in background ##
DAEMON="-B"

## Don't allow uploads if the partition is more full then this var ##
#DISK_FULL="-k 90%"

## If your FTP server is behind a NAT box, uncomment this ##
#USE_NAT="-N"

## Authentication (others are 'pam', ...)##
## Further infos in the README file.
AUTH="-l puredb:/etc/pureftpd.pdb unix,pam"

## Change the maximum idle time. (in minutes. default 15)
#TIMEOUT="-I <timeout>'"

## Use that facility for syslog logging. It defaults to 'ftp'
## Logging can be disabled with '-f none' .
LOG="-f ftp"

## Misc. Others ##
MISC_OTHER="-A -X -E -Y 2"


in effetti va, ma trovare un client compatibile con pureftd è un'impresa almeno sotto linux, sotto winkozz va anche se credo che il mio router dia problemi con il fowarding delle porte....
_________________
"...There are two sort of lies, lies and benchmarks..."
Back to top
View user's profile Send private message
flocchini
Veteran
Veteran


Joined: 17 May 2003
Posts: 1124
Location: Milano, Italy

PostPosted: Wed Jun 02, 2004 3:44 pm    Post subject: Reply with quote

con quella configurazioen non stai usando ssl/tls pero'


x bld: non e' che tiene in clear i comandi... cripta i comandi e tiene in chiaro i trasferimenti, almeno cosi' risulta ai client che si connettono.
_________________
~~ Per amore della rosa si sopportano le spine... ~~
Back to top
View user's profile Send private message
X-Drum
Advocate
Advocate


Joined: 24 Aug 2003
Posts: 2517
Location: ('Modica','Trieste','Ferrara') Italy

PostPosted: Wed Jun 02, 2004 4:14 pm    Post subject: Reply with quote

X-Drum wrote:
Questa è la mia configurazione:

Code:
[...]
## Misc. Others ##
MISC_OTHER="-A -X -E -Y 2"
[...]



Si?
Con Y=0 (default) il supporto SSL/TLS è disabilitato
Con Y=1 sono accettate connessioni "normali" o per mezzo di SSL/TLS
Con Y=2 sono accettate solo connessioni effetuate per mezzodi SSL/TSL

ho provato ed è vero (lo dicono i log) inoltre è scritto qui
se cosi n nfosse che altro dovrei agiungere alla configurazione?
_________________
"...There are two sort of lies, lies and benchmarks..."
Back to top
View user's profile Send private message
Display posts from previous:   
Reply to topic    Gentoo Forums Forum Index Forum italiano (Italian) Risorse italiane (documentazione e tools) All times are GMT
Goto page 1, 2  Next
Page 1 of 2

 
Jump to:  
You cannot post new topics in this forum
You cannot reply to topics in this forum
You cannot edit your posts in this forum
You cannot delete your posts in this forum
You cannot vote in polls in this forum