Zdravim vo spolok
Uz dost dlho si lamem hlavu s proftpd a s jeho podporou TLS/SSL
Proftpd som uz rozbehal a v pohode ked nezaskrtnem vo Tolali kniznice tls... tak sa prihlasim uplne bez problemov a vsetko ide ako ma ale kedze ma zaujima hlavne bezpecnost tak chcem aby mi to islo aj prihlasenie ftps pomocou TLS a to ked uz dam uz ma neprihlasi vyhodi nejaku chybu neviete kde mi nieco chyba alebo kde robim chybu?? posielam konfiguraky a postupoval som zhruba pomocou tohto navodu
http://max.devaine.cz/proftpd-mysqllen to ze ja to mam aktivovane len na jedneho uzivatela co mi staci...
takze v /etc/proftpd/proftpd.conf
ServerName "ftp"
ServerType standalone
SocketBindTight off
Port 21
PassivePorts 40000 44000 samozrejme v nat ich mam presmerovane....
DefaultServer on
ShowSymlinks on
RequireValidShell no
DefaultRoot ~
Umask 002
User ftp
Group ftp
MaxInstances 4
TimeoutStalled 300
MaxClients 4
MaxLoginAttempts 2
DeferWelcome on
<Limit LOGIN>
AllowUser ftp
AllowUser ftp
AllowGroup ftp
DenyAll
</Limit>
<Anonymous /home/ftp >
User ftp
Group ftp
<Limit LOGIN>
AllowAll
</Limit>
RequireValidShell off
MaxClients 10
<Directory /home/ftp>
<Limit WRITE>
DenyAll
</Limit>
</Directory>
<Directory /home/ftp>
Umask 022 022
AllowOverwrite off
<Limit MKD STOR DELE XMKD RNEF RNTO RMD XRMD WRITE>
DenyAll
</Limit>
</Directory>
</Anonymous>
Include /etc/proftpd/tls.conf
/etc/proftpd/tls.conf
#
# Ukazkovy konfiguracni soubor Proftpd pro FTPS spojeni.
#
# Pozor, FTPS zavadi nekolik omezeni pri NAT traversi.
# Pro vice informaci se podivejte na :
# http://www.castaglia.org/proftpd/doc/contrib/ProFTPD-mini-HOWTO-TLS.html
#
<IfModule mod_tls.c>
### Povolit proftpd TLS/SSL :
TLSEngine on
### Soubor s logem pro vse ohledne tls spojeni :
TLSLog /var/log/proftpd/tls.log
### Typ protokolu - TLSv1, SSLv3, SSLv23(kompatibilita obou predchozich) :
TLSProtocol SSLv23
#
# Pokud chcete vygenerovat self-signed certifikat, pouzijte tento prikaz :
#
# openssl req -x509 -newkey rsa:1024 \
# -keyout /etc/proftpd/ssl/proftpd.key.pem -out /etc/proftpd/ssl/proftpd.cert.pem \
# -nodes -days 365
#
# Soubor proftpd.key.pem musi byt citelny pouze pro uzivatele root. Ostatni soubory mohou
# byt citelne pro kohokoli.
#
# chmod 0600 /etc/proftpd/ssl/proftpd.key.pem
# chmod 0640 /etc/proftpd/ssl/proftpd.cert.pem
#
### Cesty k certifikatum :
TLSRSACertificateFile /etc/proftpd/ssl/proftpd.cert.pem
TLSRSACertificateKeyFile /etc/proftpd/ssl/proftpd.key.pem
### Soubor s certifikatem certifikacni autority (CA) pro overovani klientu :
#TLSCACertificateFile /etc/ssl/certs/CA.pem
# cesta k crtifikatum pro overovani klientu pomoci CA :
#TLSCACertificatePath /etc/ssl/certs/
# cesta ke zrusenemu/neduveryhodnemu certifikatu :
#TLSCARevocationFile /etc/ssl/revocate/CA.pem
# cesta ke zrusenym/neduveryhodnym certifikatum :
#TLSCARevocationPath
### Neoverovat klientuv certifikat :
TLSOptions NoCertRequest
### Nedotazovat se na klientuv certifikat :
TLSVerifyClient off
### Vyzadovat TLS spojeni, pokud je off, klient se bude moci pripojit i nesifrovane :
TLSRequired off
### Presne nevim, ale myslim si, ze to je sprava docasnych certifikatu :
# spojeni se navaze s trvalym certifikatem a dalsi komunikace a prenos dat
# probiha s docasnym. Da se nastavit platnost docasneho v navaznosti na
# case prenosu, objemu prenesenych dat atd.
# Tuto fci rozhodne moc klientu nepodporuje, takze se asi ani moc nepouziva.
# Nastavit tak, aby nebylo nutny, ale jen pozadovany/dobrovolny :
#TLSRenegotiate required off
# Po 1 hodine :
#TLSRenegotiate ctrl 3600
# Po preneseni 500MiB dat :
#TLSRenegotiate data 512000
# Timeout :
#TLSRenegotiate timeout 300
# Veskere nastaveni v jedne directive :
#TLSRenegotiate ctrl 3600 data 512000 required off timeout 300
</IfModule>
za odpoved vopred dakujem.. Pouzivam debian