[Tip]Secure Ftp

[X-Drum]

Salve gente!
vorrei garantire l'accesso ad N utenti alla mia macchina o meglio ad alcuni files sulla mia macchina...
al momento ho aperto degli account ssh con certificato RSA, tutto va come dovrebbe ma perche' dare loro (sebbene siano persone fidate) un account sul mio sistema?
Vengo alla domanda: è possibile mettere su un server Ftp con ssh? ho notato i seguenti pacchetti nel portage:

Code: Select all

*  dev-perl/net-sftp
      Latest version available: 0.08
      Latest version installed: [ Not Installed ]
      Size of downloaded files: 22 kB
      Homepage:    http://search.cpan.org/~drolsky/Net-SFTP-0.08
      Description: Secure File Transfer Protocol client
      License:     Artistic | GPL-2

*  net-ftp/vsftpd
      Latest version available: 1.2.1
      Latest version installed: [ Not Installed ]
      Size of downloaded files: 132 kB
      Homepage:    http://vsftpd.beasts.org/
      Description: Very Secure FTP Daemon written with speed, size and security in mind
      License:     GPL-2

qualucno di voi ha già sperimentato una cosa simile? è possibli gestire certificati?
tnx

[Yans]

io uso pure-ftpd affiancato a mysql per la gestione degli utenti virtuali, per la connessione sicura puoi usare TLS visto che pure-ftpd supporta tale features molto bene.

Adios...

[X-Drum]

si anche io lo uso da tempo è considerato uno dei + sicuri!
mi accontentero di lui pensavo ci fosse qualcosa di più avanzato......

[FonderiaDigitale]

installa scponly. la documentazione sta sul sito. in quel modo dai accesso ftp sicuro tramite ssh senza dare accesso shell.

[X-Drum]

azz grazie fonderia!
abbiamo postato in contemporanea! do subito un'occhiata!

[X-Drum]

thanks 1000x era proprio quello chemi serviva!

da accesso ai files ma non al sistema via ssh e supporta piu' utenti
grazie ancora!

[FonderiaDigitale]

apposto

[X-Drum]

ok ci siamo ho installato scponly ma la versione masked
per poter disporre di un binario chrooted,
un solo piccolo appunto: dato che per usare la versione chrooted di scponly è necessario copiare diverse cose nella home dell'utente, esistono + directory all'interno di quella home,come posso fare per "dirottare" l'utente direttamente sulla direcotry incoming al login?

Code: Select all

root@Thunder scponly-3.11 # ls -l /home/ssh/scponly/
totale 3
drwxr-xr-x  2 root    root  360 31 mag 13:10 bin
drwxr-xr-x  2 root    root  136 31 mag 13:10 etc
drwxr-xr-x  2 scponly users  72 31 mag 13:19 incoming
drwxr-xr-x  2 root    root  448 31 mag 13:10 lib
drwxr-xr-x  4 root    root   96 31 mag 13:10 usr

[bld]

dai un occhiata a questo thread..
http://forums.gentoo.org/viewtopic.php? ... roftpd+tls

[X-Drum]

[ignorantone mode on]
a livello di sicurezza l'uso di ssl è comparabile all'uso di ssh?
[ignorantone mode off]

[bld]

[ignorantone mode on]
a livello di sicurezza l'uso di ssl è comparabile all'uso di ssh?
[ignorantone mode off]

Non lo dire mai piu questo -> [ignorantone mode on]

Non e' possibile sapere tutto, e poi e' un "topic" abbastanza discusso da quello che ho avuto modo di constatare . Avevo la stessa domanda:

Come sicurezza sono allo stesso livello, dato che sia il login che la trasmissione dei dati e' crittata con l'algoritmo che si e' scelto. L'unica diff e' che sftp praticamente e' una (considerata bruttissima) patch allo source code di ssh. Invece il sopporto TLS e' stato implementato in modo molto piu elegante, elastico e funzionante. Unfatti una volta ssh non sopportare "chroot" ed altre opzioni carine che invece trovi su proftpd ed altri ftp. Ora che una patch (che va proprio sopra l'altra patch) che fa anche questo per ssh. Non ricordo il sito pero l'avevo visto tempo fa.

Praticamente differenze essenziali non credo che troverai.. ftp+tls e' sicuramente piu elegante/elastico.

fai un giochetto

$echo " echo che figo sftp!" >> ~/.bashrc

Ora prova ad usare sftp per conneterti al localhost vedi cosa succede.

[xchris]

cmq per avere lo stesso risultato su openssh e' sufficiente specificare prima della chiave in authorized_keys2 l'opzione: no-pty

ciao

[bld]

cmq per avere lo stesso risultato su openssh e' sufficiente specificare prima della chiave in authorized_keys2 l'opzione: no-pty

ciao

non ho capito su cosa ti riferisci quando dici "lo stesso risultato".

[xchris]

sftp possibile ma nessuna shell per il tuo user
(e sono possibili altre opzioni)
ciao

[bld]

Salve gente!
vorrei garantire l'accesso ad N utenti alla mia macchina o meglio ad alcuni files sulla mia macchina...
al momento ho aperto degli account ssh con certificato RSA, tutto va come dovrebbe ma perche' dare loro (sebbene siano persone fidate) un account sul mio sistema?
Vengo alla domanda: è possibile mettere su un server Ftp con ssh? ho notato i seguenti pacchetti nel portage:

Code: Select all

*  dev-perl/net-sftp
      Latest version available: 0.08
      Latest version installed: [ Not Installed ]
      Size of downloaded files: 22 kB
      Homepage:    http://search.cpan.org/~drolsky/Net-SFTP-0.08
      Description: Secure File Transfer Protocol client
      License:     Artistic | GPL-2

*  net-ftp/vsftpd
      Latest version available: 1.2.1
      Latest version installed: [ Not Installed ]
      Size of downloaded files: 132 kB
      Homepage:    http://vsftpd.beasts.org/
      Description: Very Secure FTP Daemon written with speed, size and security in mind
      License:     GPL-2

qualucno di voi ha già sperimentato una cosa simile? è possibli gestire certificati?
tnx

io ho fatto una cosa del genere, con ftp + tls ed ho messo la opzione
AllowUsers sull conf di ssh. Probabilmente come ha detto xchriss si possono fare altre cose. La soluzione piu elegante (si ho un ossessione con l'eleganza! ) sarebbe un ftpd + virtual users + ssl. Pero io non ce l'ho fatta con proftd a creare i users virtuali, se qualcuno ci dice come ha fatto gli offro una birra se passa da milano

Ciao

[X-Drum]

beh come ha detto prima Yans è una cosa che con pureftpd si puo' fare in manieria semplicissima lui usa addirittura mysql! io mi limitavo all'uso di pureDb...con proftpd non saprei lo usato una sola volta e poi sono passato a pureftpd

[X-Drum]

scusate ragazzi ma mi sfuggono ancora un paio di cose:

metodo 1) FTP+SSL => Applicativi: Pureftpd, Proftpd
PRO: utente naturalmente chrootato,no shell,buona sicurezza,cifratura,certificati,"elegante"
CONTRO: servizio ftp troppo "vistoso"?

metodo 2) OpenSSH => Applicativi: openssh
PRO: cifratura,buona sicurezza,certificati,
CONTRO: utente non chrootato di default,accesso,shell

metodo 3)Scponly => Applicativi scponly
PRO: cifratura,solo servizio scp,sftp,no shell,chrottabile,ottimo con winscp
CONTRO: qualche problema con ssh,gftp

sono molto indeciso! quale delle 3 alternative adoperare: le ho provate tutte e 3 non voglio scatenare una guerra santa attenzione: sono 3 soluzioni validissime ma ftp è troppo "vistoso" in un certo senzo,
ssh chrootato e senza accesso alla bash sarebbe preferibile

[FonderiaDigitale]

guarda, io uso scp con gftp e va una meraviglia (la versione unstable)
ho comunque pureftpd+ssl per backup, con limiti sulle risorse (Cpu, spazio, sessioni concorrenti) per backup (principalmente per i miei utenti)

scp e' leggermente meno 'facile' da fare comprendere e usare agli utenti.. direi che pureftp/sftp e' una soluzione buona.

[X-Drum]

scusate gente, sto provando pureftd+ssl
ho generato il certificato SSL come riportato nel README di pureftpd

sotto emulatore Core FTPlite (Winkozz)funziona correttamente
basta fornire il certificato e via!

ho emerso l'ultima versione di gftp che sembra essere decisamente migliore...
ma non riesco a loggarmi con GFTP
adesso dove me lo devo mettere il certifcato? :PPPPPPPPPPPPPPPPPPP (ehehe)
scherzi a parte come indico a gftp la pozizione del certificat ssl?

[bld]

non ti posso aiutare con gftp dato che non lo uso... ma non credo che un ftpd ben configurato sia troppo vistoso

ps. Si ora mi son ricordato che non ho fatto i virtual users proprio perche richiedeva mysql e per 4 5 users non vale la pena imho.

[flocchini]

gftp non supporta ssl... Per unix io ho trovato solo lftp (testuale) e Igloo Ftp Pro (commerciale e fa abbastanza schifo) Se trovi qsa di funzionale fammi un fischio, io non ho saputo trovare altro. Gia' che ci sei mi posteresti la tua configurazione? Hai criptato solo i comandi o anche i trasferimenti? Io ho adottato proftpd proprio xke' non riuscivo a criptare tutto con pureftp... Anche io ho un ftp con ssl ma alcuni utenti lamentano problemi di velocita'...

[bld]

gftp non supporta ssl... Per unix io ho trovato solo lftp (testuale) e Igloo Ftp Pro (commerciale e fa abbastanza schifo) Se trovi qsa di funzionale fammi un fischio, io non ho saputo trovare altro. Gia' che ci sei mi posteresti la tua configurazione? Hai criptato solo i comandi o anche i trasferimenti? Io ho adottato proftpd proprio xke' non riuscivo a criptare tutto con pureftp... Anche io ho un ftp con ssl ma alcuni utenti lamentano problemi di velocita'...

bld@oxygen bld $ etcat -u ftp
[ Colour Code : set unset ]
[ Legend : (U) Col 1 - Current USE flags ]
[ : (I) Col 2 - Installed With USE flags ]

U I [ Found these USE variables in : net-ftp/ftp-0.17-r3 ]
+ + ssl : Adds support for Secure Socket Layer connections

io uso "ftp"

edit: che senso ha tenere in cleartext i trasferimenti/commandi?
a parte il fatto che non ricordo ne anche l'opzione per tale scelta

[X-Drum]

Questa è la mia configurazione:

Code: Select all

# Config file for /etc/init.d/pure-ftpd
##Comment variables out to disable its features, or change the values in it... ##

## This variable must be uncommented in order for the server to start ##
IS_CONFIGURED="yes"

## FTP Server,Port (separated by comma) ##
## If you prefer host names over IP addresses, it's your choice :
## SERVER="-S ftp.rtchat.com,21"
## IPv6 addresses are supported.
SERVER="-S 192.168.254.101,21"

## Number of simultaneous connections in total, and per ip ##
MAX_CONN="-c 5"
MAX_CONN_IP="-C 5"

## Start daemonized in background ##
DAEMON="-B"

## Don't allow uploads if the partition is more full then this var ##
#DISK_FULL="-k 90%"

## If your FTP server is behind a NAT box, uncomment this ##
#USE_NAT="-N"

## Authentication (others are 'pam', ...)##
## Further infos in the README file.
AUTH="-l puredb:/etc/pureftpd.pdb unix,pam"

## Change the maximum idle time. (in minutes. default 15)
#TIMEOUT="-I <timeout>'"

## Use that facility for syslog logging. It defaults to 'ftp'
## Logging can be disabled with '-f none' .
LOG="-f ftp"

## Misc. Others ##
MISC_OTHER="-A -X -E -Y 2"

in effetti va, ma trovare un client compatibile con pureftd è un'impresa almeno sotto linux, sotto winkozz va anche se credo che il mio router dia problemi con il fowarding delle porte....

[flocchini]

con quella configurazioen non stai usando ssl/tls pero'


x bld: non e' che tiene in clear i comandi... cripta i comandi e tiene in chiaro i trasferimenti, almeno cosi' risulta ai client che si connettono.

[X-Drum]

Questa è la mia configurazione:

Code: Select all

[...]
## Misc. Others ##
MISC_OTHER="-A -X -E -Y 2"
[...]

Si?
Con Y=0 (default) il supporto SSL/TLS è disabilitato
Con Y=1 sono accettate connessioni "normali" o per mezzo di SSL/TLS
Con Y=2 sono accettate solo connessioni effetuate per mezzodi SSL/TSL

ho provato ed è vero (lo dicono i log) inoltre è scritto qui
se cosi n nfosse che altro dovrei agiungere alla configurazione?