FTP e’ un protocollo nato agli albori di internet per il trasferimento dei files. Non e’ un protocollo sicuro, login, password e dati viaggiano in chiaro sulla rete rendendo possibile un attacco di tipo sniffing.
Per ovviare a questo problema potremmo usare SFTP, che pero’ si appoggia a SSH e rendendo difficoltosa la gestione degli utenti, oppure possiamo aggiungere al server vsFTPd uno strato di cifratura con SSL.
Installazione, start e abiliazione all’avvio
Prima di tutto installiamo ed abilitiamo all’avvio vsftpd.
yum install -y vsftpd mod_ssl service vsftpd start chkconfig vsftpd on |
Configurazione ssl
Editiamo il file /etc/vsftpd/vsftpd.conf per abilitare ssl
ssl_enable=YES ssl_tlsv1=YES rsa_cert_file=/etc/pki/tls/certs/localhost.crt rsa_private_key_file=/etc/pki/tls/private/localhost.key |
Il cert file puo’ essere quello generato in locale sulla macchina, oppure potra’ essere quello fornito da una certification authority, in modo da proteggerci da un possibile attacco “man in the middle”.
Riavviamo il servizio per abilitare le modifiche.
service vsftpd restart |
Testing
Per collegarci al server e testare la configurazione possiamo utilizzare Filezilla.
Ecco la configurazione:
Troubleshooting
Con filezilla potremmo ricevere l’errore “GnuTLS error -12: A TLS fatal alert has been received”. Ci propone la soluzione il bugtracker di filezilla, aggiungendo questa configurazione
ssl_cipher=HIGH |
SELinux ha di default disabilitato il boolean ftp_home_dir, questo impedisce al server ftp di utilizzare le directory home. Diamo il seguente comando per abilitare in modo permanente il boolean.
setsebool -P ftp_home_dirs on |
