no way to compare when less than two revisions
Unterschiede
Hier werden die Unterschiede zwischen zwei Versionen angezeigt.
— | adminstoriesinstallationundkonfigurationvonvsftpdmitssl [20120915 19:14] (aktuell) – angelegt Dirk Deimeke | ||
---|---|---|---|
Zeile 1: | Zeile 1: | ||
+ | ====== Installation und Konfiguration von vsftpd mit SSL ====== | ||
+ | * Urspruenglicher Autor: Ramon Kukla | ||
+ | * Urspruengliches Datum: 16.12.2011 | ||
+ | |||
+ | Wir haben mehrere Server im Einsatz. Auf einigen Servern hosten wir auch Dienste fuer Bekannte, die allerdings keinen direkten Zugang (SSH) erhalten. Nun war die Frage, wie diese Benutzer Daten auf den Server kopieren koennen, um beispielsweise die eigene Webseite auf einen aktuellen Stand zu bringen. Da Dirk und ich gerne auf ungesicherte Datenuebertragungen verzichten moechten, haben wir uns hier fuer [[https:// | ||
+ | |||
+ | Anfaenglich hatten wir uns auf Serverseite fuer [[http:// | ||
+ | |||
+ | Die Installation ansich kann gewohnt problemlos ueber die Paketquellen erfolgen. Flott ein '' | ||
+ | |||
+ | <code bash> | ||
+ | ramon@server:/ | ||
+ | Anschliessend muss die Datei ''/ | ||
+ | |||
+ | < | ||
+ | write_enable=YES | ||
+ | |||
+ | # You may restrict local users to their home directories. | ||
+ | # the possible risks in this before using chroot_local_user or | ||
+ | # chroot_list_enable below. | ||
+ | chroot_local_user=YES | ||
+ | |||
+ | # If enabled, virtual users will use the same privileges as local users. By default, virtual | ||
+ | # users will use the same privileges as anonymous users, which tends to be more restrictive | ||
+ | # (especially in terms of write access). | ||
+ | virtual_use_local_privs=YES | ||
+ | |||
+ | # This option is useful is conjunction with virtual users. It is used to automatically | ||
+ | # generate a home directory for each virtual user, based on a template. | ||
+ | user_sub_token=$USER | ||
+ | |||
+ | # This option represents a directory which vsftpd will try to change into after a local | ||
+ | # (i.e. non-anonymous) login. Failure is silently ignored. | ||
+ | local_root=/ | ||
+ | |||
+ | # If enabled, all user and group information in directory listings will be displayed as | ||
+ | # " | ||
+ | hide_ids=YES | ||
+ | |||
+ | # Turn on SSL | ||
+ | ssl_enable=YES | ||
+ | |||
+ | # This option specifies the location of the RSA certificate to use for SSL | ||
+ | # encrypted connections. | ||
+ | rsa_cert_file=/ | ||
+ | |||
+ | # All non-anonymous logins are forced to use a secure SSL connection in order to | ||
+ | # send and receive data on data connections. | ||
+ | force_local_data_ssl=YES | ||
+ | |||
+ | # All non-anonymous logins are forced to use a secure SSL connection in order to send the password. | ||
+ | force_local_logins_ssl=YES | ||
+ | |||
+ | # Permit TLS v1 protocol connections. TLS v1 connections are preferred | ||
+ | ssl_tlsv1=YES | ||
+ | |||
+ | # Permit SSL v2 protocol connections. TLS v1 connections are preferred | ||
+ | ssl_sslv2=NO | ||
+ | |||
+ | # permit SSL v3 protocol connections. TLS v1 connections are preferred | ||
+ | ssl_sslv3=NO | ||
+ | |||
+ | # If set to yes, all SSL data connections are required to exhibit SSL session reuse (which proves | ||
+ | # that they know the same master secret as the control channel). Although this is a secure default, | ||
+ | # it may break many FTP clients, so you may want to disable it. | ||
+ | require_ssl_reuse=NO</ | ||
+ | |||
+ | Wie man sehen kann mappen wir die Benutzer auf den Ordner ''/ | ||
+ | |||
+ | Wie oben beschrieben moechten wir die Benutzer nicht im System ansich anlegen sondern in einer eigenen Datei pflegen. Dafuer erstelle ich erst einmal die Datei ''/ | ||
+ | |||
+ | <code bash> | ||
+ | Soweit, so fast fertig. Nun muessen wir noch konfigurieren, | ||
+ | |||
+ | < | ||
+ | account required pam_permit.so</ | ||
+ | |||
+ | Des Weiteren muss der Eintrag '' | ||
+ | |||
+ | Alles in allem ist die Einrichtung *eigentlich* einfach. Wie so oft steckt der Teufel aber im Detail. Im Rahmen der Installation hatte ich einige Probleme, die mich etwas Zeit gekostet haben. So ist auf Clientseite die Meldung '' | ||
+ | SSL_read failed -1 = 0, bzw. **** gnutls_record_recv: | ||
+ | |||
+ | |||
+ | [[adminstoriesartikel|Zurück zur Uebersicht]] |