Portál AbcLinuxu, 26. dubna 2024 10:55


Dotaz: Centos 6.2. - pureftpd - ftpes

11.7.2012 09:22 Itak
Centos 6.2. - pureftpd - ftpes
Přečteno: 272×
Odpovědět | Admin
Ahoj,

mám dotaz. Trápím se s FTP a TLS. Vše mám nastaveno asi správně - pasivní mód funguje bez problému bez SSL, ale problém je poté když zapnu SSL a klient se chce připojit

Skončím chybou "Error: GnuTLS error -53: Error in the push function."

Dočetl jsem se, že je nutné povolit všechny porty >1024 na FW. Což asi bude pravda, zkusil jsem ho vypnout a spojení OK.

Můj dotaz zní - opravdu je nutné povolovat tyto všechny porty? A je to bezpečné?

Díky:)

P
Nástroje: Začni sledovat (0) ?Zašle upozornění na váš email při vložení nového komentáře.

Odpovědi

11.7.2012 09:56 bigBRAMBOR | skóre: 37
Rozbalit Rozbalit vše Re: Centos 6.2. - pureftpd - ftpes
Odpovědět | | Sbalit | Link | Blokovat | Admin
nevim jak presne to souvisi prave se SSL, ale u FTP se povolovali porty vetsi nez 1024, bezpecne by to melo byt, pokud tam nemas nejakou sluzbu ktera na takovem portu posloucha, a neni zabezpecena jinak. Jinak se do FTP natahoval modul conntrack_ftp a povoluje se samozrejme RELATED spojeni, pak by to melo jet i bez otevreni portů vetsich nez 1024. Ale to tak nejak souvisi s FTP vseobecne, nevim proc by to melo souviset pouze s FTP SSL.
11.7.2012 22:53 Jooky (inactive) | skóre: 39 | blog: Jooky | Bratislava
Rozbalit Rozbalit vše Re: Centos 6.2. - pureftpd - ftpes
praveze to conntrack_ftp a FTP SSL s tym suvisi. Vsetky tie helper moduly v jadre sa len snazia pochopit, co sa prenasa cez riadiaci tok a podla toho, co sa bude prenasat cez datovy a kde. Inak povedane, ked sa FTP server a client dohodne na portoch, tak helper v jadre otvori firewall pre dany port. Neverim tomu, ze by sa nejaky helper modul vedel vrtat v SSL spojeni a teda na tuto moznost treba zabudnut

Nie som si 100% isty, ci FTP SSL ma riadiaci kanal na inom porte, ale ak ano, tak treba vo FW povolit ten port. Dalej doporucujem v samotom ftp deamone fixne nastavit rozsah portov pre pasivne spojenie a ten rozsah povolit vo firewale. Pri tej konfiguracii sa da zredukovat pocet otvorenych portov na minimum (ocakava sa vela uzivatelov ? staci 10, 15, alebo 20 portov ?) a sucasne bude ako tak zabezpecena aj bezpecnost.
pavlix avatar 11.7.2012 23:10 pavlix | skóre: 54 | blog: pavlix
Rozbalit Rozbalit vše Re: Centos 6.2. - pureftpd - ftpes
Jinak se do FTP natahoval modul conntrack_ftp a povoluje se samozrejme RELATED spojeni, pak by to melo jet i bez otevreni portů vetsich nez 1024. Ale to tak nejak souvisi s FTP vseobecne, nevim proc by to melo souviset pouze s FTP SSL.
Třeba protože conntrack_ftp nedělá MITM útok na TLS a tudíž nemá k dispozici informace, podle kterých by poznal RELATED pakety?
Já už tu vlastně ani nejsem. Abclinuxu umřelo.
16.7.2012 13:36 bigBRAMBOR | skóre: 37
Rozbalit Rozbalit vše Re: Centos 6.2. - pureftpd - ftpes
takze je vsechno v poradku
pavlix avatar 20.7.2012 20:36 pavlix | skóre: 54 | blog: pavlix
Rozbalit Rozbalit vše Re: Centos 6.2. - pureftpd - ftpes
V podstatě.
Já už tu vlastně ani nejsem. Abclinuxu umřelo.

Založit nové vláknoNahoru

Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

ISSN 1214-1267, (c) 1999-2007 Stickfish s.r.o.