[Tip]Secure Ftp

[X-Drum]

[Aggiornamento]
Dopo aver testato:

-Openssh:
il "classico" ottimo sistema che purtroppo "cosi com'è" da accesso ,ad un utente remoto, a tutto il sistema....

-Pure-ftpd+SSL/TLS:
ottimo ma mi da alcuni problemi con il NAT buggato del mio router, infatti in locale funziona tutto ma talvolta ho grossi problemi quando un client si connette, la modalita PASV non risolve

-Scponly: buon sistema (grazie fonderia), compatibilissimo con putty/winscp
ma ho qualche problema con l'accesso openssh sotto linux.

per il mio scopo la soluzione migliore risulta essere:
Openssh + jail, ovvero utilizzare Openssh normalmente, ma chrootare gli utenti in un "sistema" costruito ad-hoc tramite jail un insieme di utility che semplicano notevolmente tale processo.

allo stato attuale infatti il sistema "fittizio" a cui posso accedere gli utenti (ovviamente chrootati) è minimo e consente solo di eseguire pochi comandi:
scp,sftp,ssh,ls,cp,ecc..

[flocchini]

chiedo venia, mi ero perso il "Y 2", io avevo attivato con

TLSEngine on
TLSRequired on
TLSRSACertificateFile /etc/ssl/private/ftpd-rsa.pem
TLSRSACertificateKeyFile /etc/ssl/private/ftpd-rsa-key.pem

come suggeriva bld qui

Come faccio a essere certo che il criptaggio ssl sia attivato? Quando mi connetto con IglooFTP pro mi spara un bel "unable to encrypt file transfer" mentre da coreftp-lite (win) non so come stabilire se la connessione ssl protetta sia attiva?

Il nat per me non e' stato un problema, mi era bastato limitare le porte usate x i pasv e forwardarle direttamente sul router.

[X-Drum]

sicuramente hai un router mol to piu' recente/decente del mio....
a me ha dato una marea di problemi, ho provato di tutto ma il DMZ non lo metto su manco morto quindi....via cambiato soluzione 1 porta 1 servizio!

io generavo il certificato self-signed ssl come nella documentazione di pureftd,
e il pessimo igloo-ftp operava tranquillamente notificando che la cifratura era attiva no nsaprei cosa dirti

[flocchini]

entrando con smartftp
(win) e' chiaro dal log che mentre con pro-ftpd riesco ad ottenere una connessione ssl anche sui trasferimenti, con pure-ftpd vengono criptati solo i comandi... Mi piacerebbe sapere che client hai provato che pure-ftpd cripti tutto, anche solo uno stralcio di log, cosi' magari riesco a sistemare sta cosa, pure-ftpd e' sicuramente piu' comodo a mio avviso, e' un peccato non usarlo.

attualmente il mio file di conf e'

Code: Select all

IS_CONFIGURED="yes"

SERVER="-S 192.168.0.12,31000"

## Number of simultaneous connections in total, and per ip ##
MAX_CONN="-c 10"
MAX_CONN_IP="-C 10"

## Start daemonized in background ##
DAEMON="-B"

## Don't allow uploads if the partition is more full then this var ##
DISK_FULL="-k 90%"

## If your FTP server is behind a NAT box, uncomment this ##
#USE_NAT="-N"

## Authentication (others are 'pam', ...)##
## Further infos in the README file.
AUTH="-l puredb:/etc/pureftpd.pdb"

## Change the maximum idle time. (in minutes. default 15)
TIMEOUT="-I 5"

## Use that facility for syslog logging. It defaults to 'ftp'
## Logging can be disabled with '-f none' .
LOG="-f facility"

## Misc. Others ##
#
MISC_OTHER="-Y 2 -p 65000:65005  -A -x -j -E -R -F /etc/FTP-MOTD -O clf:/var/log/pureftpd.log"

ho gia' seminato post un po' ovunque ma non ho mai avuto una risposta definitiva... non abbandonarmi anche tu

[bld]

Come faccio a essere certo che il criptaggio ssl sia attivato?

Ti passo un paper, una storiella molto divertente!! Ti sara di aiuto sul come capire se una conessione e' crittata -> qui


per chroot-are openssh ci sono molti guide da quel che ho visto su google. Non posso indicarti una specifica perche non ho mai provato ad aplicarla, ma ce un progetto anche su sourceforge che tratta questo tema, pare sia una patch per openssh.

ciao

[X-Drum]

@flocchini:
ciao ecco uno stralcio del log di pureftpd (ho aumentato il livello di verbosità ) spero che ti sia utile,
mi rendo conto che non è molto...la configurazione del server la conosci già il client è lftp (lo user zuglio )

Code: Select all

Jun  3 09:01:58 Thunder pure-ftpd: (?@192.168.254.101) [INFO] New connection from 192.168.254.101
Jun  3 09:01:58 Thunder pure-ftpd: (?@192.168.254.101) [DEBUG] Command [auth] [TLS]
Jun  3 09:01:58 Thunder pure-ftpd: (?@192.168.254.101) [INFO] SSL/TLS: Enabled TLSv1/SSLv3 with AES256-SHA, 256 secret bits cipher
Jun  3 09:01:58 Thunder pure-ftpd: (?@192.168.254.101) [DEBUG] Command [user] [zuglio]
Jun  3 09:01:58 Thunder pure-ftpd: (?@192.168.254.101) [DEBUG] Command [pass] [<*>]
Jun  3 09:01:58 Thunder pure-ftpd: (?@192.168.254.101) [INFO] zuglio is now logged in
Jun  3 09:01:58 Thunder pure-ftpd: (zuglio@192.168.254.101) [DEBUG] Command [pwd] []
Jun  3 09:01:58 Thunder pure-ftpd: (zuglio@192.168.254.101) [DEBUG] Command [pbsz] [0]
Jun  3 09:01:58 Thunder pure-ftpd: (zuglio@192.168.254.101) [DEBUG] Command [prot] [P]
Jun  3 09:01:58 Thunder pure-ftpd: (zuglio@192.168.254.101) [DEBUG] Command [pret] [LIST ]
Jun  3 09:01:58 Thunder pure-ftpd: (zuglio@192.168.254.101) [DEBUG] Command [pasv] []
Jun  3 09:01:58 Thunder pure-ftpd: (zuglio@192.168.254.101) [DEBUG] Command [list] []
Jun  3 09:02:03 Thunder pure-ftpd: (zuglio@192.168.254.101) [DEBUG] Command [type] [I]
Jun  3 09:02:03 Thunder pure-ftpd: (zuglio@192.168.254.101) [DEBUG] Command [pasv] []
Jun  3 09:02:03 Thunder pure-ftpd: (zuglio@192.168.254.101) [DEBUG] Command [stor] [url.txt]
Jun  3 09:02:03 Thunder pure-ftpd: (zuglio@192.168.254.101) [NOTICE] /home/ftp//url.txt uploaded  (42 bytes, 45.47KB/sec)
Jun  3 09:02:08 Thunder pure-ftpd: (zuglio@192.168.254.101) [DEBUG] Command [prot] [P]
Jun  3 09:02:08 Thunder pure-ftpd: (zuglio@192.168.254.101) [DEBUG] Command [type] [A]
Jun  3 09:02:08 Thunder pure-ftpd: (zuglio@192.168.254.101) [DEBUG] Command [pasv] []
Jun  3 09:02:08 Thunder pure-ftpd: (zuglio@192.168.254.101) [DEBUG] Command [list] []
Jun  3 09:02:09 Thunder pure-ftpd: (zuglio@192.168.254.101) [DEBUG] Command [type] [I]
Jun  3 09:02:09 Thunder pure-ftpd: (zuglio@192.168.254.101) [DEBUG] Command [size] [url.txt]
Jun  3 09:02:09 Thunder pure-ftpd: (zuglio@192.168.254.101) [DEBUG] Command [mdtm] [url.txt]
Jun  3 09:02:09 Thunder pure-ftpd: (zuglio@192.168.254.101) [DEBUG] Command [pasv] []
Jun  3 09:02:09 Thunder pure-ftpd: (zuglio@192.168.254.101) [DEBUG] Command [retr] [url.txt]
Jun  3 09:02:09 Thunder pure-ftpd: (zuglio@192.168.254.101) [NOTICE] /home/ftp//url.txt downloaded  (42 bytes, 350.82KB/sec)
Jun  3 09:02:10 Thunder pure-ftpd: (zuglio@192.168.254.101) [DEBUG] Command [quit] []
Jun  3 09:02:10 Thunder pure-ftpd: (zuglio@192.168.254.101) [INFO] Logout.

@bld:
carina la storiella eheheh molto corretto da parte sua aver avvisato
chi di dovere!

[flocchini]

Dunque:

Code: Select all

Jun  3 13:54:45 flocgentoo pure-ftpd: (?@flocgentoo.rccsys.net) [INFO] New connection from flocgentoo.rccsys.net
Jun  3 13:54:45 flocgentoo pure-ftpd: (?@flocgentoo.rccsys.net) [ERROR] Can't open /etc/FTP-MOTD
Jun  3 13:54:45 flocgentoo pure-ftpd: (?@flocgentoo.rccsys.net) [DEBUG] Command [auth] [TLS]
Jun  3 13:54:45 flocgentoo pure-ftpd: (?@flocgentoo.rccsys.net) [INFO] SSL/TLS: Enabled TLSv1/SSLv3 with AES
256-SHA, 256 secret bits cipher
Jun  3 13:54:45 flocgentoo pure-ftpd: (?@flocgentoo.rccsys.net) [DEBUG] Command [user] [daninni82]
Jun  3 13:54:45 flocgentoo pure-ftpd: (?@flocgentoo.rccsys.net) [DEBUG] Command [pass] [<*>]
Jun  3 13:54:45 flocgentoo pure-ftpd: (?@flocgentoo.rccsys.net) [INFO] daninni82 is now logged in
Jun  3 13:54:45 flocgentoo pure-ftpd: (daninni82@flocgentoo.rccsys.net) [DEBUG] Command [pwd] []
Jun  3 13:54:45 flocgentoo pure-ftpd: (daninni82@flocgentoo.rccsys.net) [DEBUG] Command [pbsz] [0]
Jun  3 13:54:45 flocgentoo pure-ftpd: (daninni82@flocgentoo.rccsys.net) [DEBUG] Command [prot] [P]
Jun  3 13:54:45 flocgentoo pure-ftpd: (daninni82@flocgentoo.rccsys.net) [DEBUG] Command [pret] [LIST ]
Jun  3 13:54:45 flocgentoo pure-ftpd: (daninni82@flocgentoo.rccsys.net) [DEBUG] Command [pasv] []
Jun  3 13:54:45 flocgentoo pure-ftpd: (daninni82@flocgentoo.rccsys.net) [DEBUG] Command [list] []
Jun  3 13:54:51 flocgentoo pure-ftpd: (daninni82@flocgentoo.rccsys.net) [DEBUG] Command [type] [I]
Jun  3 13:54:51 flocgentoo pure-ftpd: (daninni82@flocgentoo.rccsys.net) [DEBUG] Command [size] [[Linux] Red Hat 9.0 shrike-i386-disc1.iso]
Jun  3 13:54:51 flocgentoo pure-ftpd: (daninni82@flocgentoo.rccsys.net) [DEBUG] Command [mdtm] [[Linux] Red Hat 9.0 shrike-i386-disc1.iso]
Jun  3 13:54:51 flocgentoo pure-ftpd: (daninni82@flocgentoo.rccsys.net) [DEBUG] Command [pasv] []
Jun  3 13:54:51 flocgentoo pure-ftpd: (daninni82@flocgentoo.rccsys.net) [DEBUG] Command [retr] [[Linux] Red Hat 9.0 shrike-i386-disc1.iso]
Jun  3 13:54:51 flocgentoo pure-ftpd: (daninni82@flocgentoo.rccsys.net) [NOTICE] /data/1/ftpusers/daninni82//[Linux] Red Hat 9.0 shrike-i386-disc1.iso downloaded  (16777216 bytes, 58660.32KB/sec)
Jun  3 13:55:04 flocgentoo pure-ftpd: (daninni82@flocgentoo.rccsys.net) [DEBUG] Command [quit] []
Jun  3 13:55:04 flocgentoo pure-ftpd: (daninni82@flocgentoo.rccsys.net) [INFO] Logout.

uguale al tuo, quindi cappellate *non dovrei* averne fatte.

A questo punto pero' ho notato che (sempre da lftp) quando mi connetto a pro-ftpd mi viene fuori accanto al trasferimento "[Receiving data/TLS]" mentre se mi connetto a pure-ftpd no.

Quindi giungo alla conclusione che come temevo pure-ftpd sia solo in grado di criptare via ssl i comandi, lasciando in chiaro il trasferimento dati mentre proftpd cripta anche questi ultimi. Naturalmente e' bene accetta qualsiasi tipo di smentita

[flocchini]

In effetti mi rendo conto che piuttosto che fare tutto sto casino era + semplice leggere attentamente ilreadme.tls della documentazione ufficiale...

------------------------ SSL/TLS SUPPORT ------------------------

Starting with version 1.0.16, Pure-FTPd has experimental support for
encryption of the control channel using SSL/TLS security mechanisms.

When this extra security layer is enabled, login and passwords are no more
sent cleartext. Neither are other commands sent by your client nor replies
made by the server.

However, the data channel is not affected by SSL/TLS. This combination
brings no significant decrease of performance and the FXP protocol keeps
working even when mixing SSL/TLS-enabled and non SSL/TLS-enabled servers.

Per me il criptaggio dei dati solosul canale di controllo non e' sufficiente, quindi me ne torno mesto mesto sul mio proftpd, un po' piu' incasinato da configurare ma piu' adatto per le mie esigenze. Grazie comunque per la vostra disponibilita'

[federico]

Ma a parita' di trasferimento, un sistema fatto con ssh+scponly per il trasferimento dei file su connessione criptata e uno fatto con proftpd+ssl, hanno velocita' uguale?

[FonderiaDigitale]

come sicuramente avrai pensato, in linea di massima, ssh e' piu lento perche aggiunge piu traffico di controllo.

[bld]

Ma a parita' di trasferimento, un sistema fatto con ssh+scponly per il trasferimento dei file su connessione criptata e uno fatto con proftpd+ssl, hanno velocita' uguale?

i test da me fatti dicono nettamente di "si"

[bld]

In effetti mi rendo conto che piuttosto che fare tutto sto casino era + semplice leggere attentamente ilreadme.tls della documentazione ufficiale...

mesto mesto sul mio proftpd, un po' piu' incasinato da configurare ma piu' adatto per le mie esigenze. Grazie comunque per la vostra disponibilita'

Ma non e' vero che e' difficile da configurare! Io ho dato un occhiata su /usr/share/doc/proftpd/ ed ho trovate quasi tutto. La documentazione e' in parte incompleta, ma ho trovato veramente tutto quello che mi verviva .

ps. Per la storiela si.. lui ha fatto sapere a chi di dovere.. ma da quel che dice aveva altri precedenti negativi, cmq la storia e' proprio bella ehehehe non pensavo esistesse gente cosi matta

[flocchini]

Beh "difficile" in senso assoluto no, diciamo "+ difficile" di pure-ftpd, sono comunque riuscito a configurarlo correttamente

La storiella era assolutamente fantastica

[federico]

A scopo informativo ho preparato un "ftp" in sftp e vi ho fatto accedere un amico tramite un tunnel ssh in port forwarding, la trasmissione dei dati quindi passava tra due criptazioni ssh. La velocita' era ottima (la massima consentita dalla banda)