[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

Re: ftp

Hola, primer perdoneu per haver fet una pregunta curta sense donar
dades sobre quina és la situació que vull resoldre.

Tinc unes càmeres Foscam que ja tenen uns anys però que encara van prou
bé dins de la pèssima seguretat que ofereixen. Fa un parell de mesos
però, Let's Encrypt va caducar uns quants milions de certificats tls i
amb això el meu proveïdor de correu -Runbox- ja no accepta els correus
que les càmeres envien amb les imatges i el fabricant de Foscam no
sembla disposat a actualitzar el seu microprogramari. La opció que faig
servir és enviar les imatges a gmail sense cap mena de seguretat i
aquest el reenvia a Runbox, però clarament no vull gmail per rés. Per
això he intentat ficar el servidor vsftpd a una raspberry PI 4 amb
debian, el problema, de nou és que les cams fan servir ftp clar i no
voldria deixar cap foradet per on entrar a casa des del ftp.

L'accés a les càmeres el faig normalment amb un guió que envia
instruccions del tipus:
/usr/bin/curl -k
https://aquilaadreca.ddns.net:9071/cgi-bin/CGIProxy.fcgi?cmd=getDevState&usr=usuari&pwd=parauladepas

I com a comentari final, voldria dir que vaig fer la configuració
mitjançant la app en dues de les càmeres amb uns mesos de diferència i
un parell de dies després de cada configuració, "algú" va intentar
entrar per ssh a l'ordinador de la xarxa i que te una ip diferent i
port diferent a l'ssh. així que de fiar-me res de res. Aquí fail2ban va
fer la seva feina perfectament.

Salutacions

Jordi.



El dl. 15 de 11 de 2021 a les 20:09 +0100, en/na Eloi va escriure:
> El 15/11/21 a les 11:57, Jordi ha escrit:
> > Una pregunta: Vosaltres teniu o tindríeu un servidor ftp (vsftpd)
> > sense
> > ssl/tls al port estàndard 21 i si es així com el protegiu ??
> > 
> > Salutacions
> > 
> > Jordi
> 
> Personalment, a aquestes alçades no tindria un servidor FTP, amb o
> sense 
> xifratge.
> 
> En el seu dia en vaig administrar un de domèstic fins que en vaig
> acabar 
> bastant fart. Avui dia, que pràcticament tot està darrere NATs, 
> necessites no només obrir el port del protocol sinó també tot un rang
> de 
> ports més per permetre les transferències passives.
> 
> Desconec la motivació que t'impulsa a oferir el servei, però si només
> ha 
> de servir per comunicar-se amb altres màquines GNU/Linux, amb SFTP
> (FTP 
> sobre SSH) ja en fas prou; si necessites compatibilitat amb altres 
> sistemes "out-of-the-box" (sense instal·lar res addicional als
> clients), 
> una millor alternativa podria ser WebDAV amb Apache i certificat
> Let's 
> Encrypt gestionat per certbot pel xifratge TLS.
> 
> Fins i tot, en el cas que només uns pocs usuaris estiguin autoritzats
> a 
> pujar-hi fitxers i a tots ells els hi pots configurar un client SFTP,
> podries arribar a tenir un muntatge híbrid amb SFTP per a les pujades
> i 
> HTTP(S) planer, sense WebDAV, per a les baixades.
> 
> Amb HTTP(S) tens la possibilitat tant de donar accés universal com de
> limitar-lo amb paraula de pas; amb SFTP pots donar accés per paraula
> de 
> pas o per certificat digital. De fet, amb HTTPS també podries limitar
> els accessos amb certificats, però la configuració i manteniment és 
> bastant més complex.
> 
> Tingues en compte que versions recents de Firefox i Chrome ja no
> tenen 
> suport per al protocol FTP, el que en limita encara més la seva 
> usabilitat universal.
> 
> Tot això entenc que és per un servei exposat a l'exterior.
> 
>
Reply to: