|
Titel: mod_tls - für die, die es interessiert... INFO/ FTP via TLS Beitrag von: Lucy am 03. Juli 2003, 18:24:34 sehr oft wurde hier das thema mod_tls angesprochen und es hat mich doch schon irgendwie viel mühe, nerven und zeit gekostet, hier zu einem zufriedenstellenden ergebnis zu kommen, das wirklich funktioniert.
vorraussetzungen dürften klar sein, ... (mod_tls etc.) schritt 1: erzeugen der schlüsselpaare incl. selfsigned trusted authority CA Code: 1. openssl genrsa -des3 -out MyCA.key 2048 2. openssl req -new -x509 -days 365 -key MyCA.key -out MyCA.cert 3. openssl genrsa -out MyFTP.key 1024 4. openssl req -new -key MyFTP.key -out MyFTP.csr 5. openssl x509 -req -in MyFTP.csr -out MyFTP.cert -CA MyCA.cert -CAkey MyCA.key -CAcreateserial -days 365 Kurz-Erklärung die schlüssel werden im aktuellen verzeichnis erstellt, also nachher in der proftpd.conf berücksichtigen ... im/nach schritt 2. werdet ihr dazu aufgefordert die zertifikatsdaten einzutragen, also Ländercode DE, State Germany usw. dies ist dann Eure self signed Trusted Authority, empfehle also dann z.B. bei Unit z.b. "mein Trust-Center" einzutragen ... dann seht ihr später auch das dieses Zertifikat >>issued by "mein Trust-Center"<< ist ... im Schritt 5. erstellt ihr euch dann zu guterletzt mit hilfe des CA key euer "eigentliches" Serverzertifikat, sprich mein "ftp.server.com" bei unit tragt ihr dann z.b. "mein FTP-Server" ein ... dann seht ihr später auch das dieses Zertifikat >>issued to "mein FTP Server ist"<< ist ... welches ja gegen die CA gegengeprüft wird ... schade das es selfsigned ist ... aber alles andere kostet ja auch richtig kohle ^^ aber für den heimgebrauch OK ! :D in der proftpd.conf folgendes eintragen: Code: TLSEngine on TLSLog /var/log/tls.log TLSProtocol TLSv1 # Are clients required to use FTP over TLS when talking to this server? TLSRequired on # (setzt voraus das die User einen SSL fähigen client haben, besser off) # Server's certificate TLSRSACertificateFile /wo/das/Zertifikat/halt/liegt MyFTP.cert TLSRSACertificateKeyFile /wo/das/Zertifikat/halt/liegt MyFTP.key # CA the server trusts TLSCACertificateFile /wo/das/Zertifikat/halt/liegt MyCA.cert # Authenticate clients that want to use FTP over TLS? TLSVerifyClient off (besser ist sonst kommt da kaum nen client rauf) ich verstehe bzw. steige da zwar immer noch nicht ganz voll durch ... aber nen bissle hab isch des nun endlich kapiert ... na dann, aufi aufi :D ... bei mir klappts super ... und viel spass beim probieren ... Titel: mod_tls - für die, die es interessiert... INFO/ FTP via TLS Beitrag von: Wörsty am 03. Juli 2003, 20:59:18 Hab das ja auch schon am Laufen gehabt aber was für'n grafischen Windows-Client soll man da denn bloß nehmen? :??
Titel: mod_tls - für die, die es interessiert... INFO/ FTP via TLS Beitrag von: Wörsty am 03. Juli 2003, 21:04:52 Und: Wie gebe ich bei RedHat's sftp einen Port an?
Titel: mod_tls - für die, die es interessiert... INFO/ FTP via TLS Beitrag von: Lucy am 04. Juli 2003, 10:14:49 ... als grafischen windows ftp client hab ich es bisher nur ernsthaft mit WS_FTP_PRO probiert und es klapt hervorrragend.
smart FTP sollte glaub ich auch klappen ... und generell sollten alle ftp clienten funzen , die ftp via SSL/TLS machen können und an an einen solchen server rankommen. hmmm was ist redhats sftp ? auch was grafisches? ich weiss nur das es einen unterschied zwischen sftp und ftps gibt ... das sollte man nicht verwechseln. das was proftp mit mod_tls unterstützt ist glaub ich ftps. sftp ist wohl dann mehr sowas wie mit secure copy, das kennste bestimmt oder? ... scp /etc/meine_datei root@mein.server.de:/etc/hier_solls_her (hat für meinen geschmack nicht wirklich mehr was mit dem unseren verständnis bekannten ftp zu tun ... ) und das ist ein sftp quasi ... und benutzt standardmässig port 22 wie ssh das haben dann halt einige entwickler grafisch unter linux und windows umgesetzt (sftp clienten) ... ich hatte mich da auch mal rangewagt, und den shaolinftp probiert der sftp macht ... ist aber etwas umständlich unter windows zu händeln und des kannste eigentlich keinem normalen user anbieten ^^ ... sagt dir cygwin etwas? ... wenn ja ... sowas musste dann halt auch installen ...und und und ...(zumindest bei shaolinsftp) du kannst mal bei google nach winscp suchen ... das ist glaub ich nen guter sftp client für windows ... wenns dich interessiert findet man da ne ganze masse zu ... ist aber was ganz anderes als ftps ... http://download.freenet.de/archiv_w/winscp_5076.html http://winscp.vse.cz/eng/ P.S. probiere gerade smartftp (nicht comerziell genutzt ist der freeware) ... da gibts etwas probleme ... sehe ich gerade ...aber das sind bestimmt nur einstellungsfragen beim clienten ...*hoffundbet* ... also ich komme schoooon drauf mit smartftp via tls auf den server, d.h. zertifikatstechnisch klappt des scheinbar ... aber es gibt irgendein port problem .... ???, nicht das der den verschlüsselt ausgehandelten dataport nicht entschlüsseln konnte ... dann hat das doch was mit den zertifikaten zu tun ...GG )... naja ich hab auch gelesen das sich einige clients ehh schwer tun mit ssl/tls , selbst wenn sie das optional anbieten ... naja man kann nicht alles haben ... :D Titel: mod_tls - für die, die es interessiert... INFO/ FTP via TLS Beitrag von: Wörsty am 04. Juli 2003, 10:22:18 Ich hab's rausbekommen :?
sftp geht dann nicht über proftpd... Wenn ich meine Unix-Benutzerdaten eingebe geht's. Code: ++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++ + Willkommen auf dem NextiraOne Knowledge Base Server - Unerlaubter Zugriff verboten! + ++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++ [root@knowledgebase root]# sftp root@knowledgebase.de.nx1 Connecting to knowledgebase.de.nx1... The authenticity of host 'knowledgebase.de.nx1 (10.138.131.xx)' can't be established. RSA key fingerprint is 06:fd:80:d4:fa:15:4f:2f:a7:87:6f:97:87:xx:xx:xx. Are you sure you want to continue connecting (yes/no)? yes Warning: Permanently added 'knowledgebase.de.nx1' (RSA) to the list of known hosts. NextiraOne Germany - Knowledge Base Server Server : COMPAQ Proliant ML370 RAM-Speicher : 640 MB HDD-Speicher : 5x 36,4 GB Raid 5 (Ultra 3 SCSI) = 120 GB Betriebssystem : RedHat Linux 8.0 IP-Adresse : 10.138.131.75 und 10.138.131.76 Hostname : BER06075.de.nx1 Netzwerkkarte : 3Com Corporation 3c985 1000BaseSX (PCI2 Slot 3 64Bit) MAC-Adresse : 00:60:08:F6:xx:xx und 00:02:A5:87:xx:xx Ansprechpartner : Christian.Woerstenfeld@nextiraone.de Server-Standort : Alcatel Berlin - Bau xx x.OG Raum x Versionen Apache : 1.3.27 PHP : 4.3.1 MySql : 3.23.56-1.80 ProFTP : 1.2.9CVS - Unerlaubter Zugriff verboten! - root@knowledgebase.de.nx1's password: sftp> ls drwxr-x--- 6 root root 4096 Jul 4 10:20 . drwxr-xr-x 33 root root 4096 Jul 3 18:26 .. -rw-r--r-- 1 root root 8085 Feb 21 10:50 install.log -rw-r--r-- 1 root root 0 Feb 21 10:45 install.log.syslog -rw-r--r-- 1 root root 24 Jun 10 2000 .bash_logout -rw-r--r-- 1 root root 1126 Aug 23 1995 .Xresources -rw-r--r-- 1 root root 1648 Feb 21 10:52 anaconda-ks.cfg -rw-r--r-- 1 root root 234 Jul 5 2001 .bash_profile -rw-r--r-- 1 root root 176 Aug 23 1995 .bashrc ... WS_FTP ist keine Freeware... :( Bleibt die Frage nach einem guten Freeware Client. Titel: mod_tls - für die, die es interessiert... INFO/ FTP via TLS Beitrag von: Lucy am 04. Juli 2003, 10:50:27 ja wörsty , das meinte ich doch :D ...
sftp hat nichts mit ftps zu tun also auch nicht mit proftp :D ... ........ ich habe es mit smartftp nun auch hinbekommen ... es funzt prima ...und war tatsächlich eine einstellungssache ... dieser smartftp client iss nen klasse teil ...kann ich wirklich empfehlen ... und den kannste klasse konfigurieren (war übrigens mein problem ^^)... der hatte quasi nach dem erfolgreichen login ein List -aL abgesetzt ...da kam der server anundfürsich nicht mit klar :D muss ich mir nochmal die sache mit den regular expressions im path deny filter anguggen der da greift in der proftpd.conf ... ... thats it ... also iss nen hammer ftpclient der smartftp !!! ... ja und ws_ftp isst leider weder free noch shareware ... :( so long Titel: mod_tls - für die, die es interessiert... INFO/ FTP via TLS Beitrag von: TL am 04. Juli 2003, 14:42:59 grafische Clients unter Win32:
FlashFXP SmartFTP oder nen beliebigen FTP client zusammen mit TLSWrap (ist ne art proxy das dem client gegenüber wie nen ftp server aussieht, dem server wie nen client und die ganze TLS/SSL geschichte managt) Titel: smartftp Beitrag von: karl am 05. Juli 2003, 12:44:01 danke für die anleitung mit dem TLS/SSL :D
werden damit die übertragenen daten oder die anmeldedaten verschlüsselt ?... wie bekommt man sowas raus? eigentlich ist doch beides wichtig ! warum kann der smartftp eigentlich zertifikate erstellen ? ist doch ein client und kein server........ hab das mal probiert aber nutzen von dem zertifikat hatte ich nicht... ist auch nicht wirklich wichtig. wollte vorerst mal wissen ob mein transfer komplett verschlüsselt ist, habe vor den jetzt auch ausserhalb meines lan`s zu nutzen über .dyndns.org ... das klappt auch schon, nur mit der verschlüsselung hapert es bei mir immer. PS: jetzt wo ich gelesen habe wie man das für pro-ftp macht finde ich massig anleitungen drüber *lol*... aber leider keine erklärung was da eigentlich passiert :) mfg Titel: mod_tls - für die, die es interessiert... INFO/ FTP via TLS Beitrag von: Anonymous am 07. Juli 2003, 09:17:55 hi karl, ...
du kannst das testen, ob deine verschlüsselung funktioniert, das ist nicht weiter dramatisch, dazu benutzt du einfach einen sogenannten "sniffer", der dir halt alles auswertet, was in den verschickten paketen drinnesteckt, quasi schachtel für schachtel z.B. von ethenet bis tcp. (halt so wie ein internetpaket aufgebaut ist) von der obersten bis zur untersten ebene. z.b. mit ethereal, gibt es auch für windows, ist dieses möglich. du kannst generell alle pakete (z.b. auch mit tcpdump) in eine datei umlenken, und diese daten durch einen hexeditor jagen, ist das gleiche. man kann dann sehen, das im normalen ftp das passwort und der anmeldename im klartext erscheinen. was ich also getestet habe, ist das aufjedenfall pass und username verschlüsselt ankommen und man nichts mehr sniffen kann. das ist das, auf was es mir hauptsächlich ankam, um den ftp server vor unbefugten zugriffen sicher zu machen. tja ansonsten kann ich nur sagen, ist es generell ziemlich schwer, fremden datenverkehr auszuspionieren, zumindest was die internetgeschichten betrifft, da muss man sich dann doch schon etwas besser auskennen und "wirklich ahnung" haben von der materie, ...begriffe wie spoofing etc. sollten einem dann keine fremdwörter sein. IM LAN sieht das schonwieder etwas anders aus, da ist das auspionieren etwas leichter, aber auch hier sollte man wissen wo der hase läuft, ... z.b. werden hubs oder switche verwendet, sind es switche, ...kommst du an einen monitorport ran?, wenn nicht bekommst du sogut wie garnichts mit vom verkehr der an deiner netzwerkarte vorbeigeht, ...vielleicht sonen paar broadcast pakete ... hehe ...aber die sind ja so uninteressant ...) ... aufjedenfall sind wesentlich weniger handgriffe notwendig... aber wayne interessiert das LAN ^^ ... was die verschlüsselung der eigentlichen daten betrifft, hab ich nicht getestet, aber soweit ich informiert bin, werden die auch verschlüsselt ... aber ich glaube auch immer nur das was ich selber sehe ^^ ... deshalb diese sehr unschlüssige antwort von mir. für mich gilt also für die sicherheit der daten: - verschlüssele die mittels PGP oder sonstigen, ... - verzippe deine daten und versehe sie mit mehr als 8 zeichen. (ich habe getestet, das ein keywordcracker mit einem 7 zeichen passw. geschützt bis zu einer woche braucht :D um den zip file zu entpacken und das mit nem PIV 1600 - ich habe 1,5 tage gesessen, ist also auch vom passwort selbst abhängig :D) ich glaube bei 8 oder 9 braucht man schon jahre ... hehe, ich glaub da stand ne utopische zahl, jedenfalls wäre ich da schon ururururgrossvater ^^) ... ich denke um die daten sicher zu machen solltest du aufjedenfall auf andere dinge zurückgreifen ... reicht dir das? Titel: hmmmm Beitrag von: karl am 08. Juli 2003, 00:52:43 thxi
also ich komme an alles ran, ist ja mein lan. :arrow: dsl :arrow: switchrouter (4 port + firewall) :arrow: lan mit 2 rechnern, einer dient als fileserver der andere als multiboot arbeitsrechner, statische adressen, fileserver ist mit extra firewall (iptables) für lan, damit keiner in meinem lan unsinn macht, lade ab und an leute ein :) Code: reicht dir das? ja danke, das wichtigste ist die anmeldung, was gezogen wird kann und darf ruhig jeder sehen da unwichtige sachen. ich teste das mal mit ethereal, hätte ich auch selber drauf kommen können. habe aber noch einen anderen thread gesehen, muss gleich noma suchen.... mfg :roll: Titel: mod_tls - für die, die es interessiert... INFO/ FTP via TLS Beitrag von: makmaster am 23. Juli 2003, 17:36:39 Hallo
Eine Frage: Benötigt eigentlich jeder SFTP-User vollen bzw. eingeschränkten Shellzugang (per bash bzw. rsh)? Geht das nicht mit /bin/false? Dann kann man nämlich auch gleich scp benutzen... :shock: MfG Markus Titel: mod_tls - für die, die es interessiert... INFO/ FTP via TLS Beitrag von: Wörsty am 23. Juli 2003, 17:46:12 Benötigt er nicht.
Code: RequireValidShell off Titel: mod_tls - für die, die es interessiert... INFO/ FTP via TLS Beitrag von: Flanders am 23. Juli 2003, 20:13:26 Zitat von: "Wörsty" Bleibt die Frage nach einem guten Freeware Client. FileZilla (http://filezilla.sourceforge.net/) Titel: mod_tls - für die, die es interessiert... INFO/ FTP via TLS Beitrag von: Anonymous am 24. Juli 2003, 11:09:53 @valid_shell
... oki das mit dem gültigen shells dürfte ja geklärt sein, ergänzend kann ich dann nur noch sagen, sollte ne gültige shell required sein, sollte man nicht säumen, das verzeichnis /etc/shells zu besuchen und gegebenen falls einen eintrag vorzunehmen ... > in /etc/shells /bin/sh /bin/bash /bin/tcsh /bin/csh /bin/zsh /bin/false /etc/NoShell ...sollten änliche Einträge bei jedem vorhanden sein (in meinem fall habe ich /etc/NoShell hinzugefügt, die fortan eine "gültige ist" ... ...dies also der andere weg @makmaster ... da hast du etwas verwechselt, nämlich SFTP mit FTPS, ... scp hat nix mit ftp zu tun, jedenfalls nicht wirklich ... und scp fällt in die sparte SFTP, also das was wir hier ja nicht wollen :D (scp connectiert port 22, also copy over ssh) ... doch wo wir hier schonmal sind, poste ich mal nen netten link, oder hab ich das schon irgendwann einmal? http://winscp.sourceforge.net/eng/ sehr nettes sftp programm, besser tool ... test it! ... ...ansonsten is dem ganzen nichts hinzuzufügen .... so long Titel: schi k mir das programm ok Beitrag von: kari am 12. September 2005, 19:43:15 Zitat von: "Flanders" Zitat von: "Wörsty" Bleibt die Frage nach einem guten Freeware Client. FileZilla (http://filezilla.sourceforge.net/) Titel: mod_tls - für die, die es interessiert... INFO/ FTP via TLS Beitrag von: SFnetadmin am 01. Februar 2006, 17:46:49 Filezilla Client ist gut.
Titel: Back to topic ;) Beitrag von: Corben am 04. Februar 2006, 23:23:21 Ich habe auch einmal Verschlüsselung einstellen wollen und bin über folgendes Debian Howto gestolpert: de:howtos:sarge:proftpd_tls (http://www.debianhowto.de/de:howtos:sarge:proftpd_tls)
Dort wird beschrieben, wie man ein Zertifikat mit nur eine Befehlszeile erstellen kann: Code: openssl req -new -x509 -days 365 -nodes -out /etc/ssl/certs/proftpd.cert.pem -keyout /etc/ssl/certs/proftpd.key.pem Dazu dann noch die entsprechenden Direktiven: Code: <IfModule mod_tls.c> TLSEngine on TLSLog /var/log/tls.log TLSProtocol SSLv23 TLSOptions NoCertRequest TLSRSACertificateFile /etc/ssl/certs/proftpd.cert.pem TLSRSACertificateKeyFile /etc/ssl/certs/proftpd.key.pem TLSVerifyClient off </IfModule> Scheint mir etwas schneller und einfacher, als eine eigene CA aufzumachen? |