rigacci.org

User Tools

Site Tools

Trace:
doc:appunti:linux:sa:proftpd

Differences

This shows you the differences between two versions of the page.

Link to this comparison view

Both sides previous revisionPrevious revision
Next revision		Previous revision
Next revisionBoth sides next revision
doc:appunti:linux:sa:proftpd [2014/01/09 10:49] – [Disabilitare il chmod] niccolodoc:appunti:linux:sa:proftpd [2019/02/07 13:00] – [Supporto TLS] niccolo
Line 40: Line 40:
 ==== Chroot (jail directory) ==== ==== Chroot (jail directory) ====
  
-Per limitare un utente all'interno di una directory si utilizza la direttiva **DefaultRoot**, con queste due righe si chiude nella propria home directory gli utenti del gruppo web, che non appartengono al gruppo ftproot. Gli utenti di ftproot invece sono limitati alla directory ''/home'':+Per limitare un utente all'interno di una directory si utilizza la direttiva **DefaultRoot**, ad esempio con queste due righe si chiude nella propria home directory gli utenti del gruppo web, che non appartengono al gruppo ftproot. Gli utenti di ftproot invece sono limitati alla directory ''/home'':
  
 <file> <file>
Line 46: Line 46:
 DefaultRoot  /home  !ftproot DefaultRoot  /home  !ftproot
 </file> </file>
 +
 +==== Supporto TLS ====
 +
 +Per evitare che le password transitino in chiaro sulla rete è opportuno abilitare il protocollo TSL obbligatorio. Si può creare un file **/etc/proftpd/conf.d/local.conf** con dentro:
 +
 +<file>
 +<IfModule mod_tls.c>
 +    TLSEngine                 on
 +    TLSLog                    /var/log/proftpd/tls.log
 +    PassivePorts              49152 49252
 +    #TLSRSACertificateFile     /etc/ssl/certs/proftpd.crt
 +    #TLSRSACertificateKeyFile  /etc/ssl/private/proftpd.key
 +    TLSECCertificateFile      /etc/apache2/ssl/https.server.org.pem
 +    TLSVerifyClient           off
 +    TLSRequired               on
 +</IfModule>
 +</file>
 +
 +Il certificato può essere autofirmato (analogo a quello utilizzato dal server web), oppure si possono utilizzare i **[[letsencrypt]]**.
 +
 +Definire il range delle **PassivePorts** consente di aprire il firewall (iptables) su un numero limitato di porte. Infatti utilizzando la cifratura TLS il modulo kernel **nf_nat_ftp** non è in grado di aprire in maniera dinamica la porta usata dal protocollo FTP per il trasferimento dei dati. Ci sono altre ricetta iptables per evitare di aprire in maniera permanente un range di porte, ma sono un po' più complicate da comprendere.
doc/appunti/linux/sa/proftpd.txt · Last modified: 2024/05/31 11:54 by niccolo