Configurando o FTP no modo Passivo com ISPConfig

Visualizando 5 posts - 1 até 5 (de 5 do total)
  • Autor
    Posts
  • #11381
    Luis FatorBinario
    Administrador

    Publicarei este HowTo para os servidores configurados seguindo nosso tutorial de Debian 7 com ISPConfig 3, mas também poderá ser adaptado para Ubuntu ou outro Linux com Pure-FTPd.

    Para o FTP funcionar no modo Passivo (PASV) teremos que abrir algumas portas no Firewall, conforme explicarei abaixo. Deixando claro que mesmo no modo usando criptografia o protocolo FTP continua sendo inseguro. Se você tem uma revenda e terá que liberar um acesso FTP aos seus clientes essa é a melhor maneira, mas se o VPS for acessado somente por você ou pessoas de confiança opte sempre por SSH com JailKit conforme já mencionei no tutorial de instalação, e então use o WinSCP ou outro cliente que permita conexões SFTP para acessá-lo (a navegação é praticamente idêntica ao explorer dos clientes FTP porém muito mais segura).

    O Pure-FTPd usa arquivos específicos de configuração para definir parâmetros, então siga atentamente abaixo quais arquivos criar, e se você não seguiu os tutoriais do Fator Binário verifique se os arquivos já existem no diretório /etc/pure-ftpd/conf/.

     

    Acesse o terminal SSH com privilégio de superusuário “root” e digite os seguintes comandos:

    > echo 40110 40210 > /etc/pure-ftpd/conf/PassivePortRange
    > echo 50 > /etc/pure-ftpd/conf/MaxClientsNumber

    > /etc/init.d/pure-ftpd-mysql restart

    Os comando acima definem até 50 conexões simultâneas no servidor e configura o Pure-FTPd para usar a faixa de portas 40110 a 40210 necessárias para o modo Passivo (no modo Passivo é necessário duas portas para cada conexão).

    * Sempre que definir a faixa de portas verifique se elas já não estão reservadas para outros serviços. Acesse o site SpeedGuide para saber quais portas são reservadas, note que a range que definimos aparece como “unassigned” (livres).

    http://www.speedguide.net/port.php?port=40110

     

    Após configurar o Pure-FTPd ainda será necessário liberar as portas no Firewall (link para o nosso tutorial de segurança). No ISPConfig o Firewall é facilmente acessado em:

    ISPConfig → Sistema → Firewall

    Se você ainda não adicionou o Firewall clique no botão “Adicionar Registro de Firewall” e confirme a tela que abrirá (se já havia adicionado o Firewall simplesmente abra a configuração existente), em seguida clique na linha de configuração e na caixa de “Portas TCP abertas” adicione “,40110:40210” desta maneira:

    20,21,22,25,53,80,110,143,443,587,993,995,3306,8080,8081,10000,40110:40210

     

    Aguarde uns 60 segundos e teste se o servidor foi corretamente configurado usando essa ferramenta online (selecione o último campo como “Explicit FTP over TLS”):

    https://ftptest.net/

    * Para testar será necessário criar um site e um usuário FTP para o site no painel do ISPConfig

    Se nas linhas de log obtiver a seguinte mensagem, o modo passivo está funcionando:

    Command: PASV
    Reply: 227 Entering Passive Mode (10x,1Xx,6x,2xx,156,205)

     

    #11552
    chodos
    Participante

    Bom dia Luis,

    Estou quebrando a cabeça aqui já faz mais de hora então resolvi perguntar. Como um cliente irá conectar aos seus arquivos com WinSCP via SFTP? Já estava habituado com o FTP via FileZilla, mas estou querendo optar por algo mais seguro.

    Devo criar um usuário shell? Tentei isso, mas ao conectar pelo WinSCP recebo como erro uma mensagem informando que o servidor enviou uma chave pública, terei que criar uma chave para cada usuário? Não há como conectar somente com login e senha?

    Obrigado!

    #11553
    Luis FatorBinario
    Administrador

    Olha só @chodos, pode-se cadastrar usuário FTP no painel também e passar as 2 opções para o cliente.

    Se for liberar SFTP observe que sempre deixe ele em Jail ou poderá ter acesso ao servidor todo, pois ele consegue também logar com o Putty no shell SSH pelo mesmo usuário.

    Uma dica é usar usuário shell quando você for acessar e FTP para clientes seus. Note que acessando SSH o cliente pode ter um funcionário espertalhão do outro lado que pode acabar navegando por onde não deve.

    A mensagem que você recebe não é erro, é um aviso que a chave será baixada automaticamente para autenticar a conexão. Quando acessar pelo Putty pedirá pra baixar a chave também.

    Crie usuários FTP para os clientes, e veja no índice do tutorial que publiquei um artigo de como ativar o modo passivo.

     

    #12079
    Anglerson
    Participante

    Porque ele diz que nem todos os usuários serão capazes de usar o seu servidor?

    #12080
    Luis FatorBinario
    Administrador

    Nem sei que ferramenta você usou pra testar isso, mas o FTP que a gente configura lá usa o SSL.

    E sempre que a segurança for um requisito eu recomendo sempre o SSH em Jail que pode ser acessado também via SFTP.

Visualizando 5 posts - 1 até 5 (de 5 do total)
  • Você deve fazer login para responder a este tópico.

©2014-2020 Fator Binário - Todos os direitos reservados

Fazer login com suas credenciais

Esqueceu sua senha?