Archives de catégorie : Proftpd

Générer un certificat ssl pour proftpd

Pour éviter d’avoir les mots de passe en clair lors d’une connexion FTP, il est nécessaire d’installer un certificat SSL et de configurer TLS.
La génération du certificat n’a rien de compliqué, le fichier tls.conf de proftpd est bien documenté pour cela. Il suffit de lancer la commande suivante et de répondre aux questions posées.

openssl req -x509 -newkey rsa:2048 \
-keyout /etc/ssl/private/proftpd.key -out /etc/ssl/certs/proftpd.crt \
-nodes -days 365

Ensuite il faudra renseigner le fichier /etc/proftpd/tls.conf

<IfModule mod_tls.c>
TLSEngine                               on
TLSLog                                  /var/log/proftpd/tls.log
TLSProtocol                             TLSv1
TLSRSACertificateFile                   /etc/ssl/certs/proftpd.crt
TLSRSACertificateKeyFile                /etc/ssl/private/proftpd.key
TLSVerifyClient                         off
TLSRequired                             on
TLSRenegotiate                          required off
</IfModule>

Dans le fichier: /etc/proftpd/modules.conf, décommenter: LoadModule mod_tls.c

Pour finir, dans le fichier: /etc/proftpd/proftpd.conf décommenter: Include /etc/proftpd/tls.conf

fail2ban et proftpd

La règle utilisée par fail2ban pour proftpd ne fonctionne pas, les ip malveillantes ne sont pas bloquées comme il se doit.

Pour corriger cela, il faut ajouter dans le fichier /etc/default/proftpd la ligne suivante:

export LANG=en_US.UTF-8

Ensuite: un petit redémarrage de proftpd

/etc/init.d/proftpd restart

Résultat :

2013-10-24 15:27:47,720 fail2ban.actions: WARNING [proftpd] Ban xxx.xxx.xxx.xxx

Merci à http://www.markasread.fr/