LINUXSOFT.cz Přeskoč levou lištu

ARCHIV



   

> FTP Server s podporou TLS II.

Rozšíření serveru vsftpd o podporu zabezpečené komunikace pomocí SSL/TLS.

3.10.2005 07:00 | Petr | Články autora | přečteno 8558×

Úvodem

Stejné rozhodnutí, které vedlo Martina Průšu k uvedení druhého povídání o FTP serverech (ohlas čtenářů, kteří využívají spíše server vsftpd než server ProFTPD), vedlo i mě k jeho následnému doplnění. I v tomto případě se budu snažit doplnit informace vedoucí k podpoře zabezpečené komunikace pomocí SSL/TLS.

Podpora šifrovaného spojení

Jak víme, u serveru ProFTPD je problematika šifrování řešena pomocí kompilace modulu, napsaného třetí stranou. Vsftpd server jde jinou cestou. Jeho podpora ssl/tls je přímo v "jádře". Nicméně i tady je potřeba před kompilací provést patřičné úpravy. Na příslušné stránce projektu si stáhneme balík se zdrojovými soubory, rozbalíme a nahlédneme do souboru README.ssl.

Jak konfigurovat před instalací

Jak sami pochopíte velice rychle, v souboru uvedeném výše najdete potřebnou informaci o nastavení parametrů nutných pro aktivaci potřebné podpory. Jde prakticky o zásah do souboru builddefs.h, kde řádek s direktivou #undef VSF_BUILD_SSL zaměníme za #define VSF_BUILD_SSL. To je k úpravám před kompilací vše.

(poznámka – v rootu rozbaleného balíku se zdrojovými kódy naleznete script se jménem vsf_findlibs.sh, který je použit při překladu pro přilinkování patřičných knihoven. Můžete jej vhodně použít k zjištění, zda máte příslušnou knihovnu "libssl.so" ve vašem systému přítomnu a tím předejít zbytečnému hledání "proč" toto rozšíření nefunguje.) Je-li vše v pořádku pak stačí jednoduché:

# make

Proběhlo-li vše v pořádku a v rootu zdrojových souborů serveru se nam objeví binárka vsftpd, pak byla kompilace úspěšná.

(poznámka – Ti, kteří se přiklonili k instalaci pomocí některého z balíčkovacích systémů (rpm, apt …), tak i ti co využili možnost kompilace, mohou využít příkazu ldd, který ukáže, zda byly k příslušné binárce přilinkovány nutné knihovny.) V našem případě by pak měl příkaz a jeho výstup vypadat přibližně takto:

# ldd vsftpd

a jeho výstup:

# …
# libssl.so. … => cesta ke knihovně
# …

a s ním by měl ukázat i výpis dalšíh, použitých knihoven. OK, je-li vše jak má být, můžeme zadat příkaz:

# make install

a začít s potřebnou konfigurací.

Konfigurace

Protože se jedná pouze o doplnění informací, nebudu zde opisovat to co už jiní napsali. Zaměřím se jen na konfiguraci ssl/tls. Doplněním několika direktiv zařídíme přesně to o co nám jde. Takže, první direktivou v souboru vsftpd.conf by měla být:

ssl_enable=YES

asi je zbytečné psát proč je první a k čemu nám slouží. Druhou direktivou kterou doplníme do našeho konfiguračního souboru bude:

allow_anon_ssl=NO

ani tady není co vysvětlovat. Direktiva zakáže všem anonymním požadavkům o spojení použít zabezpečený kanál. Další velice vhodnou direktivou bude:

force_local_logins_ssl=YES

ta nám zařídí, aby každé non-anonymous spojení (a jeho požadavek o login) byli prováděny přes zabezpečený kanál a direktivou:

force_local_data_ssl=YES/NO

rozhodneme, zda-li přenášená data budou rovněž posílána zabezpečeným kanálem či nikoliv.

Stejně důležitá je pak i direktiva umožňující využít buď šifrování pomocí ssl nebo tls. Zasvěcení do tématu ví, že šifrovat pomocí ssl se dnes nedoporučuje, a proto ačkoliv bez vysvětlení (které se hodí spíše do tématu ssl vs. tls) doporučím toto složení direktiv:

ssl_sslv2=NO
ssl_sslvš=NO
ssl_tlsv1=YES

Poslední direktivu, kterou doplníme do konfiguračního souboru bude cesta k souboru s certifikátem. Využít můžeme opět varianty rsa nebo dsa. Pro každou z nich použijeme tuto direktivu:

dsa_cert_file=cesta k souboru s certifikátem
rsa_cert_file=cesta k souboru s certifikátem

Tím jsme využili hlavních možností konfigurace ssl/tls. Nyní stačí pustit server a pomocí klienta umožňujícího šifrované spojení, konfiguraci otestovat.

(poznámka – samozřejmě před spuštěním serveru je ještě potřeba patřičný certifikát vygenerovat.) Certifikát vygenerujeme příkazem:

# openssl x509 -in /Cesta k .../certs/vsftpd.pem -noout -text

Test spojení

V prvním povídání o zabezpečeném FTP jsem neuvedl jednoho klienta, který rovněž využívá možnosti šifrovaného spojení. Jde o klienta gftp. Ukážeme si stručně jak klienta nastavit a otestovat spojení.

Prvním krokem ke správnému spojení je zrušení verifikace certifikátu (Verify SSL Peer viz obrázek č.1). Pokud tak neučiníte, gftp klient zjistí, že certifikát je typu "self-signed" a spojení se serverem se neuskuteční (viz obrázek č.2). Rovněž se vám nepovede se na server připojit, v případě, že mate direktivu force_local_data_ssl nastavenu na YES (viz obrázek č.3). Po odstranění zmíněných překážek by jste měli být schopni připojit se k serveru (viz obrázek č.4). A nakonec ještě ukázka z vsftpd.log souboru o úspěšném spojení (viz obrázek č.5).











(poznámka – Určitě si někteří všimli, že se připojuji pod uživatelem root. To není popírání veškerých bezpečnostních pravidel, roota jsem použil pouze pro tento testovací příklad. Netřeba tuto věc komenovat, velmi dobře si uvědomuji, že v reálném světě bych s tímto neobstál ani vteřinu.)

Závěrem

Vsftpd je dle mnohých rychlejší a bezpečnější než ostatní servery (ProFTPD či WuFTPD). Toto rozhodnutí nechám stejně jako Martin na každém z vás. Každému sedne něco jiného a každý se setká s jinými zkušenostmi. Nicméně, jakékoliv zkušenosti s nasazením zabezpečených ftp kanálů do praxe napište, stejně jako v případě chyb, které se při použití objeví. Nejsem vševědoucí, ale pokud budu moci jakkoli pomoci, pokusím se.

Odkazy

Verze pro tisk

pridej.cz

 

DISKUZE

Preklepy a chyby 3.10.2005 08:30 Karel Benák
L Re: Preklepy a chyby 3.10.2005 08:36 Petr
  L Re: Preklepy a chyby 3.10.2005 10:40 Ivan Majer
    L Re: Preklepy a chyby 3.10.2005 11:54 František Hucek
Tvorba certifikatu 5.10.2005 08:03 Petr Jakubec
L Re: Tvorba certifikatu 5.10.2005 12:23 Petr
  L Re: Tvorba certifikatu 6.10.2005 08:05 Petr Jakubec
    L Re: Tvorba certifikatu 6.10.2005 10:07 Ivan Majer
gFTP 19.10.2005 23:13 reivax
  L Re: gFTP 27.11.2005 21:10 Petr




Příspívat do diskuze mohou pouze registrovaní uživatelé.
> Vyhledávání software
> Vyhledávání článků

28.11.2018 23:56 /František Kučera
Prosincový sraz spolku OpenAlt se koná ve středu 5.12.2018 od 16:00 na adrese Zikova 1903/4, Praha 6. Tentokrát navštívíme organizaci CESNET. Na programu jsou dvě přednášky: Distribuované úložiště Ceph (Michal Strnad) a Plně šifrovaný disk na moderním systému (Ondřej Caletka). Následně se přesuneme do některé z nedalekých restaurací, kde budeme pokračovat v diskusi.
Komentářů: 1

12.11.2018 21:28 /Redakce Linuxsoft.cz
22. listopadu 2018 se koná v Praze na Karlově náměstí již pátý ročník konference s tématem Datová centra pro business, která nabídne odpovědi na aktuální a často řešené otázky: Jaké jsou aktuální trendy v oblasti datových center a jak je optimálně využít pro vlastní prospěch? Jak si zajistit odpovídající služby datových center? Podle jakých kritérií vybírat dodavatele služeb? Jak volit vhodné součásti infrastruktury při budování či rozšiřování vlastního datového centra? Jak efektivně datové centrum spravovat? Jak co nejlépe eliminovat možná rizika? apod. Příznivci LinuxSoftu mohou při registraci uplatnit kód LIN350, který jim přinese zvýhodněné vstupné s 50% slevou.
Přidat komentář

6.11.2018 2:04 /František Kučera
Říjnový pražský sraz spolku OpenAlt se koná v listopadu – již tento čtvrtek – 8. 11. 2018 od 18:00 v Radegastovně Perón (Stroupežnického 20, Praha 5). Tentokrát bez oficiální přednášky, ale zato s dobrým jídlem a pivem – volná diskuse na téma umění a technologie, IoT, CNC, svobodný software, hardware a další hračky.
Přidat komentář

4.10.2018 21:30 /Ondřej Čečák
LinuxDays 2018 již tento víkend, registrace je otevřená.
Přidat komentář

18.9.2018 23:30 /František Kučera
Zářijový pražský sraz spolku OpenAlt se koná již tento čtvrtek – 20. 9. 2018 od 18:00 v Radegastovně Perón (Stroupežnického 20, Praha 5). Tentokrát bez oficiální přednášky, ale zato s dobrým jídlem a pivem – volná diskuse na téma IoT, CNC, svobodný software, hardware a další hračky.
Přidat komentář

9.9.2018 14:15 /Redakce Linuxsoft.cz
20.9.2018 proběhne v pražském Kongresovém centru Vavruška konference Mobilní řešení pro business. Návštěvníci si vyslechnou mimo jiné přednášky na témata: Nejdůležitější aktuální trendy v oblasti mobilních technologií, správa a zabezpečení mobilních zařízení ve firmách, jak mobilně přistupovat k informačnímu systému firmy, kdy se vyplatí používat odolná mobilní zařízení nebo jak zabezpečit mobilní komunikaci.
Přidat komentář

12.8.2018 16:58 /František Kučera
Srpnový pražský sraz spolku OpenAlt se koná ve čtvrtek – 16. 8. 2018 od 19:00 v Kavárně Ideál (Sázavská 30, Praha), kde máme rezervovaný salonek. Tentokrát jsou tématem srazu databáze prezentaci svého projektu si pro nás připravil Standa Dzik. Dále bude prostor, abychom probrali nápady na využití IoT a sítě The Things Network, případně další témata.
Přidat komentář

16.7.2018 1:05 /František Kučera
Červencový pražský sraz spolku OpenAlt se koná již tento čtvrtek – 19. 7. 2018 od 18:00 v Kavárně Ideál (Sázavská 30, Praha), kde máme rezervovaný salonek. Tentokrát bude přednáška na téma: automatizační nástroj Ansible, kterou si připravil Martin Vicián.
Přidat komentář

   Více ...   Přidat zprávičku

> Poslední diskuze

31.7.2023 14:13 / Linda Graham
iPhone Services

30.11.2022 9:32 / Kyle McDermott
Hosting download unavailable

13.12.2018 10:57 / Jan Mareš
Re: zavináč

2.12.2018 23:56 / František Kučera
Sraz

5.10.2018 17:12 / Jakub Kuljovsky
Re: Jaký kurz a software by jste doporučili pro začínajcího kodéra?

Více ...

ISSN 1801-3805 | Provozovatel: Pavel Kysilka, IČ: 72868490 (2003-2024) | mail at linuxsoft dot cz | Design: www.megadesign.cz | Textová verze