Software » Serfeur ftp SSL sous Debian
Serfeur ftp SSL sous Debian
Publié le 24/08/2007 @ 21:11:37,
Par maxJe reprends nos bouts de conversation de la shoutbox.
Mais tout d'abord la question:
Un bon serveur ftp en SSL sous debian avec virtual user, vous me proposez ?
(j'utilise pure-ftpd, mais il ne fait "que" le TLS)
Zion me propose IIS parce que je me suis moqué de lui.
Ovh dit vsftpd, que j'ai déjà essayé mais j'ai besoin de pouvoir créer des utilisateurs dans une table externe (sql ou ldap).
kortenberg et philfr disent que scp c'est mieux et je suis d'accord avec eux, mais je demande une solution en ftp et en ssl.
Le scp est la solution de secouer si on me file une bonne doc pour chrooter un utilisateur dans son répertoire $HOME. Et pas un truc où il faut recompiler et patcher.
Rude le Max. Hep, c'est vendredi thème cow-boy ! Yaaaaahoooo !
Mais tout d'abord la question:
Un bon serveur ftp en SSL sous debian avec virtual user, vous me proposez ?
(j'utilise pure-ftpd, mais il ne fait "que" le TLS)
Zion me propose IIS parce que je me suis moqué de lui.
Ovh dit vsftpd, que j'ai déjà essayé mais j'ai besoin de pouvoir créer des utilisateurs dans une table externe (sql ou ldap).
kortenberg et philfr disent que scp c'est mieux et je suis d'accord avec eux, mais je demande une solution en ftp et en ssl.
Le scp est la solution de secouer si on me file une bonne doc pour chrooter un utilisateur dans son répertoire $HOME. Et pas un truc où il faut recompiler et patcher.
Rude le Max. Hep, c'est vendredi thème cow-boy ! Yaaaaahoooo !
Trololo
Serfeur ftp SSL sous Debian
Publié le 24/08/2007 @ 21:16:03,
Par rfrSi je ne m'abuse, TLSv1 +/- = à SSLv3 ... C'est quoi le problème alors?
To die is a time consuming activity, it often takes a lifetime (but some are faster than others ... though)
Serfeur ftp SSL sous Debian
Publié le 24/08/2007 @ 21:17:34,
Par rfrC'est pas bon proftpd?
http://www.proftpd.org/features.html
http://www.proftpd.org/features.html
To die is a time consuming activity, it often takes a lifetime (but some are faster than others ... though)
Serfeur ftp SSL sous Debian
Publié le 24/08/2007 @ 21:35:34,
Par kortenbergJe ne suis pas pour scp/sftp puisque tu veux faire du FTPS.
Mais ma question est pourquoi tu insistes pour avoir du SSL "pur" vu le peu de différence entre SSL et TLS (TLS c'est le nouveau nom/version/RFC de l'SSL qui date de son acquisition par l'IETF)
Dernière édition: 24/08/2007 @ 21:38:08
Mais ma question est pourquoi tu insistes pour avoir du SSL "pur" vu le peu de différence entre SSL et TLS (TLS c'est le nouveau nom/version/RFC de l'SSL qui date de son acquisition par l'IETF)
Dernière édition: 24/08/2007 @ 21:38:08
Serfeur ftp SSL sous Debian
Publié le 24/08/2007 @ 21:48:11,
Par ovhhttp://www.pcinpact.com/forum/lofiversion/index.php/t69552.html
Je n'ai rien à voir avec www.ovh.com
Serfeur ftp SSL sous Debian
Publié le 24/08/2007 @ 22:31:58,
Par cauetC'est clair que recompiler openSSH pour chrooter les utilisateurs dans leur $HOME c'est pas ça qui fera augmenter la popularité de SCP..
Serfeur ftp SSL sous Debian
Publié le 25/08/2007 @ 00:29:50,
Par maxUn petit récap:
il y existe:
ftps et sftp
sftp, c'est une connexion ftp dans un tunnel ssh. Même problème que le scp (voir plus haut)
Donc on revient sur le ftps. il en existe deux sortes:
- ceux qui se connectent classiquement sur le port 21 et qui bascule en mode chiffré (chiffrement explicite), que ce soit avec TLS ou SSL.
- ceux qui se connectent directement en SSL/TLS, Ã la connexion, sur un autre port: le 990; on parle alors de chiffrement implicite.
C'est de ce dernier dont j'ai besoin (c'est pour un client coincé dans un réseau d'entreprise dont l'admin a décidé que le ftp, ce serait en ssl et point barre).
Dernière édition: 25/08/2007 @ 00:30:43
il y existe:
ftps et sftp
sftp, c'est une connexion ftp dans un tunnel ssh. Même problème que le scp (voir plus haut)
Donc on revient sur le ftps. il en existe deux sortes:
- ceux qui se connectent classiquement sur le port 21 et qui bascule en mode chiffré (chiffrement explicite), que ce soit avec TLS ou SSL.
- ceux qui se connectent directement en SSL/TLS, Ã la connexion, sur un autre port: le 990; on parle alors de chiffrement implicite.
C'est de ce dernier dont j'ai besoin (c'est pour un client coincé dans un réseau d'entreprise dont l'admin a décidé que le ftp, ce serait en ssl et point barre).
Dernière édition: 25/08/2007 @ 00:30:43
Trololo
Serfeur ftp SSL sous Debian
Publié le 25/08/2007 @ 01:23:57,
Par philfrTu as essayé wzdftpd (package standard debian) ?
Il a l'air de faire ce que tu veux...
Dernière édition: 25/08/2007 @ 01:24:10
Il a l'air de faire ce que tu veux...
Dernière édition: 25/08/2007 @ 01:24:10
Serfeur ftp SSL sous Debian
Publié le 25/08/2007 @ 01:50:50,
Par rfrQuestion: How come mod_tls does not support "implicit" FTPS (i.e. automatically encrypting sessions on port 990)?
Answer: The short answer is because the Draft no longer specifies support for such a mode. Here is a description of why the alternatives to the current mode (client-requested encryption using standard control channel) are "bad".
The long answer is covered in Eric Rescorla's excellent book, "SSL and TLS". There tend to be two different strategies used when adding new features to a protocol: separate ports for protocol variants, or upward negotiation. Port 443 for HTTPS is an example of the separate ports strategy. The drawback to the separate ports approach is that there is a finite number of ports available, and so this approach does not scale well. The benefit is that use of separate ports tends to require smaller changes to client and server code. Upward negotiation is more flexible, but requires that the protocol support some sort of feature negotiation or extension discovery, allowing clients and servers to easily agree to negotiate "upward" into a secure channel. The authors of the FTPS Draft felt that upward negotiation was the more appropriate of these two approaches for encrypting FTP channels.
Answer: The short answer is because the Draft no longer specifies support for such a mode. Here is a description of why the alternatives to the current mode (client-requested encryption using standard control channel) are "bad".
The long answer is covered in Eric Rescorla's excellent book, "SSL and TLS". There tend to be two different strategies used when adding new features to a protocol: separate ports for protocol variants, or upward negotiation. Port 443 for HTTPS is an example of the separate ports strategy. The drawback to the separate ports approach is that there is a finite number of ports available, and so this approach does not scale well. The benefit is that use of separate ports tends to require smaller changes to client and server code. Upward negotiation is more flexible, but requires that the protocol support some sort of feature negotiation or extension discovery, allowing clients and servers to easily agree to negotiate "upward" into a secure channel. The authors of the FTPS Draft felt that upward negotiation was the more appropriate of these two approaches for encrypting FTP channels.
To die is a time consuming activity, it often takes a lifetime (but some are faster than others ... though)
Serfeur ftp SSL sous Debian
Publié le 25/08/2007 @ 02:37:11,
Par cauetEn fait, je viens de tester (pour la première fois) SFTP via SSH2.
(openSSH et FileZilla)
C'est que ca marche pas mal ce truc !
Si les gugus de chez openSSH pouvaient se décider à intégrer la fonctionnalité chroot et qu'on puisse la paramétrer.
Quel utilisateur doit être chrooter, etc... ce serait carrément
Mais bon...
Qu'est-ce qu'ils foutent?
Dernière édition: 25/08/2007 @ 02:38:22
(openSSH et FileZilla)
C'est que ca marche pas mal ce truc !
Si les gugus de chez openSSH pouvaient se décider à intégrer la fonctionnalité chroot et qu'on puisse la paramétrer.
Quel utilisateur doit être chrooter, etc... ce serait carrément
Mais bon...
Qu'est-ce qu'ils foutent?
Dernière édition: 25/08/2007 @ 02:38:22
Serfeur ftp SSL sous Debian
Publié le 25/08/2007 @ 11:17:02,
Par kortenbergTu as essayé wzdftpd (package standard debian) ?
Il a l'air de faire ce que tu veux...
Il a l'air de faire ce que tu veux...
+1
http://www.wzdftpd.net/trac/wiki/Documentation/TLS
Serfeur ftp SSL sous Debian
Publié le 25/08/2007 @ 11:23:16,
Par maxMerci philfr, et merci rfr, j'avais continuer mes lectures hier soir et en effet, il en ressortait que le ftps sur le port 990, c'est pourri et vieux.
Je crois donc que j'ai vais aller lire le lien de philfr pour la culture générale et dire au client que son admin est un con et rester avec pure-ftpd + TLS qui fonctionne très bien.
Je crois donc que j'ai vais aller lire le lien de philfr pour la culture générale et dire au client que son admin est un con et rester avec pure-ftpd + TLS qui fonctionne très bien.
Trololo
Serfeur ftp SSL sous Debian
Publié le 25/08/2007 @ 12:40:54,
Par ovh
Serfeur ftp SSL sous Debian
Publié le 25/08/2007 @ 12:50:41,
Par AltarSi mais vsftpd ne supporte pas les utilisateurs virtuels
Serfeur ftp SSL sous Debian
Publié le 25/08/2007 @ 13:29:41,
Par ovhSi mais vsftpd ne supporte pas les utilisateurs virtuels
Si http://www.andesi.org/index.php?node=121#A4
Et avec les users en mysql, c'est expliqué ici, il faut utiliser pam_mysql : http://www.pcinpact.com/forum/lofiversion/index.php/t69552.html
Dernière édition: 25/08/2007 @ 13:31:09
Je n'ai rien à voir avec www.ovh.com
Serfeur ftp SSL sous Debian
Publié le 25/08/2007 @ 13:55:36,
Par AltarSi http://www.andesi.org/index.php?node=121#A4
Et avec les users en mysql, c'est expliqué ici, il faut utiliser pam_mysql : http://www.pcinpact.com/forum/lofiversion/index.php/t69552.html
Ah tiens, je ne savais pas Je dormirai moins con ce soir
Serfeur ftp SSL sous Debian
Publié le 25/08/2007 @ 14:22:05,
Par maxoui avec pam_mysql et tout ce qui va bien.
Mais le hic, c'est que dans vsftpd, c'est de pouvoir utiliser des droits différents pour les utilisateurs virtuels. Je crois qu'ils doivent tous utiliser les droits d'un même utilisateur.
Mais le hic, c'est que dans vsftpd, c'est de pouvoir utiliser des droits différents pour les utilisateurs virtuels. Je crois qu'ils doivent tous utiliser les droits d'un même utilisateur.
Trololo
Serfeur ftp SSL sous Debian
Publié le 05/09/2007 @ 17:27:08,
Par maxAlors je crois que je vais me tourner vers scp...
Le probleme du ftp avec SSL, ce sont les firewall. Deja le ftp en temps normal est casse-bonbon avec son passive/active mode mais ici c'est encore pire. En temps normal, votre firewall est capable de reconnaitre un retour d'information du serveur vers le client quand il s'agit d'un connection ftp et il laisse passer. Mais si c'est chiffré.... Vous l'aurez compris, il ne laisse pas passer.
Donc donc donc, j'étudie la possibilité de ssh en chroot avec des outils commes rssh ou autres...Je vous tiens au courrant...
Le probleme du ftp avec SSL, ce sont les firewall. Deja le ftp en temps normal est casse-bonbon avec son passive/active mode mais ici c'est encore pire. En temps normal, votre firewall est capable de reconnaitre un retour d'information du serveur vers le client quand il s'agit d'un connection ftp et il laisse passer. Mais si c'est chiffré.... Vous l'aurez compris, il ne laisse pas passer.
Donc donc donc, j'étudie la possibilité de ssh en chroot avec des outils commes rssh ou autres...Je vous tiens au courrant...
Trololo
Serfeur ftp SSL sous Debian
Publié le 05/09/2007 @ 18:27:52,
Par maxscponly semble être utile et simple à installer sous Debian...
Je pense que j'ai un gagnant...
Je pense que j'ai un gagnant...
Trololo