Fórum Root.cz
Hlavní témata => Server => Téma založeno: Pedro 17. 11. 2011, 19:38:08
-
Zdravim vo spolok
Uz dost dlho si lamem hlavu s proftpd a s jeho podporou TLS/SSL
Proftpd som uz rozbehal a v pohode ked nezaskrtnem vo Tolali kniznice tls... tak sa prihlasim uplne bez problemov a vsetko ide ako ma ale kedze ma zaujima hlavne bezpecnost tak chcem aby mi to islo aj prihlasenie ftps pomocou TLS a to ked uz dam uz ma neprihlasi vyhodi nejaku chybu neviete kde mi nieco chyba alebo kde robim chybu?? posielam konfiguraky a postupoval som zhruba pomocou tohto navodu http://max.devaine.cz/proftpd-mysql
len to ze ja to mam aktivovane len na jedneho uzivatela co mi staci...
takze v /etc/proftpd/proftpd.conf
ServerName "ftp"
ServerType standalone
SocketBindTight off
Port 21
PassivePorts 40000 44000 samozrejme v nat ich mam presmerovane....
DefaultServer on
ShowSymlinks on
RequireValidShell no
DefaultRoot ~
Umask 002
User ftp
Group ftp
MaxInstances 4
TimeoutStalled 300
MaxClients 4
MaxLoginAttempts 2
DeferWelcome on
<Limit LOGIN>
AllowUser ftp
AllowUser ftp
AllowGroup ftp
DenyAll
</Limit>
<Anonymous /home/ftp >
User ftp
Group ftp
<Limit LOGIN>
AllowAll
</Limit>
RequireValidShell off
MaxClients 10
<Directory /home/ftp>
<Limit WRITE>
DenyAll
</Limit>
</Directory>
<Directory /home/ftp>
Umask 022 022
AllowOverwrite off
<Limit MKD STOR DELE XMKD RNEF RNTO RMD XRMD WRITE>
DenyAll
</Limit>
</Directory>
</Anonymous>
Include /etc/proftpd/tls.conf
/etc/proftpd/tls.conf
#
# Ukazkovy konfiguracni soubor Proftpd pro FTPS spojeni.
#
# Pozor, FTPS zavadi nekolik omezeni pri NAT traversi.
# Pro vice informaci se podivejte na :
# http://www.castaglia.org/proftpd/doc/contrib/ProFTPD-mini-HOWTO-TLS.html
#
<IfModule mod_tls.c>
### Povolit proftpd TLS/SSL :
TLSEngine on
### Soubor s logem pro vse ohledne tls spojeni :
TLSLog /var/log/proftpd/tls.log
### Typ protokolu - TLSv1, SSLv3, SSLv23(kompatibilita obou predchozich) :
TLSProtocol SSLv23
#
# Pokud chcete vygenerovat self-signed certifikat, pouzijte tento prikaz :
#
# openssl req -x509 -newkey rsa:1024 \
# -keyout /etc/proftpd/ssl/proftpd.key.pem -out /etc/proftpd/ssl/proftpd.cert.pem \
# -nodes -days 365
#
# Soubor proftpd.key.pem musi byt citelny pouze pro uzivatele root. Ostatni soubory mohou
# byt citelne pro kohokoli.
#
# chmod 0600 /etc/proftpd/ssl/proftpd.key.pem
# chmod 0640 /etc/proftpd/ssl/proftpd.cert.pem
#
### Cesty k certifikatum :
TLSRSACertificateFile /etc/proftpd/ssl/proftpd.cert.pem
TLSRSACertificateKeyFile /etc/proftpd/ssl/proftpd.key.pem
### Soubor s certifikatem certifikacni autority (CA) pro overovani klientu :
#TLSCACertificateFile /etc/ssl/certs/CA.pem
# cesta k crtifikatum pro overovani klientu pomoci CA :
#TLSCACertificatePath /etc/ssl/certs/
# cesta ke zrusenemu/neduveryhodnemu certifikatu :
#TLSCARevocationFile /etc/ssl/revocate/CA.pem
# cesta ke zrusenym/neduveryhodnym certifikatum :
#TLSCARevocationPath
### Neoverovat klientuv certifikat :
TLSOptions NoCertRequest
### Nedotazovat se na klientuv certifikat :
TLSVerifyClient off
### Vyzadovat TLS spojeni, pokud je off, klient se bude moci pripojit i nesifrovane :
TLSRequired off
### Presne nevim, ale myslim si, ze to je sprava docasnych certifikatu :
# spojeni se navaze s trvalym certifikatem a dalsi komunikace a prenos dat
# probiha s docasnym. Da se nastavit platnost docasneho v navaznosti na
# case prenosu, objemu prenesenych dat atd.
# Tuto fci rozhodne moc klientu nepodporuje, takze se asi ani moc nepouziva.
# Nastavit tak, aby nebylo nutny, ale jen pozadovany/dobrovolny :
#TLSRenegotiate required off
# Po 1 hodine :
#TLSRenegotiate ctrl 3600
# Po preneseni 500MiB dat :
#TLSRenegotiate data 512000
# Timeout :
#TLSRenegotiate timeout 300
# Veskere nastaveni v jedne directive :
#TLSRenegotiate ctrl 3600 data 512000 required off timeout 300
</IfModule>
za odpoved vopred dakujem.. Pouzivam debian
-
zkus přidat výpis z logu ...
-
a co dat do terminalu??
-
tail /var/log/proftpd/tls.log -n15
-
serverik:/home/pedro# tail /var/log/proftpd/tls.log -n15
nov 13 10:28:14 mod_tls/2.1.2[3133]: using default OpenSSL verification locations (see $SSL_CERT_DIR environment variable)
nov 13 10:28:36 mod_tls/2.1.2[3134]: using default OpenSSL verification locations (see $SSL_CERT_DIR environment variable)
-
No jestli je tohle úplnej výpis, tak netušim kde je chyba. Zkus projet ještě ostatní související logy.
-
ano je to uplny vypis, a kotre mas na mysli??? co mam este prebehnut??? uz somskusal vela navodou a vzdy som zamrzol pri tom ze mi slo len ftp a ked so mto chcel riesit cez gadmina tak ten zas ma vytaca ze mi hodi staru verziu a new verziu nejde mi nainstalovat bo mi nejde jeden balik ktory nanho potrebujem nahodit pak mi drbne celemu debianu a vypise ze chyba vistualnej pamate nedostatok... co nechapem bo vsade je volne miesto a swap dist ide tiez vp ohdoe tka nechapem vsetko fakci ale jeden balik ked dam instalovat tak pas...
aj tu som to riesil...
http://forum.ubuntu.cz/index.php?topic=59518.msg425392#msg425392
a tiez nikto nic...
ten moj server ma uz dost vytaca..:((
-
hmm neviete niekto poradit ?? alebo mi poslat svoje konfiguraky a podla toho si to nejako nastavim hmm??
-
Skus zvysit debug level (prepinac -d)
-
myslis update?? (prepinac -d) ??
co napsiat do terminalu??
-
Jen takový tip. ProFTPD jsem používal několik let, bohužel u posledních verzí mi nechodilo přihlašování pomocí mysql. Po dlouhém trápení, kompilaci ze zdrojáků nakonec přechod na PureFTP.
-
myslis update?? (prepinac -d) ??
man proftpd
-
Jen takový tip. ProFTPD jsem používal několik let, bohužel u posledních verzí mi nechodilo přihlašování pomocí mysql. Po dlouhém trápení, kompilaci ze zdrojáků nakonec přechod na PureFTP.
a je tazke ten pure nahodit co myslsi oproti protftpd?? mas nejaky dobry navod???
-
myslis update?? (prepinac -d) ??
man proftpd
pockaj troska so msa stratil supol som to tam mi to presne ukazalo ze debag zvysim -d a to som tam drbol a nic sa nestalo...
ci nespoznam to??
som dal man proftpd
pak ukazlao ten zoznam tam dal -d a enter a ak zmizol ako klasicky ale asi zly postup vies ma opravit??