VsFTPD com TLS no Debian 4.0

ddamalio

Neste artigo mostro como configurar o VsFTPD sobre TLS no Debian. No pacote do Debian Etch não vem o Makefile para a geração do certificado vsftpd.pem, daí a diferença em relação as distros como Gentoo, Fedora e afins.

[ Hits: 16.661 ]

Por: Douglas Brito Damalio em 29/02/2008

0 0

Denuncie Favoritos Indicar Impressora

Configuração do servidor

Copie a configuração padrão para salvar os comentários, pois podem ser importantes para alguma modificação futura.

# cp /etc/vsftpd.conf /etc/vsftpd.conf.default

Limpe o arquivo de configuração:

# echo '' > /etc/vsftpd.conf

# vi /etc/vsftd.conf

#as 3 primeiras diretivas são para liberar ftp através de um NAT
pasv_enable=YES

pasv_min_port=3000

pasv_max_port=3010

listen_port=21

#taxa máxima de upload 100 Kb/s
local_max_rate=100000

anonymous_enable=NO

syslog_enable=YES

local_enable=YES

write_enable=YES

local_umask=022

dirmessage_enable=YES

xferlog_enable=YES

connect_from_port_20=YES

xferlog_std_format=YES

ftpd_banner=<COLOQUE O BANNER>

use_localtime=YES

chroot_local_user=YES

pam_service_name=vsftpd

#desabilita usuários para fazer ftp
userlist_enable=YES

userlist_file=/etc/vsftpd_user_list

#número máximo de conexões por IP
max_per_ip=3

#habilita modo standalone
listen=YES

tcp_wrappers=YES

# habilita TLS/SSl
ssl_enable=YES

allow_anon_ssl=NO

force_local_data_ssl=NO

force_local_logins_ssl=YES

ssl_tlsv1=YES

ssl_sslv2=NO

ssl_sslv3=NO

rsa_cert_file=/etc/ssl/certs/vsftpd.pem

Configuração dos usuários do sistema para não acessarem o SO via ftp:

# vi /etc/vsftpd_user_list

root
bin
daemon
adm
lp
sync
shutdown
halt
mail
news
uucp
operator
games
nobody

# /etc/init.d/vsftpd restart

Considerações finais

Configure seu cliente FTP para autenticar com a opção AUTH TLS (apesar de não ser a mesma coisa, mas em alguns clientes a opção SFTP funciona também).

Clientes FTP antigos não suportam FTP sobre TLS, sendo a solução migrar para outro cliente. O plugin do Firefox FireFTP é básico mas é muito bom.

Espero ter ajudado!

Sds.

Página anterior

Páginas do artigo

1. Instalando os pacotes
2. Configuração do servidor

Outros artigos deste autor

Nenhum artigo encontrado.

Leitura recomendada

Instalando e configurando cartão PCMCIA da Senao SL-2511CD com adaptador no Slackware 11.0

Driver ATI (proprietário) no kernel 2.6.29 e posteriores

Dúvidas freqüentes após instalação do Linux

Tocando arquivos MP3 no SuSE Linux

Android - Emulando, Instalando e Removendo Aplicativos APK

Comentários

[1] Comentário enviado por paulinholinux em 29/02/2008 - 23:00h

Olá Douglas, tdo blzzzz....

Gostei do seu artigo, é bem direto e sem "firulas". Só que fiquei com 2 dúvidas:

1- utilizo o VsFTPD e vc conhece algum programa, em modo gráfico, que possa ser utilizado para gerenciá-lo, utilizo nesse servidor openSuSe10.2 ;

2 - O que é o modo standalone? Qual sua vantagem e sua desvantagem?

Mais uma vez parabéns pelo artigo, e até +

Paulo H. G. Alves
[yabadabadoo]

0 0

[2] Comentário enviado por ddamalio em 03/03/2008 - 08:42h

?comentario=?comentario=Fala Paulo!

1 - Eu não tenho muito conhecimento sobre ferramentas gráficas de gerenciamento, no debian quase não existem. No entanto, no suse geralmente na "Central de Controle", é possível você gerenciar grande parte do sistema, dá uma olhada por lá. Até onde sei, os pacotes ditribuidos pela Suse, são algo do tipo opensuse<alguma coisa> ou suse<alguma coisa>, procurando pelo nome do pacote você deve encontrar alguma coisa relativa.

2- Existem duas formas de serviços funcionarem no linux, o modo Standalone e o modo inetd. O modo standalone é quando o serviço fica no ar com um daemon criado pelo próprio serviço, o modo inetd deixa o serviço parado e só é iniciado a partir da requisição de um usuário (geralmente se configura ftp assim). A única vantagem (ao meu ver) do modo inetd é que é que este, não vai consumir memória e processamento do servidor em momentos que um serviço não está sendo utilizado. Existem exploits específicos para serviços que funcionam em modo inetd, pois é um modo muito instável de se manter um serviço funcionando.

Meu conselho é... só deixe um serviço funcionando em modo inetd se for realmente muito necessário!!

Douglas Damalio

0 0

[3] Comentário enviado por leandromoreirati em 13/03/2008 - 17:26h

Caro,
Seu artivgo ficou bacana, so faltou um detalhe, segui ele do inicio ao fim e meus usuários nao logavam no ftp nem por reza brava, por fim decobri que tem que no diretório /etc/pam.d/vsftpd, com o seguinte conteúdo:

# Standard behaviour for ftpd(8).
auth required pam_listfile.so item=user sense=deny file=/etc/ftpusers onerr=succeed

# Note: vsftpd handles anonymous logins on its own. Do not enable
# pam_ftp.so.

# Standard blurb.
@include common-account
@include common-session

@include common-auth
auth required pam_shells.so

Tem que altearar no arquivo /etc/pam.d/vsftpd

de
file=/etc/ftpusers

para:
/etc/vsftpd_user_list

Assim ele libera os usuário que nao estao no arquivo /etc/vsftpd_user_list para autenticar.

Att.

Leandro

0 0

[4] Comentário enviado por ddamalio em 18/03/2008 - 10:26h

Já configurei o vsftpd no debian 4 e no fedora 7 e 8. E m todos os 3 o pam está assim:

session optional pam_keyinit.so force revoke
auth required pam_listfile.so item=user sense=deny file=/etc/vsftpd/ftpusers onerr=succeed
auth required pam_shells.so
auth include system-auth
account include system-auth
session include system-auth
session required pam_loginuid.so

todos os usuários autenticam e transferem arquivos sem problemas...

não entendi pq deu esse problema no seu sistema!

tem como vc detalhar os erros q apareceram nos logs??

Ass.: Douglas Brito Damalio

0 0

[5] Comentário enviado por guimfonseca em 18/12/2008 - 14:35h

eu logo normal de fora mas ao acessar alguma pasta ele trava depois eu conecto de novo vai normal depois trava ... e assim vai

alguma sugestao ???

0 0

[6] Comentário enviado por ddamalio em 18/12/2008 - 15:00h

De fora aonde????

Na mesma rede ou de antes de um firewall???

Ass.: Douglas Brito Damalio

0 0