/ Forside / Teknologi / Operativsystemer / Linux / Nyhedsindlæg
Login
Glemt dit kodeord?
Brugernavn

Kodeord


Reklame
Top 10 brugere
Linux
#NavnPoint
o.v.n. 11177
peque 7911
dk 4814
e.c 2359
Uranus 1334
emesen 1334
stone47 1307
linuxrules 1214
Octon 1100
10  BjarneD 875
FTP og SSL
Fra : Jørn Hundebøll


Dato : 29-10-02 00:45

Jeg har i dag en almindelig proftpd kørende med stor tilfredshed - bortset
fra at brugernavn og password samt data sendes ukrypteret. Desværre kommer
proftpd ikke med krypteret funktionalitet før i version 1.3/1.4 (de er i
1.2.7 nu), så jeg har undersøgt mulighederne uden dog helt at have fundet de
vise sten. SSH er ikke så fedt igen, da det giver adgang til hele fil
systemet. Hvilke andre muligheder er der, som gerne må ligne proftpd mht.
funktioner - men som naturligvis også skal understøtte ssl ?

Jørn



 
 
Bo Simonsen (29-10-2002)
Kommentar
Fra : Bo Simonsen


Dato : 29-10-02 02:03

Hej J°rn!

28 Oct 02 kl.23:44 skrev J°rn Hundeb°ll til All:

JH> Jeg har i dag en almindelig proftpd k°rende med stor tilfredshed -
JH> bortset fra at brugernavn og password samt data sendes ukrypteret.
JH> Desværre kommer proftpd ikke med krypteret funktionalitet f°r i
JH> version 1.3/1.4 (de er i 1.2.7 nu), så jeg har unders°gt mulighederne
JH> uden dog helt at have fundet de vise sten. SSH er ikke så fedt igen,
JH> da det giver adgang til hele fil systemet. Hvilke andre muligheder er
JH> der, som gerne må ligne proftpd mht. funktioner - men som naturligvis
JH> også skal underst°tte ssl ?

FTP giver vel også adgang til hele filsystemet, medmindre du sætter serveren
op til ikke at gøre det, med chroot. Du burde have de samme muligheder med
sftp.

Ellers har du jo også et alternativ, nemlig apache med ssl understøttelse (og
lidt htaccess), men den går jo ikke hvis dine brugere skal uploade filer.

Jeg kan se du er lidt i et paradox.

Bo



Michael Rasmussen (29-10-2002)
Kommentar
Fra : Michael Rasmussen


Dato : 29-10-02 18:00

In article <1035849763@f100.n236.z2.fidonet.ftn>,
Bo Simonsen <Bo.Simonsen@f100.n236.z2.fidonet.org> wrote:

> Ellers har du jo også et alternativ, nemlig apache med ssl understøttelse (og
> lidt htaccess), men den går jo ikke hvis dine brugere skal uploade filer.

Hvis man smider WebDAV på sin Apache kan man sagtens uploade, og det
følger faktisk med Apache 2 som standard. Det kan fint flettes sammen
med SSL.

Hvis man benytter PHP eller lign. på sin webserver, skal man dog være
opmærksom på at det ikke er slået til sammen med WebDAV, da man i såfald
får outputtet fra scriptet, og ikke filernes oprindelige indhold, hvis
man henter dem via WebDAV.

Dette kan f.eks. løses ved at lave en speciel VirtualHost, som kun
bruges til WebDAV - evt. på sit eget subdomæne eller portnummer.

Lidt læsning omkring WebDAV:

http://www.webdav.org/
http://httpd.apache.org/docs-2.0/mod/mod_dav.html

Det er ikke så svært at opsætte, spørg evt. i den nyoprettede gruppe ved
navn <news:dk.edb.internet.software.apache>, hvis det volder problemer.

--
Michael Rasmussen, michael@irczone.dk - irc://irc.netc.dk/%23Macintosh
------------------------------------------------------------------------
»Sig ikke alt, hvad du ved, men vid alt,
hvad du siger«, Matthias Claudius.

Jørn Hundebøll (29-10-2002)
Kommentar
Fra : Jørn Hundebøll


Dato : 29-10-02 08:08

On Tue, 29 Oct 2002 01:02:43
Bo Simonsen <Bo.Simonsen@f100.n236.z2.fidonet.org> wrote:

> Hej J°rn!
>
> 28 Oct 02 kl.23:44 skrev J°rn Hundeb°ll til All:
>
> JH> Jeg har i dag en almindelig proftpd k°rende med stor tilfredshed
> -
> JH> bortset fra at brugernavn og password samt data sendes
> ukrypteret.
> JH> Desværre kommer proftpd ikke med krypteret funktionalitet f°r i
> JH> version 1.3/1.4 (de er i 1.2.7 nu), så jeg har unders°gt
> mulighederne
> JH> uden dog helt at have fundet de vise sten. SSH er ikke så fedt
> igen,
> JH> da det giver adgang til hele fil systemet. Hvilke andre
> muligheder er
> JH> der, som gerne må ligne proftpd mht. funktioner - men som
> naturligvis
> JH> også skal underst°tte ssl ?
>
> FTP giver vel også adgang til hele filsystemet, medmindre du sætter
> serveren
> op til ikke at gøre det, med chroot. Du burde have de samme muligheder
> med
> sftp.

Jeg bruger at jailer brugeren til /home og gore diretorier han ikke har
adgang til usynlige (derved kan han kun se sit eget direktorie og
download/upload). Det er samme funktionalitet jeg onsker til en ssl
secure losning. Jeg ved man til Windos kan fa ftp servere som har ssl
indbygget, sa jeg havde forventet at det samme var muligt under Linux.

Kan man med ssh forhindre folk i at forlade /home ?


>
> Ellers har du jo også et alternativ, nemlig apache med ssl
> understøttelse (og
> lidt htaccess), men den går jo ikke hvis dine brugere skal uploade
> filer.

Det fungere ikke sa godt med resume af en download - upload burde vel
nok kunne laves ogsa ?


>
> Jeg kan se du er lidt i et paradox.

Kan det virkelig passe at der kun er de "originale gamle" losninger med
password i klartekst under linux til file transport ?



>
> Bo
>
>

Jorn

Bo Simonsen (29-10-2002)
Kommentar
Fra : Bo Simonsen


Dato : 29-10-02 16:56

Hej Jørn!

29 Oct 02 kl.07:07 skrev Jørn Hundebøll til All:

>> Ellers har du jo også et alternativ, nemlig apache med ssl
>> understøttelse (og
>> lidt htaccess), men den går jo ikke hvis dine brugere skal uploade
>> filer.

JH> Det fungere ikke sa godt med resume af en download - upload burde vel
JH> nok kunne laves ogsa ?

Det er muligt, så vidt jeg ved, upload kan du lave med noget php. Skulle være
underlig om der ikke er nogen der har lavet et system, efter dit behov.

>>
>> Jeg kan se du er lidt i et paradox.

JH> Kan det virkelig passe at der kun er de "originale gamle" losninger
JH> med password i klartekst under linux til file transport ?

Ja, da de bl.a. ftp protocolen og nfs protocolen stammer tilbage fra
Internettets barndom, hvor der ikke var nogen "onde" mennesker på nettet.

Bo



Socketd (29-10-2002)
Kommentar
Fra : Socketd


Dato : 29-10-02 23:57

On Tue, 29 Oct 2002 16:55:45 +0100, Bo Simonsen wrote:
> JH> Kan det virkelig passe at der kun er de "originale gamle" losninger
> JH> med password i klartekst under linux til file transport ?
>
> Ja, da de bl.a. ftp protocolen og nfs protocolen stammer tilbage fra
> Internettets barndom, hvor der ikke var nogen "onde" mennesker på
> nettet.

Nej, mange FTP servere kan kryptere forbindelsen.

br
socketd

Bo Simonsen (30-10-2002)
Kommentar
Fra : Bo Simonsen


Dato : 30-10-02 02:05

Hej Socketd!

29 Oct 02 kl.22:57 skrev Socketd til Bo Simonsen:

>> Ja, da de bl.a. ftp protocolen og nfs protocolen stammer tilbage fra
>> Internettets barndom, hvor der ikke var nogen "onde" mennesker på
>> nettet.

S> Nej, mange FTP servere kan kryptere forbindelsen.

Det er jeg da vældigt interesseret i at høre noget om, kunne du give mig
nogle eksempler på ftp med kryptering?

Bo



Socketd (30-10-2002)
Kommentar
Fra : Socketd


Dato : 30-10-02 10:06

On Wed, 30 Oct 2002 02:05:04 +0100, Bo Simonsen wrote:

> S> Nej, mange FTP servere kan kryptere forbindelsen.
>
> Det er jeg da vældigt interesseret i at høre noget om, kunne du give mig
> nogle eksempler på ftp med kryptering?

http://www.ford-hutchinson.com/~fh-1-pfh/ftps-ext.html
Som du kan se understøtter en hver ftp server og client, med lidt respekt
for sig selv, ssl nu og dage.

br
socketd

Socketd (29-10-2002)
Kommentar
Fra : Socketd


Dato : 29-10-02 11:01

On Tue, 29 Oct 2002 00:44:32 +0100, Jørn Hundebøll wrote:

> Jeg har i dag en almindelig proftpd kørende med stor tilfredshed -
> bortset fra at brugernavn og password samt data sendes ukrypteret.
> Desværre kommer proftpd ikke med krypteret funktionalitet før i version
> 1.3/1.4 (de er i 1.2.7 nu), så jeg har undersøgt mulighederne uden dog
> helt at have fundet de vise sten.

Sikker på at de ikke tilbyder ssl allerede nu? Det mener jeg at jeg har
læst, men kan selvfølgelig ikke finde siden igen.

> SSH er ikke så fedt igen, da det giver
> adgang til hele fil systemet.

Så brug en ssh daemon der kan chroot'e dine brugere.

>Hvilke andre muligheder er der, som gerne
> må ligne proftpd mht. funktioner - men som naturligvis også skal
> understøtte ssl ?

Du kan bruge stunnel eller sslwrapper, men dette gør kun control
forbindelsen krypteret (og dermed er data forbindelsen ikke krypteret,
men er dette et problem?).

mvh
socketd

Jørn Hundebøll (29-10-2002)
Kommentar
Fra : Jørn Hundebøll


Dato : 29-10-02 18:26

On Tue, 29 Oct 2002 11:01:25 +0100
Socketd <db@traceroute.dk> wrote:

> On Tue, 29 Oct 2002 00:44:32 +0100, Jørn Hundebøll wrote:
>
> > Jeg har i dag en almindelig proftpd kørende med stor tilfredshed -
> > bortset fra at brugernavn og password samt data sendes ukrypteret.
> > Desværre kommer proftpd ikke med krypteret funktionalitet før i
> version
> > 1.3/1.4 (de er i 1.2.7 nu), så jeg har undersøgt mulighederne uden
> dog
> > helt at have fundet de vise sten.
>
> Sikker på at de ikke tilbyder ssl allerede nu? Det mener jeg at jeg
> har
> læst, men kan selvfølgelig ikke finde siden igen.

Hvis du læser på proftpd.net, skriver de selv under punktet ssl, at det
først kommer med i 1.3.

>
> > SSH er ikke så fedt igen, da det giver
> > adgang til hele fil systemet.
>
> Så brug en ssh daemon der kan chroot'e dine brugere.

Har du et link eller lign ? Det kunne jo være noget som løse det jeg
mest har imod ssh løsningen generelt til brugerne.

>
> >Hvilke andre muligheder er der, som gerne
> > må ligne proftpd mht. funktioner - men som naturligvis også skal
> > understøtte ssl ?
>
> Du kan bruge stunnel eller sslwrapper, men dette gør kun control
> forbindelsen krypteret (og dermed er data forbindelsen ikke krypteret,
> men er dette et problem?).

Jeg er helt med på en wrapper, men det er indtil videre kun noget jeg
har set på client siden. En wrapper på server siden ville da også være
rigtig fedt - har du eventuelt et link igen ?


>
> mvh
> socketd

Jørn

Socketd (30-10-2002)
Kommentar
Fra : Socketd


Dato : 30-10-02 00:09

On Tue, 29 Oct 2002 18:25:51 +0100, Jørn Hundebøll wrote:

>> Sikker på at de ikke tilbyder ssl allerede nu? Det mener jeg at jeg har
>> læst, men kan selvfølgelig ikke finde siden igen.

Fandt det: http://www.ford-hutchinson.com/~fh-1-pfh/ftps-ext.html

>> Så brug en ssh daemon der kan chroot'e dine brugere.
>
> Har du et link eller lign ? Det kunne jo være noget som løse det jeg
> mest har imod ssh løsningen generelt til brugerne.

Jeg bruger FreeBSD, så du må selv lige checke om de links jeg giver dig
er brugbare.
SSH2 (men der findes da også andre ssh daemons): http://www.ssh.com/

> Du kan bruge stunnel eller sslwrapper, men dette gør kun control
>> forbindelsen krypteret (og dermed er data forbindelsen ikke krypteret,
>> men er dette et problem?).
>
> Jeg er helt med på en wrapper, men det er indtil videre kun noget jeg
> har set på client siden. En wrapper på server siden ville da også være
> rigtig fedt - har du eventuelt et link igen ?

Jeg synes SSLwrapper lyder bedst, men det finder du nok selv ud af

http://stunnel.mirt.net/
http://www.quiltaholic.com/rickk/sslwrap/

mvh
socketd

Jørn Hundebøll (29-10-2002)
Kommentar
Fra : Jørn Hundebøll


Dato : 29-10-02 18:29

On Tue, 29 Oct 2002 18:00:22 +0100
Michael Rasmussen <michael@irczone.invalid> wrote:

> In article <1035849763@f100.n236.z2.fidonet.ftn>,
> Bo Simonsen <Bo.Simonsen@f100.n236.z2.fidonet.org> wrote:
>
> > Ellers har du jo også et alternativ, nemlig apache med ssl
> understøttelse (og
> > lidt htaccess), men den går jo ikke hvis dine brugere skal uploade
> filer.
>
> Hvis man smider WebDAV på sin Apache kan man sagtens uploade, og det
> følger faktisk med Apache 2 som standard. Det kan fint flettes sammen
> med SSL.

Jeg tror heller ikke at upload skulle være et problem - det har jeg
allerede kørende i anden sammenhæng med Apache.

>
> Hvis man benytter PHP eller lign. på sin webserver, skal man dog være
> opmærksom på at det ikke er slået til sammen med WebDAV, da man i
> såfald
> får outputtet fra scriptet, og ikke filernes oprindelige indhold, hvis
> man henter dem via WebDAV.

Problemet opstår vel "kun" med .PHP filer eller har jeg misforstået hvad
du mener ?

>
> Dette kan f.eks. løses ved at lave en speciel VirtualHost, som kun
> bruges til WebDAV - evt. på sit eget subdomæne eller portnummer.
>
> Lidt læsning omkring WebDAV:
>
> http://www.webdav.org/
> http://httpd.apache.org/docs-2.0/mod/mod_dav.html

Jeg vil kaste mig over dine links - tak !



Jørn

Michael Rasmussen (29-10-2002)
Kommentar
Fra : Michael Rasmussen


Dato : 29-10-02 19:17

In article <20021029182928.31f7bf0a.newsuser1@dblue.dk>,
Jørn Hundebøll <newsuser1@dblue.dk> wrote:

> Problemet opstår vel "kun" med .PHP filer eller har jeg misforstået hvad
> du mener ?

Netop, "problemet" opstår hvis Apache står til at parse .php filer
globalt, og man samtidig ønsker at kunne downloade disse via WebDAV.

--
Michael Rasmussen, michael@irczone.dk - irc://irc.netc.dk/%23Macintosh
------------------------------------------------------------------------
»Sig ikke alt, hvad du ved, men vid alt,
hvad du siger«, Matthias Claudius.

Jørn Hundebøll (30-10-2002)
Kommentar
Fra : Jørn Hundebøll


Dato : 30-10-02 08:19

On Wed, 30 Oct 2002 00:08:42 +0100
Socketd <db@traceroute.dk> wrote:

> On Tue, 29 Oct 2002 18:25:51 +0100, Jørn Hundebøll wrote:
>
> >> Sikker på at de ikke tilbyder ssl allerede nu? Det mener jeg at jeg
> har
> >> læst, men kan selvfølgelig ikke finde siden igen.
>
> Fandt det: http://www.ford-hutchinson.com/~fh-1-pfh/ftps-ext.html

Nar du nu brugte tiden til at finde dit, matte jeg hellere ogsa finde
det jeg havde last:


http://proftpd.linux.co.uk/localsite/Userguide/linked/x324.html

men en patch som gor det man vil er jo ogsa god nok


Nu mangler jeg bare tid nok til at checke dine links, og se hvad jeg kan
fa til at virke, og om tingene loser opgaven. Tiderne er desvarre ikke
langere til at data (brugernavn og password i sardeleshed) sendes
ukrypteret.





--
/Jørn

I will report any spam-mail - spam is illegal in Denmark
Use http://spamcop.net

Socketd (30-10-2002)
Kommentar
Fra : Socketd


Dato : 30-10-02 10:15

On Wed, 30 Oct 2002 08:19:25 +0100, Jørn Hundebøll wrote:

> Nu mangler jeg bare tid nok til at checke dine links, og se hvad jeg kan
> fa til at virke, og om tingene loser opgaven. Tiderne er desvarre ikke
> langere til at data (brugernavn og password i sardeleshed) sendes
> ukrypteret.

Tja. Hvis du bare tilbyder diverse programmer, spil, musik og grafik
(altså filer med ikke følsomme oplysninger) til
download, så er der ingen grund til at gøre data forbindelsen krypteret.
Dette vil kun gøre ftp serveren langsommere og de fleste crackere sniffer
alligevel kun efter brugernavn + password.

br
socketd

Brian Møller (01-11-2002)
Kommentar
Fra : Brian Møller


Dato : 01-11-02 22:57


"Jørn Hundebøll" <newsuser1@dblue.dk> wrote in message
news:3dbdccb1$0$61092$edfadb0f@dspool01.news.tele.dk...
> Jeg har i dag en almindelig proftpd kørende med stor tilfredshed - bortset
> fra at brugernavn og password samt data sendes ukrypteret. Desværre kommer
> proftpd ikke med krypteret funktionalitet før i version 1.3/1.4 (de er i
> 1.2.7 nu), så jeg har undersøgt mulighederne uden dog helt at have fundet
de
> vise sten. SSH er ikke så fedt igen, da det giver adgang til hele fil
> systemet. Hvilke andre muligheder er der, som gerne må ligne proftpd mht.
> funktioner - men som naturligvis også skal understøtte ssl ?

Nu kender jeg ikke lige til proftpd; men jeg har i ca. ½ år været bruger af
en ftp-server som anvender ssl. Det er glftpd der her er tale om.

Skriv til mig og jeg skal finde de links til det som er nødvendige.

Jeg anvender jeg serveren, dog uden ssl, da jeg ikke har noget at bruge det
til :)

/Brian



Søg
Reklame
Statistik
Spørgsmål : 177557
Tips : 31968
Nyheder : 719565
Indlæg : 6408872
Brugere : 218888

Månedens bedste
Årets bedste
Sidste års bedste