ProFTPD + SSL/TLS Data: 19-12-2004 o godz. 18:51:59 Temat: Konfiguracje usług w systemie FreeBSD Jak wiemy przesyłanie loginów i haseł do rożnych usług szczególnie jeżeli wykorzystujemy do tego internet nie jest bezpieczne, zajmiemy się zabezpieczeniem demona ProFTPD. Aby tego dokonać najlepiej zainstalować z portów najnowszą wersję (w chwili pisania tego artykułu jest to wersja proftpd-1.2.10. Wchodzimy do katalogu /usr/ports/ftp/proftpd i instalujemy make install clean. Naszym oczom ukaże się menu w którym wybieramy obsługe SSL/TLS. Teraz edytujemy nasz plik konfiguracyjny który standardowo znajduje się w katalogu: /usr/local/etc/proftpd.conf i wklejamy dodatkowe opcje: # FTP + SSL < IfModule mod_tls.c > TLSEngine on TLSLog /var/log/proftp_tls.log # Plik z logami musimy wcześniej sobie stworzyc touch proftp_tls.log TLSProtocol SSLv23 TLSOptions NoCertRequest TLSTimeoutHandshake 60 TLSRequired off # Jeżeli ustawimy ten parametr na "off" logowanie będzie możliwe #również bez szyfrowania, jeżeli natomiast ustawimy parametr na "on" # to logowanie będzie możliwe tylko w postaci zaszyfrowanej. TLSCACertificateFile /etc/ssl/cert/ca.crt TLSRSACertificateFile /etc/ssl/cert/server.crt TLSRSACertificateKeyFile /etc/ssl/cert/server.key # Jeżeli już posiadamy certyfikaty, np. do serwera www możemy je #wykorzystać (problemem może być certyfikat wystawiony dla domeny #www.domena.pl podczas gdy łącząc się z serwerem ftp używamy adresu # ftp.domena.pl. Lekarstwem na to jest wygenerowanie nowego certyfikatu # który w polu Common Name będzie miał wpis *.domena.pl. Taki certyfikat # z gwiazdką na początku możemy wykorzystać do zabezpieczeń zarówno # serwera www, pop3, smtp, ftp. # Dla tych co nie mają jeszcze certyfikatu polecam artykuł o zabezpieczeniu # Apache dostępny tutaj >> TLSVerifyClient off < /IfModule > Na koniec wybieramy sobie klienta FTP który obsługuje SSL/TLS. Do przetestowania polecam darmowego klienta który jest dostępny tutaj >> Po połączeniu z naszym kontem powinniśmy zobaczyć: Connect socket #496 to 11.11.11.1, port 21... 220 FTP ftp.domena.pl AUTH TLS 234 AUTH TLS successful TLSv1, cipher TLSv1/SSLv3 (DHE-RSA-AES256-SHA) - 256 bit USER user1 331 Password required for user1. PASS ********** 230 User user1 logged in. SYST 215 UNIX Type: L8 Keep alive off... PWD 257 "/" is current directory. PBSZ 0 PROT P 200 Protection set to Private PASV 227 Entering Passive Mode (11,11,11,11,8,20). LIST Connect socket #536 to 11.11.11.11, port 2068... TLSv1, cipher TLSv1/SSLv3 (DHE-RSA-AES256-SHA) - 256 bit 150 Opening ASCII mode data connection for file list 226 Transfer complete. Transferred 937 bytes in 0.016 seconds Należy następnie poinformować użytkowników, że nie będą mogli korzystać z FTP bez szyfrowania i po kilku dniach zmienić parametr: TLSRequired on Miłego szyfrowania !! Artykuł jest z FreeBSD na www.malisz.eu.org http://www.malisz.eu.org/ Adres tego artykułu to: http://www.malisz.eu.org/14_ProFTPD+SSL-TLS.htm