Sicherer Linux-FTP mit Proftpd

Deathcore

Lieutenant
Registriert
Apr. 2009
Beiträge
712
Hallo Leute,

ich brauche einen recht sicheren FTP-Server.

Ich habe auch schon proftpd amlaufen und bin fast fertig.

Proftp bzw der Server wird aktuell so abgesichert:

Fail2ban
SSH nur von einer IP aus.
FTP nur von einer externen IP aus (per Hardwarefirewall)

Jetzt möchte ich aber die Daten verschlüsseln die übertragen werden, dies ist ja bei FTP nicht der Fall.

Dazu habe ich folgendes gemacht:

Code:
apt-get install proftpd openssl

mkdir /etc/proftpd/ssl
openssl req -new -x509 -days 365 -nodes -out /etc/proftpd/ssl/proftpd.cert.pem -keyout /etc/proftpd/ssl/proftpd.key.pem

und in der tsl.con in /etc/proftp

Code:
<IfModule mod_tls.c>
  TLSEngine                  on
  TLSLog                     /var/log/proftpd/tls.log
  TLSProtocol                SSLv23
  TLSOptions                 NoCertRequest
  TLSRSACertificateFile      /etc/proftpd/ssl/proftpd.cert.pem
  TLSRSACertificateKeyFile   /etc/proftpd/ssl/proftpd.key.pem
  TLSVerifyClient            off
  TLSRequired                on
</IfModule>

Per z.b. Filezilla komme ich noch drauf (ohne z.b. eine Zertifaktsmeldung zusehen).

Wie kann ich überprüfen ob es sich nun um FTP über SSL (FTPS) handelt?

Weil auf http://www.proftpd.de habe ich folgendes gefunden:

Die meisten aktuellen Linux Distributionen haben Proftpd bereits paketiert und mit mod_tls übersetzt. Um herauszufinden, ob die eigene Proftpd-Version mit mod_tls übersetzt wurde oder nicht, wird Proftpd auf der Kommandozeile mit dem Parameter -l aufgerufen.

~$ /usr/sbin/proftpd -l ergibt aber das kein mod_tls mit übersetzt wurde!



2 Wo kann ich einstellen welche User FTP dürfen und welche nicht?


Es handelt sich außerdem um Debian 6.
 
Die Verschlüsselung wäre wohl am einfachsten zu erreichen wenn du einfach sftp benutzt, bzw. FTP über ssh laufen lässt.

Aber was mir gerade komisch vorkommt: Die Kombination von Fail2ban und nur einer erlaubten IP.
Wenn jemand genau diese erlaubt IP für einen Angriff benutzt (spooft) bist du ausgesperrt....
 
Das stimmt (werde wohl noch 1-2 hinzufügen), aber wenn der Angreifer im Netz ist (ist eine interne IP) dann haben wir ganz andere Probleme.

Kann ich sftp auch über proftpd machen oder läuft das komplett über ssh ab?
 

Ähnliche Themen

Zurück
Oben