{"id":26,"date":"2007-01-05T01:51:59","date_gmt":"2007-01-04T23:51:59","guid":{"rendered":"http:\/\/www.mundurat.net\/kaxero\/blog\/2007\/01\/05\/ftp-over-tlsssl-ftpa-ziurtatzen\/"},"modified":"2007-01-05T01:55:09","modified_gmt":"2007-01-04T23:55:09","slug":"ftp-over-tlsssl-ftpa-ziurtatzen","status":"publish","type":"post","link":"https:\/\/mikel.olasagasti.info\/blog\/2007\/01\/05\/ftp-over-tlsssl-ftpa-ziurtatzen\/","title":{"rendered":"FTP over TLS\/SSL, FTPa ziurtatzen"},"content":{"rendered":"

Segurtasuna ez da ekintza bat, hauen multzo baten ondorioa baizik. Gaur burututako ekintza honakoa izan da: Mundurateko FTP<\/acronym><\/em><\/a> zerbitzarira TLS<\/acronym>\/SSL<\/acronym><\/em><\/a> bidez konektatu eta datuak guztiak pasetzeko aukera, hau da, zifratuak. Hau oso erabilgarria izan daiteke hainbat proiekturentzat, dauden tokietatik pasahitza lapurtzeko beldurrik gabe konektatu daitezen (wifi konexioak erabiltzean okupazio batean adibidez). Erabilitako tresnak: Debian<\/em><\/a>, pure-ftpd<\/em><\/a>, OpenSSL<\/em><\/a>, Cacert.org<\/em><\/a><\/p>\n

<\/p>\n

pure-ftpd<\/em>-k guzti hau oso modu errazean egiten laguntzen digu. Beharrezkoa den gauza bakarra pure-ftpd<\/em> martxan izatea eta OpenSSL<\/em> instalatua, baina hau nola egin ez da gaurko kontua. Zifratua ahalbidetzeko ziurtagiria bi modutara sortzen azalduko dut, bat ‘self signed’ edo ‘auto-sinatua’ eta bestea Cacert.org<\/em>-ek sinatutako ziurtagiri batekin.
\nAuto-sinatua izango den ziurtagirirako nahikoa dugu honako komandoa exekutatzea:<\/p>\n

openssl req -x509 -nodes -newkey rsa:2048 \\\\\r\n-keyout \/etc\/ssl\/private\/pure-ftpd.pem \\\\\r\n-out \/etc\/ssl\/private\/pure-ftpd.pem<\/pre>\n
Hau exekutatu ostean, hainbat galdera egingo dizkigu. Erantzuteko errazak:<\/p>\n
Country Name (2 letter code) [AU]:EH\r\nState or Province Name (full name) [Some-State]:Gipuzkoa\r\nLocality Name (eg, city) []:Zarautz\r\nOrganization Name (eg, company) [Internet Widgits Pty Ltd]:Mundurat\r\nOrganizational Unit Name (eg, section) []:FTP\r\nCommon Name (eg, YOUR name) []:ftp.mundurat.net\r\nEmail Address []:<\/pre>\n
Ziurtagiri hau ez bada publikoan ikusiko, ez ditu zertan benetazko datuak eduki behar. Gure kasuan, hobe datu logikoak izatea, jendeak ikusiko ditu eta.<\/p>\n
Hau egin ostean, pure-ftpd<\/em>-ri TLS<\/em>\/SSL konexioak gaitzeko esan behar diogu. Printzipioz Debian<\/em>ek lan hontan laguntzeko pure-ftpd-wrapper<\/em> komandoa dauka, baina funtzionatzen ez didanez, eskuz adierazi diot. Hortarako komando hau nahikoa da<\/p>\n
echo 1 > \/etc\/pure-ftpd\/conf\/TLS && \/etc\/init.d\/pure-ftpd-mysql restart<\/pre>\n
Eta honekin nahikoa litzateke auto-sinatutako ziurtagiri batekin eta FTP<\/em> bezeroan adierazita TLS\/SSL<\/em> bitartez zerbitzarira konektatzeko.<\/p>\n
Orain bigarren zatia dator, Cacert<\/em>-en ziurtagiriarekin. Cacert<\/em> proiektuak SSL<\/em> ziurtagiriak doan ematen ditu. Hainbat proiektuk erabiltzen dituzte Cacert<\/em> ziurtagiriak, ordaindutakoak nahiko garestiak direlako. Honek alde txar bat du, Cacert ez dagoela hainbat nabigatzailetan zerrendatua, eta ondorioz SSL<\/em> konexio bat gaitzean (httpS<\/em>) ziurtagiria onartu nahi dugun galdetzen du.<\/p>\n
Cacert<\/em>-en ziurtagiri bat erabiltzeko bertan kontua gaitu beharko dugu, eta ondoren honako pausuak jarraitu:<\/p>\n
openssl genrsa -out pure-ftpd.key 2048\r\nopenssl req -new -key pure-ftpd.key -out pure-ftpd.csr\r\n\r\nCountry Name (2 letter code) [AU]:EH\r\nState or Province Name (full name) [Some-State]:Gipuzkoa\r\nLocality Name (eg, city) []:Zarautz\r\nOrganization Name (eg, company) [Internet Widgits Pty Ltd]:Mundurat\r\nOrganizational Unit Name (eg, section) []:FTP\r\nCommon Name (eg, YOUR name) []:ftp.mundurat.net\r\nEmail Address []:\r\n\r\nPlease enter the following 'extra' attributes\r\nto be sent with your certificate request\r\nA challenge password []:\r\nAn optional company name []:<\/pre>\n
Oso garrantzitsua da “Commont Name (eg, YOUR name)”<\/em> dioen hortan FTP<\/em> zerbitzariak izango duen helbidea jartzea. Ondoren Cacert<\/em>-en zerbitari ziurtagiri berria nahi dugula esan, eta bertan .csr fitxategiko edukiak itsatsi behar da zertifikatua lortzeko.<\/p>\n
Behin zertifikatua lortutakoan honakoa egin:<\/p>\n
cat \/etc\/ssl\/private\/pure-ftpd.key > \/etc\/ssl\/private\/pure-ftpd.pem<\/pre>\n
Ondoren itsatsi Cacert<\/em>-ek emandako zertifikatuaren kodea azken fitxategi horren amaieran, justu “giltza” delakoaren amaieran. Kitto. Egin berriz “echo 1 > \/etc\/pure-ftpd\/conf\/TLS<\/em>“, berabiarazi pure-ftpd \/etc\/init.d\/pure-ftpd-mysql restart<\/em> bat eginda eta besterik ez.<\/p>\n
Orain 3 azalpentxo:<\/p>\n
    \n
  1. Hau zerbitzarian gaitzeak ez du esan nahi konexio GUZTIAK ziurrak izango direnik, hori bezeroaren esku geratzen da, alegia, konexio berri bat sortzerako orduan aukeretan esan behar zaio erabiltzeko zifratua.<\/li>\n
  2. Cacert<\/em> ziurtagiriak erabiltzea interesgarria da zenbait programek Cacert onargarri bezala hartzen dutelako, eta ondorioz ziurtagiria zuzenean irakurriko dute ezer galdetu gabe (kadukatua ez badago). Auto-sinatutako ziurtagiri batekin beti galdetuko luke ordea.<\/li>\n
  3. TLS<\/em> fitxategian jatzen dugun 1 horrek FTP<\/em> konexio normalak eta zifratuak onartzen ditugula zeazten du. 0 batek konexio normalak bakarrik egiten usten du, eta 2-ak aldiz, zifratuak soilik<\/li>\n<\/ol>\n
    Informazio gehiagorako:<\/p>\n