Biztonsagos FTP, de hogyan?

Security-all

Sziasztok!

FTP szerver biztonsagaval kapcsolatban erdekel mindenfele velemeny..
Jelenleg egy neten levo szerveren most egy sima pure-ftpd van mindenfele titkositas nelkul, es olvasom egy-egy forumba, hogy ilyenkor a jelszot esetleg masok is lathatjak.. hogyan lehetseges ez?

Valamint mennyit szamit az ha --with-tls -el forditom es igy hasznaljuk?

  • 5485 megtekintés

( superfly | 2006. 11. 02., cs – 18:13 )

Ugy lehetseges:

telnet server 21
user
pass

Valaki letudja sniffelni es megvan a user/pass.
Sftp-vel kicsit nagyobb biztonsagban vagy.

( onyx v | 2006. 11. 02., cs – 19:12 )

Nem eleg ha azzal forditod, hasznalni is kell. Ha hasznalod (syslogban latszik, ha egy kapcsolat tls-el jon letre), akkor a jelszo kodolva megy at, de az adat akkor is kodolatlanul halad. Ha ez igy jo neked, akkor hasznald a tlst, ha nem, es az egesz adatkapcsolatot titkositva akarod letrehozni, akkor az sftp kell neked.

( Ze | 2006. 11. 02., cs – 19:35 )

ertem.. en eddig sima FTP -t hasznaltam, es semmi gond nemvolt, nemvagyok tulzottan paranoias :) de azert nemszeretnem ha barki egyszeruen betudna lepni..

ti mit hasznaltok?

( Ze | 2006. 11. 02., cs – 20:00 )

igen, ismerem
mondjuk most pure-ftpd -van tls -el..de azert is akarok ftps -t hasznalni mert a legtobb user megvan aldva a totalcommanderrel, amit megis tudok erteni mert valoban sokmindenre hasznalhato es a 7es verzioba mar lesz ftps tamogatas is

shajnos a kulon letoltheto pluginokkal kenyelmetlen a ftp mert nemlehet hatterbe masolni meg nehezen irja ki, hogy mennyivel tolt eppen..
nade hiaba magyaraznam en hogy miert lenne jo mondjuk sftp -t hasznalni, ebbol a legtobben akik nem ertik az egesz teknikai hatteret csak annyit latnak hogy sokkal kenyelmetlenebb az egesz ftpzes

nade nemszamit, szoval FTP, ez van ebbol kell a legtobbet kihozni:)

( zwei | 2006. 11. 02., cs – 20:38 )

pure-ftp, és proftp tud virtual usert is. Érdemes úgy használni, tls-el, és akkor nem kell aggódni, hogy véletlenül shell-hez jutnak. Esetleg lehet még chroot-al is fűszerezni a dolgot kifejlett paranoia esetén.
(Esetleg el lehet gondolkodni a CDRW/motorosfutár protokollon is.)

( Ze | 2006. 11. 02., cs – 21:24 )

van scponly is ami teljesen ugy mukodik mint pure vagy proftpd chrootolva..
itt a legnagyobb gondot az okozza, hogy sokan az elmult evekben teljesen raaltak totalcommanderre, kifuggtek mindenfele hotkey -t, egy ilyen embert nemlehet es nemis akarok meggyozni arrol hogy hasznaljon mast :)

viszont vpn az van, meghacsak pptp mppe -vel de akkoris

egyebkent egeszen pontosan a jelszot ftp pop3 es meg kitudja milyen alkalmazasok eseten ki lathatja?
szoval most hogy konkret kerdest egy baratom aki masik varosba lakik megtudja nezni barmifele modszerrel az en jelszavamat ha belepek ftp -n?:D

Szal ha forgalom figyelést csinálsz, pl tethereal és átmegy azon a gépen a forgalom, azaz az összes aktív eszközön vagy sz.gépen akkor azokon látszik minden cleartext cucc. User/pass pop3-hoz imaphoz ftphez MSN üzik stb. Ha az ismerősöd megoldja hogy a forgalom rajta keresztül menjen akkor elméletileg figyelheti. Aztán gyakorlatilag pedig csak a megfelelő csomagszelektáláson múlik hogy miket figyeljen.

( LiRul v | 2006. 11. 03., p – 07:48 )

Senki nem emlitette, de fontos lehet. Ha titkositod a control csatornat, a tuzfalak ftp nat connectiong trackingje nem fogja tudni kiszedni a szukseges infokat ahhoz, hogy majdani related csomagokat atengedje. Egyszoval baszakodas johet a tuzfallal. Elb@szott dolog ez az ftp, raferne mar egy reform.

( Ze | 2006. 11. 03., p – 09:31 )

igen azt tudom hogy azokon a gepeken meglehet nezni ahol atmegy az adat de.. szoval akkor barki megtudja oldani hogy rajta keresztul menjen az adat?

( efbijn | 2008. 01. 17., cs – 01:00 )

Gondoltam nem nyitok ennek új topicot valahova kb ide kéne beleillenie.
Tehát van egy ProFTPD server, TLS titkositással.
http://www.castaglia.org/proftpd/doc/contrib/ProFTPD-mini-HOWTO-TLS.html
eszerint konfigoltam. De nem akar menni. Hogy ez pontosan mit jelent?
Ezt: http://seeker.myip.hu/upload/upload/proftpd_tls_error.log
Kiirja a hibát csak éppen nem értem mi a gond. Vagy egyáltalán mi a megoldás... Én a kulcsra gyanakszom, hogy elcsesztem.
Előre is köszönöm a válaszokat.

TLSEngine on
TLSLog /var/log/proftpd/tls.log
TLSProtocol TLSv1
TLSRequired on
TLSRSACertificateFile /etc/proftpd/server.key.pem
TLSCACertificateFile /etc/proftpd/server.key.pem

Igy működött csak, különben már az elején visszadobta.
Ilyen kulcsokat hoztam amúgy létre:
server.key.pem:
openssl genrsa -des3 -out server.key.pem 1024

server.cert.pem
openssl req -new -key server.key -out server.cert.pem

és egy saját CA-t. Ha mindent a helyére irok akkor azt mondja, hogy használhatatlan. Ha pedig igy csinálom ahogy elindul akkor meg a csatlakozáskor dobja vissza. Generáljam újra a kulcsokat? Vagy valami alapjába van hiba a rendszerbe?

Köszönöm a válaszokat!

( Cartmann80 | 2008. 09. 27., szo – 09:31 )

Sziasztok!

Lenne egy kérdésem, amit, lehet nem jó helyre írok. ( előre is bocsánat a modiktól )

Felraktam Dproftpd-t. Szinte mindent úgy hagytam, ahogy alapból be volt állítva. Felvettem a usereket, minden szuperül működik.

Ma rámentem a security fülre és itt van, h egész este egy ip-ről folyton be akartak lépni 'administrator' userrel ( ami szerencsére nem létezik :) ). Hogy tudom beállítani, h véglegesen bannolja az ip-t a beállított belépési hiba után? És hogy tudom esetleg majd feloldani a bannolt ip-ket.

Keresgéltem egy csomót, de úgy tűnik ez teljesen triviális kérdés, mert sehol sem tették még fel.

Előre is köszönöm a türelmet és a válaszokat!!

pont ezt tettem én is, de sajnos nem veszi figyelembe...

valahogy így írtam a host.deny végére, de beengedett ( egy távoli asztalon keresztül egy céges géppel akartam belépni és tiltani az ip-jét, de hiába írtam be a host.deny -be.. gond nélkül beengedte :S

Így írtam be:

ALL: xx.xxx.xxx.x, xx.xxx.xxx.xx

Esetleg rosszul?

Ha ip alapjan akarod tiltani akkor lehet pl iptables, vagy proftpd-be beirod h tiltsa azt az ip-t, de ehhez ujra kell inditani az ftp-t.
Emellett dinamikus ip-ju kliensek eseten lehet nem a legszerencsesebb.
Ugy remlik mintha lenne vmi ftpaccess vagy hasonlo nevu file amiben ki lehet tiltani usereket, bar lehet kavarom vmivel most nem tudom megnezni.
Igazabol h dinamikusan ezt meg lehet-e oldani nem tudom, nem neztem utanna, olyat tartok elkepzelhetonek, h pl mysql, ldap vagy hasonlo db-be tenned a usereket es mivel mindig onnan kerdezne le userszinten mindenkeppen le tudnad korlatozni, talan meg azt is hozza tudnad tenni, h ip-ket figyeljen a db-bol :S

Egyebkent mi a Dproftpd, miben masabb a proftpd-tol? Probaltam rakeresni de hirtelen nem talaltam semmi ilyet :S

Szuper!!!! iptables nagyon jól működött, köszönöm!!!!!! Igazából sose tudtam, h van ilyen :D

A Dproftpd annyival különbözik (szerintem) a sima proftpd-től, h az már grafikus felületű. Nem kell kézzel szerkesztenem a felhasználókat és a jogaikat. ( a proftpd ha jól tudom csak karakteres ?!?!? )

A másik meg találtam egy olyan "fail2ban" ami elvileg olvas a logban és automatikusan bannol.. érdekes lehet, majd megnézem :)

Mégegyszer köszönöm a segítséget!!