De acordo com as Leis 12.965/2014 e 13.709/2018, que regulam o uso da Internet e o tratamento de dados pessoais no Brasil, ao me inscrever na newsletter do portal DICAS-L, autorizo o envio de notificações por e-mail ou outros meios e declaro estar ciente e concordar com seus Termos de Uso e Política de Privacidade.


Servidor ProFTPd seguro com TLS,SSL e MySQL

Colaboração: Tiago Cruz

Data de Publicação: 12 de Setembro de 2005

Servidor ProFTPd seguro com TLS/SSL e MySQL Por: Luis Nardella (luis.nardella AT gmail.com) e Tiago Cruz (tiagocruz AT linuxrapido.org) Última atualização: %%date(%c)

Introdução

Este documento sugere a instalação de um ambiente de FTP confiável através de criptografia usando chaves TLS/SSL, seguro por não utilizar usuários do sistema (e sim usuários virtuais), flexível com sua administração via web de fácil utilização, e escalável guardando as informações em um banco de dados baseado em SQL.

As instruções estão baseadas em um sistema rodando FreeBSD, mas podem (e devem) ser usadas em outros sabores do Unix/ Linux.

ProFTPd

A versão atual é a proftpd-1.3.0.r2, e a mesma deverá ser compilada com suporte a MySQL e SSL, para tanto: 

# cd /usr/ports/ftp/proftpd
# make config
# make install clean

Certifique-se de marcar as opções "MYSQL" e "OPENSSL"!

ProFTPd_Admin

A versão atual é a proftpd_admin_v0.7, e a mesma deverá ser baixada do site oficial e descompactada em um lugar acessível pelo apache e preferencialmente protegido por usuário e senha pelo htpasswd.

Ex: /var/www/htdocs/dominio.com/ftp/

Onde ftp é um link simbólico para proftpd_admin_v0.7, e a URL final fica http://dominio.com/ftp

Use o arquivo de configuração padrão dele para adaptar as suas necessidades: 

# cd /var/www/htdocs/dominio.com/ftp/
# cp misc/sample_config/proftpd.conf /usr/local/etc/proftpd.conf

No proftpd.conf, informe o usuário, senha e etc para a conexão ao MySQL: 

SQLAuthTypes        Backend
SQLAuthenticate     users
SQLConnectInfo      proftpd_admin@localhost proftpd senha
SQLUserInfo         usertable userid passwd uid gid homedir shell
SQLGroupInfo        grouptable groupname gid members
SQLUserWhereClause  "disabled=0 and (expiration >= NOW() OR expiration='0000-00-00 00:00:00')"

Consulte o manual de instalação do mesmo em caso de problemas.

MySQL

O ProFTPd_Admin trabalha em conjunto com o MySQL, que deverá estar instalado e rodando neste momento. Para criar a estrutura: 

# cd /var/www/htdocs/dominio.com/ftp/
# mysql -u root -p < misc/database_structure/db_structure.sql

Teste se o ambiente está funcional antes de ir ao póximo passo.

Criação do Certificado TLS/SSL

Para criar o certificado que o usuário irá aceitar ao acessar o FTP, siga os passos descritos no modssl.org, que se resume em:

  • Criação do Certificado:

    Certifique-se de preencher o parâmetro "CommonName" do último comando com um endereço FQDN. 

    $ openssl genrsa -des3 -out server.key 1024
$ openssl rsa -in server.key -out server.key.unsecure
$ openssl req -new -key server.key -out server.csr

  • Criação do Certificado de Autoridade (CA): 

    $ openssl genrsa -des3 -out ca.key 1024
$ openssl rsa -in ca.key -out ca.key.unsecure
$ openssl req -new -x509 -days 365 -key ca.key -out ca.crt

Você precisará de um script chamado sign.sh que geralmente vem no pacote mod_ssl do apache. No debian, por exemplo o pacote chama-se libapache-mod-ssl e o arquivo fica em /usr/share/doc/libapache-mod-ssl/examples/sign.sh. 

$ ./sign.sh server.csr

Agora que você tem um CA assinado, você pode validar o certificado criado anteriormente: 

$ openssl x509 -noout -text -in server.crt

Configurando o ProFTPd para usar TLS/SSL

Adicione esse trecho ao seu proftpd.conf, usando o caminho correto dos arquivos .crt: 

<IfModule mod_tls.c>
   TLSEngine on
   TLSLog /var/log/proftpd/tls_log
   TLSProtocol SSLv23

   # Se ligado, aceita _apenas_ conexões seguras!
   TLSRequired on

   # Server's certificate
   TLSRSACertificateFile     /usr/local/etc/ssl/server.crt
   TLSRSACertificateKeyFile  /usr/local/etc/ssl/server.key.unsecure

   # CA the server trusts
   TLSCACertificateFile      /usr/local/etc/ssl/ca.crt

   # Authenticate clients that want to use FTP over TLS?
   TLSVerifyClient off
</IfModule>

Estamos usando o protocolo SSLv23 no lugar do TLSv1 devido a problemas como "wrong version number" depois de de algumas atualizações com o portaudit e portupgrade.

Observações sobre Usuários Virtuais

Ao utilizar o proftpd_admin, você irá notar que os usuários e grupos criados não possuem entrada no /etc/passwd e no /etc/groups.

Por exemplo, meu grupo "users" possui o GID 10001, e meu usuário "teste" possui UID 10000. Então, dê pemissão no diretório assim: 

# mkdir -p /var/ftp/teste
# chown 10000:10001 /var/ftp/teste

Se você desejar que via FTP os arquivos criados sejam acessíveis para usuários de outro grupo, use o "umask 002" no seu proftpd.conf.

This work is licensed under a Creative Commons Attribution-NonCommercial-ShareAlike 2.0 Brazil License



Veja a relação completa dos artigos de Tiago Cruz