Hi Stonki,

danke erstmal für Deine Antwort. Ich hab ProFTPd mit mod_tls neucompiliert und von der

mod_tls-HowTo Folgendes in die proftpd.conf eingetragen:

 
    TLSEngine on
    TLSLog /var/log/tls.log
    TLSProtocol TLSv1

    # Are clients required to use FTP over TLS when talking to this server?
    TLSRequired on
(wenn schon, denn schon)

    # Server's certificate
#    TLSRSACertificateFile /etc/ftpd/server.cert.pem
#    TLSRSACertificateKeyFile /etc/ftpd/server.key.pem

    # CA the server trusts
#    TLSCACertificateFile /etc/ftpd/root.cert.pem

    # Authenticate clients that want to use FTP over TLS?
    TLSVerifyClient off
 

...und ProFTPd meldet 234 AUTH TLS successful, bricht dann aber die Verbindung wegen fehlender CAs ab.

Das Problem ist nun, daß ich keinen Blassen hab von RSA- bzw. CA-Zertifikaten - daher auch die Auskommentierung.  

Muß ich die mit openssl/CA.sh erzeugen oder hab ich die schon (von SuSE 8.1)? Leider hab ich nichts im Web gefunden was helfen könnte.

Hi Leute,

ich steh' grad vor dem Problem, daß ich einen ProFTP-Server aufziehen muß, der hinter einem Firewall-Router (mit fester IP) für Außenstellenmitarbeiter zugreifbar sein soll. Plaintext-Passwörter sollen dabei dringenst verhindert werden, da es sich um ziemlich brisante Daten handelt. :shock:

Die Firewall hab ich z.Zt. so konfiguriert, daß nur der SSH-Port nach außen hin offen ist. Ich dachte, ich könnte einfach die Ports 20 und 21 via SSH tunneln - haut aber nicht hin, da der Controllport 21 zwar connectiert aber nicht der Datenport...

Der SSH-interne SFTP-Server ist leider auch keine Lösung, da ich die User chrooten muß und die ProFTPd-Direktiven brauche.

Vielleicht hat ja jemand von euch einen Tip, was die sicherste und bequemste Heransgehensweise ist um Plaintext-PW-Authentifizierung zu vermeiden. TLS/SSL vielleicht? Aus der ProFTPd+SSL-Howto bin ich nicht ganz so schlau geworden...

Gruß,
Marcus