mod_tls - für die, die es interessiert... INFO/ FTP via TLS

[Lucy]

sehr oft wurde hier das thema mod_tls angesprochen und es hat mich doch schon irgendwie viel mühe, nerven und zeit gekostet, hier zu einem zufriedenstellenden ergebnis zu kommen, das wirklich funktioniert.

vorraussetzungen dürften klar sein, ... (mod_tls etc.)

schritt 1:
erzeugen der schlüsselpaare incl. selfsigned trusted authority CA

Code:

1. openssl genrsa -des3 -out MyCA.key 2048
2. openssl req -new -x509 -days 365 -key MyCA.key -out MyCA.cert
3. openssl genrsa -out MyFTP.key 1024
4. openssl req -new -key MyFTP.key -out MyFTP.csr
5. openssl x509 -req -in MyFTP.csr -out MyFTP.cert -CA MyCA.cert -CAkey MyCA.key -CAcreateserial -days 365

Kurz-Erklärung
die schlüssel werden im aktuellen verzeichnis erstellt, also nachher in der proftpd.conf berücksichtigen ...

im/nach schritt 2. werdet ihr dazu aufgefordert die zertifikatsdaten einzutragen, also Ländercode DE, State Germany usw.
dies ist dann Eure self signed Trusted Authority, empfehle also dann z.B. bei Unit z.b. "mein Trust-Center" einzutragen ... dann seht ihr später auch das dieses Zertifikat >>issued by "mein Trust-Center"<< ist ...

im Schritt 5. erstellt ihr euch dann zu guterletzt mit hilfe des CA key
euer "eigentliches" Serverzertifikat, sprich mein "ftp.server.com"

bei unit tragt ihr dann z.b. "mein FTP-Server" ein ... dann seht ihr später auch das dieses Zertifikat >>issued to "mein FTP Server ist"<< ist ...

welches ja gegen die CA gegengeprüft wird ... schade das es selfsigned ist ... aber alles andere kostet ja auch richtig kohle ^^ aber für den heimgebrauch OK !

in der proftpd.conf folgendes eintragen:

Code:

TLSEngine on
TLSLog /var/log/tls.log
TLSProtocol TLSv1

# Are clients required to use FTP over TLS when talking to this server?
TLSRequired on
# (setzt voraus das die User einen SSL fähigen client haben, besser off)

# Server's certificate
TLSRSACertificateFile /wo/das/Zertifikat/halt/liegt    MyFTP.cert
TLSRSACertificateKeyFile /wo/das/Zertifikat/halt/liegt    MyFTP.key

# CA the server trusts
TLSCACertificateFile /wo/das/Zertifikat/halt/liegt    MyCA.cert

# Authenticate clients that want to use FTP over TLS?
TLSVerifyClient off
(besser ist sonst kommt da kaum nen client rauf)

ich verstehe bzw. steige da zwar immer noch nicht ganz voll durch ... aber nen bissle hab isch des nun endlich kapiert ...

na dann, aufi aufi    ... bei mir klappts super ...

und viel spass beim probieren ...

[Wörsty]

Hab das ja auch schon am Laufen gehabt aber was für'n grafischen Windows-Client soll man da denn bloß nehmen?  :??

[Wörsty]

Und: Wie gebe ich bei RedHat's sftp einen Port an?

[Lucy]

... als grafischen windows ftp client hab ich es bisher nur ernsthaft mit WS_FTP_PRO probiert und es klapt hervorrragend.
smart FTP sollte glaub ich auch klappen ... und generell sollten alle ftp clienten funzen , die ftp via SSL/TLS machen können und an an einen solchen server rankommen.

hmmm was ist redhats sftp ?
auch was grafisches?

ich weiss nur das es einen unterschied zwischen sftp und ftps gibt ...
das sollte man nicht verwechseln.
das was proftp mit mod_tls unterstützt ist glaub ich ftps.

sftp ist wohl dann mehr sowas wie mit secure copy, das kennste bestimmt oder? ...

scp /etc/meine_datei root@mein.server.de:/etc/hier_solls_her
(hat für meinen geschmack nicht wirklich mehr was mit dem unseren verständnis bekannten ftp zu tun ... )
und das ist ein sftp quasi ... und benutzt standardmässig port 22 wie ssh

das haben dann halt einige entwickler grafisch unter linux und windows umgesetzt (sftp clienten) ... ich hatte mich da auch mal rangewagt, und den shaolinftp probiert der sftp macht ... ist aber etwas umständlich unter windows zu händeln und des kannste eigentlich keinem normalen user anbieten ^^ ...

sagt dir cygwin etwas? ... wenn ja ... sowas musste dann halt auch installen ...und und und ...(zumindest bei shaolinsftp)
du kannst mal bei google nach winscp suchen ...
das ist glaub ich nen guter sftp client für windows ...
wenns dich interessiert findet man da ne ganze masse zu ... ist aber was ganz anderes als ftps ...

http://download.freenet.de/archiv_w/winscp_5076.html
http://winscp.vse.cz/eng/



P.S. probiere gerade smartftp (nicht comerziell genutzt ist der freeware) ...
da gibts etwas probleme ... sehe ich gerade ...aber das sind bestimmt nur einstellungsfragen beim clienten ...*hoffundbet* ...
also ich komme schoooon drauf mit smartftp via tls auf den server, d.h. zertifikatstechnisch klappt des scheinbar ...
aber es gibt irgendein port problem .... , nicht das der den verschlüsselt ausgehandelten dataport nicht entschlüsseln konnte ... dann hat das doch was mit den zertifikaten zu tun ...GG )...

naja ich hab auch gelesen das sich einige clients ehh schwer tun mit ssl/tls , selbst wenn sie das optional anbieten ...
naja man kann nicht alles haben ...

[Wörsty]

Ich hab's rausbekommen  :?
sftp geht dann nicht über proftpd...
Wenn ich meine Unix-Benutzerdaten eingebe geht's.

Code:

++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++
+ Willkommen auf dem NextiraOne Knowledge Base Server -  Unerlaubter Zugriff verboten! +
++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++
[root@knowledgebase root]# sftp root@knowledgebase.de.nx1
Connecting to knowledgebase.de.nx1...
The authenticity of host 'knowledgebase.de.nx1 (10.138.131.xx)' can't be established.
RSA key fingerprint is 06:fd:80:d4:fa:15:4f:2f:a7:87:6f:97:87:xx:xx:xx.
Are you sure you want to continue connecting (yes/no)? yes
Warning: Permanently added 'knowledgebase.de.nx1' (RSA) to the list of known hosts.
NextiraOne Germany -  Knowledge Base Server

Server          : COMPAQ Proliant ML370
RAM-Speicher    : 640 MB
HDD-Speicher    : 5x 36,4 GB Raid 5 (Ultra 3 SCSI) = 120 GB
Betriebssystem  : RedHat Linux 8.0
IP-Adresse      : 10.138.131.75 und 10.138.131.76
Hostname        : BER06075.de.nx1
Netzwerkkarte   : 3Com Corporation 3c985 1000BaseSX (PCI2 Slot 3 64Bit)
MAC-Adresse     : 00:60:08:F6:xx:xx und 00:02:A5:87:xx:xx
Ansprechpartner : Christian.Woerstenfeld@nextiraone.de
Server-Standort : Alcatel Berlin - Bau xx x.OG Raum x

           Versionen
Apache          : 1.3.27
PHP             : 4.3.1
MySql           : 3.23.56-1.80
ProFTP          : 1.2.9CVS

- Unerlaubter Zugriff verboten! -
root@knowledgebase.de.nx1's password:
sftp> ls
drwxr-x---    6 root     root         4096 Jul  4 10:20 .
drwxr-xr-x   33 root     root         4096 Jul  3 18:26 ..
-rw-r--r--    1 root     root         8085 Feb 21 10:50 install.log
-rw-r--r--    1 root     root            0 Feb 21 10:45 install.log.syslog
-rw-r--r--    1 root     root           24 Jun 10  2000 .bash_logout
-rw-r--r--    1 root     root         1126 Aug 23  1995 .Xresources
-rw-r--r--    1 root     root         1648 Feb 21 10:52 anaconda-ks.cfg
-rw-r--r--    1 root     root          234 Jul  5  2001 .bash_profile
-rw-r--r--    1 root     root          176 Aug 23  1995 .bashrc          
...

WS_FTP ist keine Freeware...
Bleibt die Frage nach einem guten Freeware Client.

[Lucy]

ja wörsty , das meinte ich doch ...
sftp hat nichts mit ftps zu tun also auch nicht mit proftp ...

........
ich habe es mit smartftp nun auch hinbekommen ... es funzt prima ...und war tatsächlich eine einstellungssache ...

dieser smartftp client iss nen klasse teil ...kann ich wirklich empfehlen ... und den kannste klasse konfigurieren (war übrigens mein problem ^^)...

der hatte quasi nach dem erfolgreichen login ein List -aL abgesetzt ...da kam der server anundfürsich nicht mit klar
muss ich mir nochmal die sache mit den regular expressions im path deny filter anguggen der da greift in der proftpd.conf ...
 ... thats it ...

also iss nen hammer ftpclient der smartftp !!! ...

ja und ws_ftp isst leider weder free noch shareware ...


so long

[TL]

grafische Clients unter Win32:

FlashFXP
SmartFTP
oder nen beliebigen FTP client zusammen mit TLSWrap (ist ne art proxy das dem client gegenüber wie nen ftp server aussieht, dem server wie nen client und die ganze TLS/SSL geschichte managt)

[karl]

danke für die anleitung mit dem TLS/SSL  
werden damit die übertragenen daten oder die anmeldedaten verschlüsselt ?... wie bekommt man sowas raus?
eigentlich ist doch beides wichtig !

warum kann der smartftp eigentlich zertifikate erstellen ? ist doch ein client und kein server........ hab das mal probiert aber nutzen von dem zertifikat hatte ich nicht... ist auch nicht wirklich wichtig.

wollte vorerst mal wissen ob mein transfer komplett verschlüsselt ist, habe vor den jetzt auch ausserhalb meines lan`s zu nutzen über .dyndns.org ... das klappt auch schon, nur mit der verschlüsselung hapert es bei mir immer.

PS: jetzt wo ich gelesen habe wie man das für pro-ftp macht finde ich massig anleitungen drüber *lol*... aber leider keine erklärung was da eigentlich passiert

mfg

[Anonymous]

hi karl, ...
du kannst das testen, ob deine verschlüsselung funktioniert, das ist nicht weiter dramatisch, dazu benutzt du einfach einen sogenannten "sniffer", der dir halt alles auswertet, was in den verschickten paketen drinnesteckt, quasi schachtel für schachtel z.B. von ethenet bis tcp. (halt so wie ein internetpaket aufgebaut ist) von der obersten bis zur untersten ebene.
z.b. mit ethereal, gibt es auch für windows, ist dieses möglich.
du kannst generell alle pakete (z.b. auch mit tcpdump) in eine datei umlenken, und diese daten durch einen hexeditor jagen, ist das gleiche.
man kann dann sehen, das im normalen ftp das passwort und der anmeldename im klartext erscheinen.

was ich also getestet habe, ist das aufjedenfall pass und username verschlüsselt ankommen und man nichts mehr sniffen kann.
das ist das, auf was es mir hauptsächlich ankam, um den ftp server vor unbefugten zugriffen sicher zu machen.
tja ansonsten kann ich nur sagen, ist es generell ziemlich schwer, fremden datenverkehr auszuspionieren, zumindest was die internetgeschichten betrifft, da muss man sich dann doch schon etwas besser auskennen und "wirklich ahnung" haben von der materie, ...begriffe wie spoofing etc. sollten einem dann keine fremdwörter sein.

IM LAN sieht das schonwieder etwas anders aus, da ist das auspionieren etwas leichter, aber auch hier sollte man wissen wo der hase läuft, ...
z.b. werden hubs oder switche verwendet, sind es switche, ...kommst du an einen monitorport ran?, wenn nicht bekommst du sogut wie garnichts mit vom verkehr der an deiner netzwerkarte vorbeigeht, ...vielleicht sonen paar broadcast pakete ... hehe ...aber die sind ja so uninteressant ...) ...
aufjedenfall sind wesentlich weniger handgriffe notwendig... aber wayne interessiert das LAN ^^ ...

was die verschlüsselung der eigentlichen daten betrifft, hab ich nicht getestet, aber soweit ich informiert bin, werden die auch verschlüsselt ...
aber ich glaube auch immer nur das was ich selber sehe ^^ ... deshalb diese sehr unschlüssige antwort von mir.

für mich gilt also für die sicherheit der daten:
- verschlüssele die mittels PGP oder sonstigen, ...
- verzippe deine daten und versehe sie mit mehr als 8 zeichen.

(ich habe getestet, das ein keywordcracker mit einem 7 zeichen passw. geschützt bis zu einer woche braucht um den zip file zu entpacken und das mit nem PIV 1600 - ich habe 1,5 tage gesessen, ist also auch vom passwort selbst abhängig )
ich glaube bei 8 oder 9 braucht man schon jahre ... hehe, ich glaub da stand ne utopische zahl, jedenfalls wäre ich da schon ururururgrossvater ^^) ...
ich denke um die daten sicher zu machen solltest du aufjedenfall auf andere dinge zurückgreifen ...

reicht dir das?

[karl]

thxi
also ich komme an alles ran, ist ja mein lan.
 :arrow: dsl  :arrow: switchrouter (4 port + firewall)  :arrow: lan mit 2 rechnern, einer dient als fileserver der andere als multiboot arbeitsrechner, statische adressen, fileserver ist mit extra firewall (iptables) für lan, damit keiner in meinem lan unsinn macht, lade ab und an leute ein

Code:

reicht dir das?

ja danke, das wichtigste ist die anmeldung, was gezogen wird kann und darf ruhig jeder sehen da unwichtige sachen.
ich teste das mal mit ethereal, hätte ich auch selber drauf kommen können.
habe aber noch einen anderen thread gesehen, muss gleich noma suchen....



mfg     :roll:

[makmaster]

Hallo

Eine Frage: Benötigt eigentlich jeder SFTP-User vollen bzw. eingeschränkten Shellzugang (per bash bzw. rsh)? Geht das nicht mit /bin/false? Dann kann man nämlich auch gleich scp benutzen...  :shock:

MfG Markus

[Wörsty]

Benötigt er nicht.

Code:

RequireValidShell off

[Flanders]

Bleibt die Frage nach einem guten Freeware Client.

FileZilla

[Anonymous]

@valid_shell
... oki das mit dem gültigen shells dürfte ja geklärt sein, ergänzend kann ich dann nur noch sagen, sollte ne gültige shell required sein, sollte man nicht säumen, das verzeichnis /etc/shells zu besuchen und gegebenen falls
einen eintrag vorzunehmen ...
> in /etc/shells

/bin/sh
/bin/bash
/bin/tcsh
/bin/csh
/bin/zsh
/bin/false
/etc/NoShell

...sollten änliche Einträge bei jedem vorhanden sein (in meinem fall habe ich /etc/NoShell hinzugefügt, die fortan eine "gültige ist" ...
...dies also der andere weg

@makmaster
... da hast du etwas verwechselt, nämlich SFTP mit FTPS, ...
scp hat nix mit ftp zu tun, jedenfalls nicht wirklich ... und scp fällt in die sparte SFTP, also das was wir hier ja nicht wollen (scp connectiert port 22, also copy over ssh) ...

doch wo wir hier schonmal sind, poste ich mal nen netten link, oder hab ich das schon irgendwann einmal?
http://winscp.sourceforge.net/eng/

sehr nettes sftp programm, besser tool ... test it! ...

...ansonsten is dem ganzen nichts hinzuzufügen ....
so long

[kari]

Bleibt die Frage nach einem guten Freeware Client.

FileZilla