VsFTPD com TLS no Debian 4.0

Neste artigo mostro como configurar o VsFTPD sobre TLS no Debian. No pacote do Debian Etch não vem o Makefile para a geração do certificado vsftpd.pem, daí a diferença em relação as distros como Gentoo, Fedora e afins.

[ Hits: 16.598 ]

Por: Douglas Brito Damalio em 29/02/2008


Configuração do servidor



Copie a configuração padrão para salvar os comentários, pois podem ser importantes para alguma modificação futura.

# cp /etc/vsftpd.conf /etc/vsftpd.conf.default

Limpe o arquivo de configuração:

# echo '' > /etc/vsftpd.conf

# vi /etc/vsftd.conf

#as 3 primeiras diretivas são para liberar ftp através de um NAT
pasv_enable=YES

pasv_min_port=3000

pasv_max_port=3010

listen_port=21

#taxa máxima de upload 100 Kb/s
local_max_rate=100000

anonymous_enable=NO

syslog_enable=YES

local_enable=YES

write_enable=YES

local_umask=022

dirmessage_enable=YES

xferlog_enable=YES

connect_from_port_20=YES

xferlog_std_format=YES

ftpd_banner=<COLOQUE O BANNER>

use_localtime=YES

chroot_local_user=YES

pam_service_name=vsftpd

#desabilita usuários para fazer ftp
userlist_enable=YES

userlist_file=/etc/vsftpd_user_list

#número máximo de conexões por IP
max_per_ip=3

#habilita modo standalone
listen=YES

tcp_wrappers=YES


# habilita TLS/SSl
ssl_enable=YES

allow_anon_ssl=NO

force_local_data_ssl=NO

force_local_logins_ssl=YES

ssl_tlsv1=YES

ssl_sslv2=NO

ssl_sslv3=NO

rsa_cert_file=/etc/ssl/certs/vsftpd.pem

Configuração dos usuários do sistema para não acessarem o SO via ftp:

# vi /etc/vsftpd_user_list

root
bin
daemon
adm
lp
sync
shutdown
halt
mail
news
uucp
operator
games
nobody

# /etc/init.d/vsftpd restart

Considerações finais

Configure seu cliente FTP para autenticar com a opção AUTH TLS (apesar de não ser a mesma coisa, mas em alguns clientes a opção SFTP funciona também).

Clientes FTP antigos não suportam FTP sobre TLS, sendo a solução migrar para outro cliente. O plugin do Firefox FireFTP é básico mas é muito bom.

Espero ter ajudado!

Sds.

Página anterior    

Páginas do artigo
   1. Instalando os pacotes
   2. Configuração do servidor
Outros artigos deste autor
Nenhum artigo encontrado.
Leitura recomendada

Driver Nvidia atual + Ubuntu + Beryl

Ubuntu - Alternativas ao Unity

Metodologia LFS - Contruindo seu Linux do zero

Organizando usuários e senhas do Proftpd

Convertendo o HP Pavilion dv2000 ao Ubuntu

  
Comentários
[1] Comentário enviado por paulinholinux em 29/02/2008 - 23:00h

Olá Douglas, tdo blzzzz....

Gostei do seu artigo, é bem direto e sem "firulas". Só que fiquei com 2 dúvidas:

1- utilizo o VsFTPD e vc conhece algum programa, em modo gráfico, que possa ser utilizado para gerenciá-lo, utilizo nesse servidor openSuSe10.2 ;

2 - O que é o modo standalone? Qual sua vantagem e sua desvantagem?


Mais uma vez parabéns pelo artigo, e até +

Paulo H. G. Alves
[yabadabadoo]

[2] Comentário enviado por ddamalio em 03/03/2008 - 08:42h

?comentario=?comentario=Fala Paulo!

1 - Eu não tenho muito conhecimento sobre ferramentas gráficas de gerenciamento, no debian quase não existem. No entanto, no suse geralmente na "Central de Controle", é possível você gerenciar grande parte do sistema, dá uma olhada por lá. Até onde sei, os pacotes ditribuidos pela Suse, são algo do tipo opensuse<alguma coisa> ou suse<alguma coisa>, procurando pelo nome do pacote você deve encontrar alguma coisa relativa.

2- Existem duas formas de serviços funcionarem no linux, o modo Standalone e o modo inetd. O modo standalone é quando o serviço fica no ar com um daemon criado pelo próprio serviço, o modo inetd deixa o serviço parado e só é iniciado a partir da requisição de um usuário (geralmente se configura ftp assim). A única vantagem (ao meu ver) do modo inetd é que é que este, não vai consumir memória e processamento do servidor em momentos que um serviço não está sendo utilizado. Existem exploits específicos para serviços que funcionam em modo inetd, pois é um modo muito instável de se manter um serviço funcionando.

Meu conselho é... só deixe um serviço funcionando em modo inetd se for realmente muito necessário!!

Douglas Damalio

[3] Comentário enviado por leandromoreirati em 13/03/2008 - 17:26h

Caro,
Seu artivgo ficou bacana, so faltou um detalhe, segui ele do inicio ao fim e meus usuários nao logavam no ftp nem por reza brava, por fim decobri que tem que no diretório /etc/pam.d/vsftpd, com o seguinte conteúdo:

# Standard behaviour for ftpd(8).
auth required pam_listfile.so item=user sense=deny file=/etc/ftpusers onerr=succeed

# Note: vsftpd handles anonymous logins on its own. Do not enable
# pam_ftp.so.

# Standard blurb.
@include common-account
@include common-session

@include common-auth
auth required pam_shells.so

Tem que altearar no arquivo /etc/pam.d/vsftpd

de
file=/etc/ftpusers

para:
/etc/vsftpd_user_list

Assim ele libera os usuário que nao estao no arquivo /etc/vsftpd_user_list para autenticar.

Att.

Leandro


[4] Comentário enviado por ddamalio em 18/03/2008 - 10:26h

Já configurei o vsftpd no debian 4 e no fedora 7 e 8. E m todos os 3 o pam está assim:

session optional pam_keyinit.so force revoke
auth required pam_listfile.so item=user sense=deny file=/etc/vsftpd/ftpusers onerr=succeed
auth required pam_shells.so
auth include system-auth
account include system-auth
session include system-auth
session required pam_loginuid.so


todos os usuários autenticam e transferem arquivos sem problemas...

não entendi pq deu esse problema no seu sistema!

tem como vc detalhar os erros q apareceram nos logs??

Ass.: Douglas Brito Damalio

[5] Comentário enviado por guimfonseca em 18/12/2008 - 14:35h

eu logo normal de fora mas ao acessar alguma pasta ele trava depois eu conecto de novo vai normal depois trava ... e assim vai

alguma sugestao ???

[6] Comentário enviado por ddamalio em 18/12/2008 - 15:00h

De fora aonde????

Na mesma rede ou de antes de um firewall???

Ass.: Douglas Brito Damalio


Contribuir com comentário




Patrocínio

Site hospedado pelo provedor RedeHost.
Linux banner

Destaques

Artigos

Dicas

Tópicos

Top 10 do mês

Scripts