rigacci.org

User Tools

Site Tools

Trace: Demone ProFTPD
doc:appunti:linux:sa:proftpd

Differences

This shows you the differences between two versions of the page.

Link to this comparison view

Both sides previous revisionPrevious revision
Next revision		Previous revision
doc:appunti:linux:sa:proftpd [2026/04/14 11:03] niccolodoc:appunti:linux:sa:proftpd [2026/04/14 12:31] (current) – [Certificato EC (moderno)] niccolo
Line 73: Line 73:
 Per evitare che le password transitino in chiaro sulla rete è opportuno abilitare il protocollo TSL obbligatorio. Per evitare che le password transitino in chiaro sulla rete è opportuno abilitare il protocollo TSL obbligatorio.
  
-==== Certificato RSA ====+==== Certificato RSA (legacy) ====
  
 RSA è l'algoritmo crittografico per le chiavi pubbliche più vecchio e compatibile utilizzato nei certificati SSL/TLS. RSA è l'algoritmo crittografico per le chiavi pubbliche più vecchio e compatibile utilizzato nei certificati SSL/TLS.
Line 113: Line 113:
 Il parametro **NoSessionReuseRequired** serve per i client (notabilmente **Filezilla 3.39**) che non riusano la connnessione SSL aperta per il controllo anche per il successivo trasferimento dati. Il parametro **NoSessionReuseRequired** serve per i client (notabilmente **Filezilla 3.39**) che non riusano la connnessione SSL aperta per il controllo anche per il successivo trasferimento dati.
  
-==== Certificato EC ====+==== Certificato EC (moderno) ====
  
 Ad oggi (2026) Let's Encrypt fornisce i certificati usando l'algoritmo crittografico Elliptic Curve (ECC), che fornisce sicurezza uguali a chiavi RSA più grandi e quindi minor sforzo computazionale. Una chiave EC da 256-bit offre una sicurezza comparabile ad una chiave RSA da 3072-bit. Ad oggi (2026) Let's Encrypt fornisce i certificati usando l'algoritmo crittografico Elliptic Curve (ECC), che fornisce sicurezza uguali a chiavi RSA più grandi e quindi minor sforzo computazionale. Una chiave EC da 256-bit offre una sicurezza comparabile ad una chiave RSA da 3072-bit.
  
-Per verificare il formato si può usare il comando:+Per verificare il formato del file in nostro possesso si può usare il comando:
  
 <code> <code>
Line 125: Line 125:
 </code> </code>
  
-ProFTPD 1.3.8 su Debian 13 Trixie può usare questi certificati, ma le direttive di configurazione sono diverse:+ProFTPD 1.3.8 su Debian 13 Trixie può usare questi certificati. Si deve ovviamente verificare che il modulo TLS sia caricato assicurandosi che in **/etc/proftpd/modules.conf** sia attiva la riga
  
 <file> <file>
 +LoadModule mod_tls.c
 +</file>
 +
 +Quindi le direttive di configurazione sono diverse:
 +
 +<file>
 +IfModule mod_tls.c>
 +    TLSEngine                 on
 +    TLSOptions                NoSessionReuseRequired
 +    #TLSOptions               NoSessionReuseRequired UseImplicitSSL
 +    TLSLog                    /var/log/proftpd/tls.log
 +    PassivePorts              49152 49252
 +    TLSECCertificateFile      /etc/letsencrypt/live/domain/cert.pem
 +    TLSECCertificateKeyFile   /etc/letsencrypt/live/domain/privkey.pem
 +    TLSCACertificateFile      /etc/letsencrypt/live/domain/chain.pem
 +    TLSVerifyClient           off
 +    TLSRequired               on
 +</IfModule>
 </file> </file>
  
-Come si vede ProFTPD deve accedere al certificato **cert.pem** e a quello intermedio **chain.pem** esplicitamente, non può leggere entrambi dal file **fullchain.pem**.+Come si vede ProFTPD deve accedere al certificato del server **cert.pem** e a quello intermedio **chain.pem** esplicitamente, non può leggere entrambi dal file **fullchain.pem**. Le altre direttive circa PassivePorts ecc. restano invariate.
  
 +Per quanto riguarda i permessi ProFTPD è in grado di leggere il certificato Let's Encrypt direttamente dalla directory **/etc/letsencrypt/live/**.
  
 ==== FTP over TLS: Explicit vs Implicit ==== ==== FTP over TLS: Explicit vs Implicit ====
doc/appunti/linux/sa/proftpd.1776157414.txt.gz · Last modified: by niccolo