doc:appunti:linux:sa:proftpd
Differences
This shows you the differences between two versions of the page.
Both sides previous revisionPrevious revisionNext revision | Previous revisionNext revisionBoth sides next revision | ||
doc:appunti:linux:sa:proftpd [2013/09/09 15:36] – niccolo | doc:appunti:linux:sa:proftpd [2021/04/22 10:47] – [Disabilitare il chmod] niccolo | ||
---|---|---|---|
Line 25: | Line 25: | ||
La direttiva in Debian Wheezy può essere messa in un file a parte, ad esempio **''/ | La direttiva in Debian Wheezy può essere messa in un file a parte, ad esempio **''/ | ||
+ | |||
+ | ==== File nascosti ==== | ||
+ | |||
+ | In generale è il client che passa gli argomenti opportuni per chiedere il listing completo, anche dei file nascosti. È possibile tuttavia forzare ProFTPD a mostrare sempre i file nascosti con la direttiva: | ||
+ | |||
+ | < | ||
+ | ListOptions | ||
+ | </ | ||
+ | |||
+ | **ATTENZIONE**: | ||
==== Disabilitare il chmod ==== | ==== Disabilitare il chmod ==== | ||
Line 38: | Line 48: | ||
</ | </ | ||
+ | ==== Chroot (jail directory) ==== | ||
+ | |||
+ | Per limitare un utente all' | ||
+ | |||
+ | < | ||
+ | DefaultRoot | ||
+ | DefaultRoot | ||
+ | </ | ||
+ | |||
+ | **ATTENZIONE**: | ||
+ | |||
+ | < | ||
+ | DefaultRoot | ||
+ | DefaultRoot | ||
+ | </ | ||
+ | ==== Supporto TLS ==== | ||
+ | |||
+ | Per evitare che le password transitino in chiaro sulla rete è opportuno abilitare il protocollo TSL obbligatorio. Si può creare un file **/ | ||
+ | |||
+ | < | ||
+ | < | ||
+ | TLSEngine | ||
+ | TLSOptions | ||
+ | TLSLog | ||
+ | PassivePorts | ||
+ | # | ||
+ | TLSRSACertificateFile | ||
+ | TLSRSACertificateKeyFile | ||
+ | TLSVerifyClient | ||
+ | TLSRequired | ||
+ | </ | ||
+ | </ | ||
+ | |||
+ | Il certificato può essere autofirmato (analogo a quello utilizzato dal server web), oppure si possono utilizzare i **[[letsencrypt]]**. | ||
+ | |||
+ | Definire il range delle **PassivePorts** consente di aprire il firewall (iptables) su un numero limitato di porte. Infatti utilizzando la cifratura TLS il modulo kernel **nf_nat_ftp** non è in grado di aprire in maniera dinamica la porta usata dal protocollo FTP per il trasferimento dei dati. Ci sono altre ricetta iptables per evitare di aprire in maniera permanente un range di porte, ma sono un po' più complicate da comprendere. | ||
+ | |||
+ | Il parametro **NoSessionReuseRequired** serve per i client (notabilmente **Filezilla 3.39**) che non riusano la connnessione SSL aperta per il controllo anche per il successivo trasferimento dati. |
doc/appunti/linux/sa/proftpd.txt · Last modified: 2024/05/31 11:54 by niccolo