Scenario
Il server FTPS si trova dietro firewall, che filtra sia i tentativi di connessione in ingresso che quelli in uscita. Inoltre, anche il client è posizionato dietro un firewall. Proprio per questi motivi si è scelto di utilizzare la modalità FTP passiva piuttosto che quella attiva.
Generazione del certificato
Ecco il comando per generare il certificato X.509 da utilizzare per l'autenticazione della fonte e per la confidenzialità:
nightfly@nightbox:~$ sudo openssl req -new -x509 -nodes -out vsftpd.pem -keyout vsftpd.pem
Configurazione del demone vsftpd
La configurazione del demone vsftpd per abilitare FTPS prevede le seguenti direttive:
rsa_cert_file=/etc/vsftpd.pem
rsa_private_key_file=/etc/vsftpd.pem
ssl_enable=YES
allow_anon_ssl=NO
force_local_data_ssl=NO
force_local_logins_ssl=YES
ssl_tlsv1=YES
require_ssl_reuse=YES
pasv_min_port=5012
pasv_max_port=5012
Le prime due righe servono a specificare il pathname del certificato e della chiave privata (a sua volta contenuta nel certificato).
La direttiva:
force_local_data_ssl=NO
fa in modo che il traffico dati non venga cifrato (preferisco usare questa impostazione perchè garantisce una maggiore velocità di trasferimento, l'importante è che vengano cifrati i comandi inviati al server e dunque anche le credenziali di accesso).
Come si evince dallo stralcio di configurazione che ho riportato, il protocollo di cifratura utilizzato è TLS (più robusto del suo predecessore SSL), mentre nelle ultime due righe ho specificato la porta su cui il client potrà instaurare la connessione dati (da abilitare sul firewall che filtra il traffico diretto al server).
Riavviamo vsftpd:
nightfly@nightbox:~$ sudo service vsftpd restart
e proviamo a connetterci al server, utilizzando un client che supporta FTPS. A tal proposito, vi sconsiglio di utilizzare FireFTP (in quanto presenta diversi bug relativi al protocollo FTPS) e FileZilla Client (perchè pialla la connessione se individua un certificato X.509 non firmato da una CA).
Solo con scopi di test (e per un periodo limitato) potete utilizzare un prodotto shareware, ovvero SmartFTP Client (lo trovate qui).
Enjoy.