m0g1e Skrevet 18. juli 2007 Del Skrevet 18. juli 2007 Trenger litt hjelp til å få igang SSL/TLS på ftp-serveren min. Kjører Ubuntu. Vet at jeg må få rekompilert programmet med SSL/TLS for å sette dette opp, samtidig som jeg må lage et SSL sertifikat på serveren, og at klientprogrammet må støtte dette for å kunne koble seg til FTP. Vil komme til å gi tilgang for med og uten SSL/TLS siden jeg kjører anonym login også (public). Er samtidig litt usikker på hvor nødvendig dette er, og hvor usikkert det er med tanke på at passord kan bli "lyttet" opp i klartekst når klient kobler seg til. Har prøvd å lese litt wiki, og googlet noen guider på dette, men det virker nokså håpløst når jeg er helt blank på begge sikringsprotokollene.. Lenke til kommentar
Langbein Skrevet 19. juli 2007 Del Skrevet 19. juli 2007 (endret) Sikker på at du må rekompilere programmet? Jeg måtte ikke det i Debian, så ville ikke tro du må det i Ubuntu heller. Eneste er å endre en liten innstilling i fila: /etc/pure-ftpd/conf/TLS Denne fila skal bare inneholde tallet 1, og dermed vil pureftpd akseptere både krypterte og ukrypterte connections. (0 betyr bare ukryptert, mens 2 krever SSL/TLS) Men du må også ha et sertifikat, enten ved å genere et self-signed certificate eller ved å skaffe fra en CA. Sistnenvnte koster normalt penger. For å generere ditt eget: mkdir -p /etc/ssl/private openssl req -x509 -nodes -newkey rsa:1024 -keyout \ /etc/ssl/private/pure-ftpd.pem \ -out /etc/ssl/private/pure-ftpd.pem chmod 600 /etc/ssl/private/*.pem Da skal det funke, men for å bruke TLS må man ha en klient som støtter dette. Jeg vet at bl.a FileZilla takler dette fint, og den er gratis. Endret 19. juli 2007 av Langbein Lenke til kommentar
m0g1e Skrevet 19. juli 2007 Forfatter Del Skrevet 19. juli 2007 (endret) Kjempesvar! Tusen takk Langbein har nok riktig i den /conf/TLS 1 fila ja lest litt mye BSD og debian docs og rotet litt om hverandre.. BSD har deilig nok egen conf-fil med alle parametere. Litt klurete med en slik løsning jeg kjører nå.. men rent sikkerhetsmessig, og sjansen for at passordet blir phishet opp... er den stor? var jo merkelig lite docs jeg fant på dette, og det synes jo da til at folk ikke har dette i tankene når en kjører en ftp-server akkurat, og at det ikke er noe problem(?). Vanlige webhostere har vel heller ikke SSL/TLS påkrevd siden gjør det vanskelig for klienten (kunden) som kobler seg til som er avhengig av støttende FTP-prog. Er det da andre ting som ivaretar sikkerheten på dette området? alltid vært skeptisk hver gang jeg kobler meg opp mot servere.. Endret 19. juli 2007 av nollie Lenke til kommentar
Langbein Skrevet 20. juli 2007 Del Skrevet 20. juli 2007 Er enig i at én configfil ville vært mer oversiktlig. Problemet er at pure-ftpd ikke har noen configfiler i utgangspunktet, men bare baserer seg på compile-time options og parametre når du starter programmet. Dermed har ulike package maintainere tydeligvis funnet på varierende løsninger på toppen av dette. Men om du vil kan du såklart droppe å bruke Debian's løsning, og starte programmet manuelt med parametre isteden. Eller fjerne hele pakka, og kompilere pure-ftpd fra source Angående sikkerhet så spørs det hva du skal bruke FTP til. Skal du hoste filer/programmer for alle og hvermansen, eller det sensitive opplysninger på serveren? Det er jo en grunn til at (oppegående) folk har gått fra telnet, rlogin osv., nettopp fordi passord ble sendt over nett i klartekst. En annen ting er hvordan nettverket ditt er satt opp - hvilke muligheter har ondsinnede brukere til å sniffe pakker? For hvis noen først har denne muligheten, er det jo latterlig enkelt å snappe opp passord til FTP, telnet og andre ukrypterte protokoller. Til slutt - hvorfor så få folk bruker FTP med SSL/TLS: Antakeligvis fordi det ikke er en del av den opprinnelige FTP-standarden, men noe som har flere leverandører har lagt til i senere tid. Ikke alle klienter og servere støtter kryptering, og det fins også flere alternative løsninger. Derfor er det ofte upraktisk å kreve at folk skal bruke krypterte connections. I tilfelle med uploading av hjemmesider og liknende, er det jo også en del folk som bruker egne programmer med innebygd FTP, slik som Dreamweaver, Golive osv., og disse har neppe muligheter for kryptering. Og i Linux/Unix-verden har SSH for lengst blitt den nye standarden for sikker pålogging, og SSH kan også brukes til filoverføring og dermed ta over en del av FTP-trafikken. SSH har også den fordelen at det kommer preinstallert på omtrent alle linux-distroer Lenke til kommentar
m0g1e Skrevet 21. juli 2007 Forfatter Del Skrevet 21. juli 2007 Riktig Gjorde et kort søk og ser jo at det finnes SSH-klient prog som kunne vært like ideelt som FTP-prog egentlig. Så hvorfor benytter hostere seg av dette istedet? Alt kommer vel ann på at FTP er standard, og rent hvor lite hensiktsmessig det er å benytte seg av et nytt protokollsystem mtp at sikkerheten ikke er så alderles nødvendig...? SSH krever vel og mer ressurser fra server pga kryptering også. Er selvsagt mtp sniffing i Internett forbindelsen, selv om brukerne av serveren som har FTP-tilgang ikke bor så langt unna, og tvilsomt går gjennom noen langtomstrekkende route for å nå serveren her. (>20 mil) Regner da med at det ikke det er så altfor mye phishing rundt her som gjør meg attraktiv... kanskje økt trafikk gjør meg det derimot.. Prøver meg på et par SSH-klient program og kommer med litt respons etter hvert Lenke til kommentar
Langbein Skrevet 21. juli 2007 Del Skrevet 21. juli 2007 Du har nok rett i at de fleste ISPer og hosting-firmaer ikke har vært altfor opptatt av kryptering. Bare se på mail, og hvor mange som har brukt plainttext autentisering mot POP3/IMAP. Men jeg ser også at flere har begynt å tilby SSH nå i seinere tid Om SSH er treigere på filoverføring enn kryptert FTP vet jeg ikke. Hvis krypteringsalgoritmen er den samme, ville jeg også tro at hastigheten ble omtrent lik. Med SSH kan du i hvertfall velge cipher, og både AES og Blowfish er "relativt" kjappe, og brukes vel stort sett som standardvalg. Grunnen til at enkelte vegrer seg mot SSH kan være at det riktignok er standard i linux/unix, men ikke i Windows (fins såklart gratis tredjeparts programmer). Mange føler kanskje også at SSH gir for mye tilgang til servern enn hva FTP gjør som standard. FTP gir typsik bare tilgang til en valgt FTP-rotkatalog, mens SSH gir tilgang til hele systemet (innenfor de begrensninger som ligger i unix-filrettigheter såklart) + at man også har shelltilgang. Så her må den som drifter servern avgjøre hva slags tilgang man ønsker å gi brukerne. Det fins også løsninger for å begrense SSH. Lenke til kommentar
opresterud Skrevet 16. august 2007 Del Skrevet 16. august 2007 Men du må også ha et sertifikat, enten ved å genere et self-signed certificate eller ved å skaffe fra en CA. Sistnenvnte koster normalt penger. Noen som har erfaring med www.cacert.org? Lenke til kommentar
Anbefalte innlegg
Opprett en konto eller logg inn for å kommentere
Du må være et medlem for å kunne skrive en kommentar
Opprett konto
Det er enkelt å melde seg inn for å starte en ny konto!
Start en kontoLogg inn
Har du allerede en konto? Logg inn her.
Logg inn nå