Настраиваем ftp с TLS/SSL

Процесс установки ftp сервера рассмотрен ранее, поэтому начинаем настраивать SSL/TLS .

Создаём сертификат:
# cd /etc/ssl/
# /usr/bin/openssl req -x509 -nodes -days 365 -newkey rsa:1024 -keyout vsftpd.pem -out vsftpd.pem

Настриваем vsftpd :
vim /etc/vsftpd.conf

# Turn on SSL
ssl_enable=YES
# Allow anonymous users to use secured SSL connections
allow_anon_ssl=YES
# All non-anonymous logins are forced to use a secure SSL connection in order to
# send and receive data on data connections.
force_local_data_ssl=YES
# All non-anonymous logins are forced to use a secure SSL connection in order to send the password.
force_local_logins_ssl=YES
# Permit TLS v1 protocol connections. TLS v1 connections are preferred
ssl_tlsv1=YES
# Permit SSL v2 protocol connections. TLS v1 connections are preferred
ssl_sslv2=NO
# permit SSL v3 protocol connections. TLS v1 connections are preferred
ssl_sslv3=NO
# Specifies the location of the RSA certificate to use for SSL encrypted connections
rsa_cert_file=/etc/ssl/vsftpd.pem

Рестартуем vsftpd . Ура! Всё работает.

Установка ftp сервера на Debian

Добрый день. Казалось бы, достаточно тривиальный вопрос: как установить ftp сервер.
Но и здесь нашлись грабли:))). А нашлись они в следующем месте : ftp сервер был необходим исключительно для замера пропускной способности сети между интерфейсом сервера уходящим в up-link и замеряющим. Поэтому варианты с поднятием ftp на виртуалке в DMZ и дальнейший проброс портов на неё исключался. Нужен был исключительно боевой сервер.
И вот тут то и начались грабли . FTP категорически не хотел выполнять комманду LIST в пассивном режиме. Кто-то скажет - для разовой операции замера скорости всё равно, можно использовать и активный режим ftp. Но это, не Debian way:) . Всё должно просто работать.

И так... Устанавливаем vsftpd на Debian 6 squeeze.

$ sudo apt-get install vsftpd
Устанавливаем  vsftpd
 Приводим конфиг к виду :

listen=YES
anonymous_enable=NO
local_enable=YES
write_enable=YES
dirmessage_enable=YES
use_localtime=YES
xferlog_enable=YES
connect_from_port_20=YES
secure_chroot_dir=/var/run/vsftpd/empty
pam_service_name=vsftpd
rsa_cert_file=/etc/ssl/private/vsftpd.pem
pasv_enable=YES
pasv_min_port=50200
pasv_max_port=50299

Как известно, для работы FTP-сервера в пассивном режиме нужны следующие порты:
1) port #21
2) random port #>1024. 

Мы установили для пассивного режима диапазон портов от 50200-50299. Осталось настроить фаерволл.

Фаервол(если у кого не был настроен) :
$ sudo iptables -I INPUT 1 -m state --state RELATED,ESTABLISHED -j ACCEPT
Разрешаем все установленные соединения.

$ sudo iptables -A INPUT -i eth0 -m state --state NEW   -p tcp --dport 22  \
-j ACCEPT 
Разрешаем ssh . Интерфейсы, порты и адреса добавить по вкусу.

$ sudo iptables -A INPUT -p tcp -m state --state NEW -m multiport --dport 21,50200:50299 \
-j ACCEPT
Разрешаем устанавливать соединение по ftp, в т.ч. в пассивном режиме.


$ sudo iptables -P INPUT DROP
Запрещаем всё, что не разрешено.