| View previous topic :: View next topic |
| Author |
Message |
X-Drum
Advocate
Joined: 24 Aug 2003
Posts: 2517
Location: ('Modica','Trieste','Ferrara') Italy
|
 Posted: Wed Jun 02, 2004 8:49 pm Post subject: |
 |
|
[Aggiornamento]
Dopo aver testato:
-Openssh:
il "classico" ottimo sistema che purtroppo "cosi com'è" da accesso ,ad un utente remoto, a tutto il sistema....
-Pure-ftpd+SSL/TLS:
ottimo ma mi da alcuni problemi con il NAT buggato del mio router, infatti in locale funziona tutto ma talvolta ho grossi problemi quando un client si connette, la modalita PASV non risolve
-Scponly: buon sistema (grazie fonderia), compatibilissimo con putty/winscp
ma ho qualche problema con l'accesso openssh sotto linux.
per il mio scopo la soluzione migliore risulta essere:
Openssh + jail, ovvero utilizzare Openssh normalmente, ma chrootare gli utenti in un "sistema" costruito ad-hoc tramite jail un insieme di utility che semplicano notevolmente tale processo.
allo stato attuale infatti il sistema "fittizio" a cui posso accedere gli utenti (ovviamente chrootati) è minimo e consente solo di eseguire pochi comandi:
scp,sftp,ssh,ls,cp,ecc..
_________________
"...There are two sort of lies, lies and benchmarks..." |
|
| Back to top |
|
 |
flocchini
Veteran
Joined: 17 May 2003
Posts: 1124
Location: Milano, Italy
|
| Posted: Wed Jun 02, 2004 9:12 pm Post subject: |
|
|
chiedo venia, mi ero perso il "Y 2", io avevo attivato con
TLSEngine on
TLSRequired on
TLSRSACertificateFile /etc/ssl/private/ftpd-rsa.pem
TLSRSACertificateKeyFile /etc/ssl/private/ftpd-rsa-key.pem
come suggeriva bld qui
Come faccio a essere certo che il criptaggio ssl sia attivato? Quando mi connetto con IglooFTP pro mi spara un bel "unable to encrypt file transfer" mentre da coreftp-lite (win) non so come stabilire se la connessione ssl protetta sia attiva?
Il nat per me non e' stato un problema, mi era bastato limitare le porte usate x i pasv e forwardarle direttamente sul router.
_________________
~~ Per amore della rosa si sopportano le spine... ~~ |
|
| Back to top |
|
|
X-Drum
Advocate
Joined: 24 Aug 2003
Posts: 2517
Location: ('Modica','Trieste','Ferrara') Italy
|
| Posted: Wed Jun 02, 2004 9:27 pm Post subject: |
|
|
sicuramente hai un router mol to piu' recente/decente del mio....
a me ha dato una marea di problemi, ho provato di tutto ma il DMZ non lo metto su manco morto quindi....via cambiato soluzione  1 porta 1 servizio!
io generavo il certificato self-signed ssl come nella documentazione di pureftd,
e il pessimo igloo-ftp operava tranquillamente notificando che la cifratura era attiva no nsaprei cosa dirti
_________________
"...There are two sort of lies, lies and benchmarks..." |
|
| Back to top |
|
|
flocchini
Veteran
Joined: 17 May 2003
Posts: 1124
Location: Milano, Italy
|
| Posted: Wed Jun 02, 2004 10:14 pm Post subject: |
|
|
entrando con smartftp
(win) e' chiaro dal log che mentre con pro-ftpd riesco ad ottenere una connessione ssl anche sui trasferimenti, con pure-ftpd vengono criptati solo i comandi... Mi piacerebbe sapere che client hai provato che pure-ftpd cripti tutto, anche solo uno stralcio di log, cosi' magari riesco a sistemare sta cosa, pure-ftpd e' sicuramente piu' comodo a mio avviso, e' un peccato non usarlo.
attualmente il mio file di conf e'
| Code: |
IS_CONFIGURED="yes"
SERVER="-S 192.168.0.12,31000"
## Number of simultaneous connections in total, and per ip ##
MAX_CONN="-c 10"
MAX_CONN_IP="-C 10"
## Start daemonized in background ##
DAEMON="-B"
## Don't allow uploads if the partition is more full then this var ##
DISK_FULL="-k 90%"
## If your FTP server is behind a NAT box, uncomment this ##
#USE_NAT="-N"
## Authentication (others are 'pam', ...)##
## Further infos in the README file.
AUTH="-l puredb:/etc/pureftpd.pdb"
## Change the maximum idle time. (in minutes. default 15)
TIMEOUT="-I 5"
## Use that facility for syslog logging. It defaults to 'ftp'
## Logging can be disabled with '-f none' .
LOG="-f facility"
## Misc. Others ##
#
MISC_OTHER="-Y 2 -p 65000:65005 -A -x -j -E -R -F /etc/FTP-MOTD -O clf:/var/log/pureftpd.log" |
ho gia' seminato post un po' ovunque ma non ho mai avuto una risposta definitiva... non abbandonarmi anche tu 
_________________
~~ Per amore della rosa si sopportano le spine... ~~ |
|
| Back to top |
|
|
bld
l33t
Joined: 26 Mar 2003
Posts: 759
Location: Outter Space
|
| Posted: Thu Jun 03, 2004 12:33 am Post subject: |
|
|
| flocchini wrote: |
Come faccio a essere certo che il criptaggio ssl sia attivato?
|
Ti passo un paper, una storiella molto divertente!! Ti sara di aiuto sul come capire se una conessione e' crittata -> qui
per chroot-are openssh ci sono molti guide da quel che ho visto su google. Non posso indicarti una specifica perche non ho mai provato ad aplicarla, ma ce un progetto anche su sourceforge che tratta questo tema, pare sia una patch per openssh.
ciao
_________________
A happy GNU/Linux user!! |
|
| Back to top |
|
|
X-Drum
Advocate
Joined: 24 Aug 2003
Posts: 2517
Location: ('Modica','Trieste','Ferrara') Italy
|
| Posted: Thu Jun 03, 2004 7:09 am Post subject: |
|
|
@flocchini:
ciao ecco uno stralcio del log di pureftpd (ho aumentato il livello di verbosità ) spero che ti sia utile,
mi rendo conto che non è molto...la configurazione del server la conosci già il client è lftp (lo user zuglio )
| Code: | Jun 3 09:01:58 Thunder pure-ftpd: (?@192.168.254.101) [INFO] New connection from 192.168.254.101
Jun 3 09:01:58 Thunder pure-ftpd: (?@192.168.254.101) [DEBUG] Command [auth] [TLS]
Jun 3 09:01:58 Thunder pure-ftpd: (?@192.168.254.101) [INFO] SSL/TLS: Enabled TLSv1/SSLv3 with AES256-SHA, 256 secret bits cipher
Jun 3 09:01:58 Thunder pure-ftpd: (?@192.168.254.101) [DEBUG] Command [user] [zuglio]
Jun 3 09:01:58 Thunder pure-ftpd: (?@192.168.254.101) [DEBUG] Command [pass] [<*>]
Jun 3 09:01:58 Thunder pure-ftpd: (?@192.168.254.101) [INFO] zuglio is now logged in
Jun 3 09:01:58 Thunder pure-ftpd: (zuglio@192.168.254.101) [DEBUG] Command [pwd] []
Jun 3 09:01:58 Thunder pure-ftpd: (zuglio@192.168.254.101) [DEBUG] Command [pbsz] [0]
Jun 3 09:01:58 Thunder pure-ftpd: (zuglio@192.168.254.101) [DEBUG] Command [prot] [P]
Jun 3 09:01:58 Thunder pure-ftpd: (zuglio@192.168.254.101) [DEBUG] Command [pret] [LIST ]
Jun 3 09:01:58 Thunder pure-ftpd: (zuglio@192.168.254.101) [DEBUG] Command [pasv] []
Jun 3 09:01:58 Thunder pure-ftpd: (zuglio@192.168.254.101) [DEBUG] Command [list] []
Jun 3 09:02:03 Thunder pure-ftpd: (zuglio@192.168.254.101) [DEBUG] Command [type] [I]
Jun 3 09:02:03 Thunder pure-ftpd: (zuglio@192.168.254.101) [DEBUG] Command [pasv] []
Jun 3 09:02:03 Thunder pure-ftpd: (zuglio@192.168.254.101) [DEBUG] Command [stor] [url.txt]
Jun 3 09:02:03 Thunder pure-ftpd: (zuglio@192.168.254.101) [NOTICE] /home/ftp//url.txt uploaded (42 bytes, 45.47KB/sec)
Jun 3 09:02:08 Thunder pure-ftpd: (zuglio@192.168.254.101) [DEBUG] Command [prot] [P]
Jun 3 09:02:08 Thunder pure-ftpd: (zuglio@192.168.254.101) [DEBUG] Command [type] [A]
Jun 3 09:02:08 Thunder pure-ftpd: (zuglio@192.168.254.101) [DEBUG] Command [pasv] []
Jun 3 09:02:08 Thunder pure-ftpd: (zuglio@192.168.254.101) [DEBUG] Command [list] []
Jun 3 09:02:09 Thunder pure-ftpd: (zuglio@192.168.254.101) [DEBUG] Command [type] [I]
Jun 3 09:02:09 Thunder pure-ftpd: (zuglio@192.168.254.101) [DEBUG] Command [size] [url.txt]
Jun 3 09:02:09 Thunder pure-ftpd: (zuglio@192.168.254.101) [DEBUG] Command [mdtm] [url.txt]
Jun 3 09:02:09 Thunder pure-ftpd: (zuglio@192.168.254.101) [DEBUG] Command [pasv] []
Jun 3 09:02:09 Thunder pure-ftpd: (zuglio@192.168.254.101) [DEBUG] Command [retr] [url.txt]
Jun 3 09:02:09 Thunder pure-ftpd: (zuglio@192.168.254.101) [NOTICE] /home/ftp//url.txt downloaded (42 bytes, 350.82KB/sec)
Jun 3 09:02:10 Thunder pure-ftpd: (zuglio@192.168.254.101) [DEBUG] Command [quit] []
Jun 3 09:02:10 Thunder pure-ftpd: (zuglio@192.168.254.101) [INFO] Logout. |
@bld:
carina la storiella eheheh molto corretto da parte sua aver avvisato
chi di dovere!
_________________
"...There are two sort of lies, lies and benchmarks..." |
|
| Back to top |
|
|
flocchini
Veteran
Joined: 17 May 2003
Posts: 1124
Location: Milano, Italy
|
| Posted: Thu Jun 03, 2004 12:17 pm Post subject: |
|
|
Dunque: 
| Code: | Jun 3 13:54:45 flocgentoo pure-ftpd: (?@flocgentoo.rccsys.net) [INFO] New connection from flocgentoo.rccsys.net
Jun 3 13:54:45 flocgentoo pure-ftpd: (?@flocgentoo.rccsys.net) [ERROR] Can't open /etc/FTP-MOTD
Jun 3 13:54:45 flocgentoo pure-ftpd: (?@flocgentoo.rccsys.net) [DEBUG] Command [auth] [TLS]
Jun 3 13:54:45 flocgentoo pure-ftpd: (?@flocgentoo.rccsys.net) [INFO] SSL/TLS: Enabled TLSv1/SSLv3 with AES
256-SHA, 256 secret bits cipher
Jun 3 13:54:45 flocgentoo pure-ftpd: (?@flocgentoo.rccsys.net) [DEBUG] Command [user] [daninni82]
Jun 3 13:54:45 flocgentoo pure-ftpd: (?@flocgentoo.rccsys.net) [DEBUG] Command [pass] [<*>]
Jun 3 13:54:45 flocgentoo pure-ftpd: (?@flocgentoo.rccsys.net) [INFO] daninni82 is now logged in
Jun 3 13:54:45 flocgentoo pure-ftpd: (daninni82@flocgentoo.rccsys.net) [DEBUG] Command [pwd] []
Jun 3 13:54:45 flocgentoo pure-ftpd: (daninni82@flocgentoo.rccsys.net) [DEBUG] Command [pbsz] [0]
Jun 3 13:54:45 flocgentoo pure-ftpd: (daninni82@flocgentoo.rccsys.net) [DEBUG] Command [prot] [P]
Jun 3 13:54:45 flocgentoo pure-ftpd: (daninni82@flocgentoo.rccsys.net) [DEBUG] Command [pret] [LIST ]
Jun 3 13:54:45 flocgentoo pure-ftpd: (daninni82@flocgentoo.rccsys.net) [DEBUG] Command [pasv] []
Jun 3 13:54:45 flocgentoo pure-ftpd: (daninni82@flocgentoo.rccsys.net) [DEBUG] Command [list] []
Jun 3 13:54:51 flocgentoo pure-ftpd: (daninni82@flocgentoo.rccsys.net) [DEBUG] Command [type] [I]
Jun 3 13:54:51 flocgentoo pure-ftpd: (daninni82@flocgentoo.rccsys.net) [DEBUG] Command [size] [[Linux] Red Hat 9.0 shrike-i386-disc1.iso]
Jun 3 13:54:51 flocgentoo pure-ftpd: (daninni82@flocgentoo.rccsys.net) [DEBUG] Command [mdtm] [[Linux] Red Hat 9.0 shrike-i386-disc1.iso]
Jun 3 13:54:51 flocgentoo pure-ftpd: (daninni82@flocgentoo.rccsys.net) [DEBUG] Command [pasv] []
Jun 3 13:54:51 flocgentoo pure-ftpd: (daninni82@flocgentoo.rccsys.net) [DEBUG] Command [retr] [[Linux] Red Hat 9.0 shrike-i386-disc1.iso]
Jun 3 13:54:51 flocgentoo pure-ftpd: (daninni82@flocgentoo.rccsys.net) [NOTICE] /data/1/ftpusers/daninni82//[Linux] Red Hat 9.0 shrike-i386-disc1.iso downloaded (16777216 bytes, 58660.32KB/sec)
Jun 3 13:55:04 flocgentoo pure-ftpd: (daninni82@flocgentoo.rccsys.net) [DEBUG] Command [quit] []
Jun 3 13:55:04 flocgentoo pure-ftpd: (daninni82@flocgentoo.rccsys.net) [INFO] Logout.
|
uguale al tuo, quindi cappellate *non dovrei* averne fatte.
A questo punto pero' ho notato che (sempre da lftp) quando mi connetto a pro-ftpd mi viene fuori accanto al trasferimento "[Receiving data/TLS]" mentre se mi connetto a pure-ftpd no.
Quindi giungo alla conclusione che come temevo pure-ftpd sia solo in grado di criptare via ssl i comandi, lasciando in chiaro il trasferimento dati mentre proftpd cripta anche questi ultimi. Naturalmente e' bene accetta qualsiasi tipo di smentita
_________________
~~ Per amore della rosa si sopportano le spine... ~~ |
|
| Back to top |
|
|
flocchini
Veteran
Joined: 17 May 2003
Posts: 1124
Location: Milano, Italy
|
| Posted: Thu Jun 03, 2004 2:17 pm Post subject: |
|
|
In effetti mi rendo conto che piuttosto che fare tutto sto casino era + semplice leggere attentamente ilreadme.tls della documentazione ufficiale...
| Documentazione ufficiale wrote: | ------------------------ SSL/TLS SUPPORT ------------------------
Starting with version 1.0.16, Pure-FTPd has experimental support for
encryption of the control channel using SSL/TLS security mechanisms.
When this extra security layer is enabled, login and passwords are no more
sent cleartext. Neither are other commands sent by your client nor replies
made by the server.
However, the data channel is not affected by SSL/TLS. This combination
brings no significant decrease of performance and the FXP protocol keeps
working even when mixing SSL/TLS-enabled and non SSL/TLS-enabled servers. |
Per me il criptaggio dei dati solosul canale di controllo non e' sufficiente, quindi me ne torno mesto mesto sul mio proftpd, un po' piu' incasinato da configurare ma piu' adatto per le mie esigenze. Grazie comunque per la vostra disponibilita'
_________________
~~ Per amore della rosa si sopportano le spine... ~~ |
|
| Back to top |
|
|
federico
Advocate
Joined: 18 Feb 2003
Posts: 3272
Location: Italy, Milano
|
| Posted: Thu Jun 03, 2004 2:28 pm Post subject: |
|
|
Ma a parita' di trasferimento, un sistema fatto con ssh+scponly per il trasferimento dei file su connessione criptata e uno fatto con proftpd+ssl, hanno velocita' uguale?
_________________
Sideralis www.sideralis.org
Pic http://blackman.amicofigo.com/gallery
Arduino http://www.arduino.cc
Chi aveva potuto aveva spaccato
2000 pezzi buttati là
Molti saluti,qualche domanda
Semplice come musica punk |
|
| Back to top |
|
|
FonderiaDigitale
Veteran
Joined: 06 Nov 2003
Posts: 1710
Location: Rome, Italy
|
| Posted: Thu Jun 03, 2004 8:24 pm Post subject: |
|
|
come sicuramente avrai pensato, in linea di massima, ssh e' piu lento perche aggiunge piu traffico di controllo.
_________________
Come disse un amico, i sistemisti sono un po' come gli artigiani per l'informatica
|
|
| Back to top |
|
|
bld
l33t
Joined: 26 Mar 2003
Posts: 759
Location: Outter Space
|
| Posted: Fri Jun 04, 2004 1:14 am Post subject: |
|
|
| federico wrote: | | Ma a parita' di trasferimento, un sistema fatto con ssh+scponly per il trasferimento dei file su connessione criptata e uno fatto con proftpd+ssl, hanno velocita' uguale? |
i test da me fatti dicono nettamente di "si"
_________________
A happy GNU/Linux user!! |
|
| Back to top |
|
|
bld
l33t
Joined: 26 Mar 2003
Posts: 759
Location: Outter Space
|
| Posted: Fri Jun 04, 2004 1:17 am Post subject: |
|
|
| flocchini wrote: | In effetti mi rendo conto che piuttosto che fare tutto sto casino era + semplice leggere attentamente ilreadme.tls della documentazione ufficiale...
mesto mesto sul mio proftpd, un po' piu' incasinato da configurare ma piu' adatto per le mie esigenze. Grazie comunque per la vostra disponibilita' |
Ma non e' vero che e' difficile da configurare! Io ho dato un occhiata su /usr/share/doc/proftpd/ ed ho trovate quasi tutto. La documentazione e' in parte incompleta, ma ho trovato veramente tutto quello che mi verviva  .
ps. Per la storiela si.. lui ha fatto sapere a chi di dovere.. ma da quel che dice aveva altri precedenti negativi, cmq la storia e' proprio bella ehehehe non pensavo esistesse gente cosi matta
_________________
A happy GNU/Linux user!! |
|
| Back to top |
|
|
flocchini
Veteran
Joined: 17 May 2003
Posts: 1124
Location: Milano, Italy
|
| Posted: Fri Jun 04, 2004 10:18 am Post subject: |
|
|
Beh "difficile" in senso assoluto no, diciamo "+ difficile" di pure-ftpd, sono comunque riuscito a configurarlo correttamente
La storiella era assolutamente fantastica
_________________
~~ Per amore della rosa si sopportano le spine... ~~ |
|
| Back to top |
|
|
federico
Advocate
Joined: 18 Feb 2003
Posts: 3272
Location: Italy, Milano
|
| Posted: Fri Jun 04, 2004 11:34 am Post subject: |
|
|
A scopo informativo ho preparato un "ftp" in sftp e vi ho fatto accedere un amico tramite un tunnel ssh in port forwarding, la trasmissione dei dati quindi passava tra due criptazioni ssh. La velocita' era ottima (la massima consentita dalla banda)
_________________
Sideralis www.sideralis.org
Pic http://blackman.amicofigo.com/gallery
Arduino http://www.arduino.cc
Chi aveva potuto aveva spaccato
2000 pezzi buttati là
Molti saluti,qualche domanda
Semplice come musica punk |
|
| Back to top |
|
|
|
Forum italiano (Italian) 
