Tabela de Conteúdos

Página desactualizada Esta página contém uma versão anterior deste guia que pode estar desatualizada. Para a consultar a versão mais recente clique aqui.

4.2.3 Acesso seguro FTPS (TLS/SSL)

Objectivo

O protocolo ftp é um protocolo inseguro, uma vez que transmite todos os dados (incluindo os nomes de utilizadores e respectivas senhas) em modo de texto, podendo ser facilmente interceptados e capturados por terceiros.

No entanto o servidor ProFTPD pode ser configurado de modo a exigir a autenticação dos utilizadores e a encriptação de dados, se for activado o suporte TLS (Transport Layer Security).

Configuração

Na configuração por omissão do 4.2.1 ProFTPD, o suporte TLS (mod_tls.c) está desactivado. Para o activar, basta editar o ficheiro de configuração /etc/proftpd/proftpd.conf:

# [...]

<IfModule mod_tls.c>
  TLSEngine on
  TLSLog /var/log/proftpd/tls.log
  TLSProtocol SSLv23

  # Are clients required to use FTP over TLS when talking to this server?
  TLSRequired on

  # Server's certificate
  TLSRSACertificateFile /etc/ssl/certs/server.crt
  TLSRSACertificateKeyFile /etc/ssl/private/server.key.insecure

  # Authenticate clients that want to use FTP over TLS?
  TLSVerifyClient off

  # Allow SSL/TLS renegotiations when the client requests them, but
  # do not force the renegotations.  Some clients do not support
  # SSL/TLS renegotiations; when mod_tls forces a renegotiation, these
  # clients will close the data connection, or there will be a timeout
  # on an idle data connection.
  TLSRenegotiate required off

</IfModule>

# [...]

Os certificados usados em TLSRSACertificateFile e TLSRSACertificateKeyFile foram gerados anteriormente, em 3.5 Certificados SSL. A opção TLSRequired on obriga a que os clientes ftp usem o protocolo TLS, caso contrário não aceitará ligações. Se esta opção for desligada (TLSRequired off), o servidor aceitará ligações seguras e não seguras.

Por último, reiniciar o serviço ftp para activar as alterações:

server:~# /etc/init.d/proftpd restart

Utilização

O servidor ftp com suporte TLS pode ser acedido através de um cliente ftp que suportte o protocolo TLS, como o Filezilla. Deverá ser indicado pretendemos uma ligação ao servidor ftp explicitamente sobre TLS:

Imediatamente após o estabelecimento da ligação é mostrado o certificado utilizado, sendo pedida a confirmação que é fiável:

Após aceitação do certificado, todas as comunicações cliente/servidor serão encriptadas e seguras.

: NOTA: : Caso o servidor ftp permita o 4.2.2 Acesso ftp anónimo, este continua activo, ou seja: continuam a ser permitidas sessões anónimas, ainda que a troca de dados se faça de modo encriptado. Para garantir que apenas utilizadores autorizados possam aceder ao servidor ftp o acesso anónimo deve ser desactivado.