VSFTP Erweiterung: ftps (ftp mit SSL)

Sidebar Sidebar
Upgrade 3CX to v18 and get it hosted free!
Wie sieht denn deine eigene config aus? Also unter /tmp/flash die vsftpd.diff
 
Problem gelöst

Danke für die flotten Antworten.


@olistudent: Static und SSL sind jeweils deaktiviert. Schon klar, dass es keinen Sinn ergibt ohne SSL statisch zu bauen. Habe auch schon make config-clean-deps ausgeführt und das Image neu erstellt. Das Gleiche in Grün. Habe einen Screenshot des Web-Interfaces mal angehängt, wo SSL natürlich nicht mehr zu sehen ist. So bleibt mir nichts anders übrig als die Config selbst zu editieren.

vsftpd.JPG


@matze1985: Genau nach dieser Konfigurationsdatei, bzw. dessen Pfad, hatte ich gesucht - danke! Dort ergibt sich dann natürlich ein ganz anderes Bild:
Code: 
export VSFTPD_ALLOW_FTPUSER='no'
export VSFTPD_ANONYMOUS='no'
export VSFTPD_CHROOT='yes'
export VSFTPD_ENABLED='yes'
export VSFTPD_ENABLE_SSL='yes'
export VSFTPD_ENABLE_SSLV2='yes'
export VSFTPD_ENABLE_SSLV3='yes'
export VSFTPD_ENABLE_TLSV1='yes'
export VSFTPD_USERS_ENABLED='yes'
Habe die Einträge nun geändert und die Box neugestartet: Es läuft!



Eigentlich sollte man doch davon ausgehen, dass genau diese Datei beim aktualisieren der Firmware neu erstellt/abgeändert wird - hatte nämlich vorher die SSL-Funktionalität aktiviert, aber eben vor dem "Push" nicht im GUI deaktiviert.
 
diese Einträge werden beim FW-Update nicht angefasst, deswegen sind es ja Konfigurationen.

Die SSL-Einträge bleiben so erhalten und werden entsprechend in die config übernommen, dass sollte natürlich ausgebessert werden, vielleicht schaffe ich es die Tage dass zu machen.
 
Hi all, und speziell Darkyputz

die normale vsftpd-Geschicht läuft astrein, nur mit ssl bekomme ich es nicht ans rennen.
Cert+key sind natürlich eingetragen.
Genau wie du Darkyputz wollte ich die Verbindung mit TotalCommander herstellen (gibt einfach kein besseres allround-Tool).
Leider bekomme ich keine Verbindung zustande, siehe bild.
Vllt. kann mir jemand mal screens Freetz-IF des vstfpd schicken damit ich mal die ganzen Häkchen vergleichen kann.
Wird der key bzw. cert auch irgendwo im TC eingestellt? Ich finde da keine Möglichkeit.

guido
 

Anhänge

  • sftp.JPG
    sftp.JPG
    26.2 KB · Aufrufe: 24
ssl-fähig ist der TC, siehe Bild.
Find aber nicht wo der key hin sollte !?!

Wie funktioniert das ganze denn mit Filezilla?
 

Anhänge

  • sftp.JPG
    sftp.JPG
    38.1 KB · Aufrufe: 15
Bei mir nimmt sich der FTP-Client (Filezilla) das Zertifikat vom vsftpd-Server. Im FTP-Client (Filezilla) musste ich als Servertyp, FTP über explizites TLS/SSL angeben.
 
@colonia: beim TC musst du dass nicht angeben er akzeptiert es automatisch, bei mir zu mindest. (Ja ich weiß, ob das richtig ist, ist fraglich)

Poste dochmal deine Config!

Edit: Deinen Bildern zu folge hast du nicht das richtige SSL-Protokoll erlaubt, hacke mal alle drei an, also SSL2 SSL3 und TSL
 
denke das ist die richtige:
Code: 
# cat /var/mod/etc/vsftpd.conf
background=yes
check_shell=no
listen=yes
anonymous_enable=no
local_enable=yes
local_umask=022
chroot_local_user=yes
passwd_chroot_enable=yes
write_enable=yes
banner_file=/etc/motd
nopriv_user=root
secure_chroot_dir=/var/run/vsftpd
listen_port=21
userlist_enable=yes
anon_root=/mod/home/ftp
xferlog_std_format=no
xferlog_enable=yes
vsftpd_log_file=/var/media/ftp/uStor03/FRITZ/logs/vsftpd.log
log_ftp_protocol=no
syslog_enable=no
max_clients=25
max_per_ip=5
pasv_min_port=21212
pasv_max_port=21262
pasv_promiscuous=yes
delay_failed_login=15
chroot_list_enable=yes
ssl_enable=yes
ssl_sslv2=yes
ssl_sslv3=yes
ssl_tlsv1=yes
force_local_data_ssl=yes
force_local_logins_ssl=yes
pasv_address=xx.xx.xx.xx
 
Hier meine conf:
[Edit frank_m24: Bitte benutzt CODE Tags für solche Ausgaben.]
Code: 
# cat /var/mod/etc/vsftpd.conf
background=yes
check_shell=no
listen=no
anonymous_enable=no
local_enable=yes
local_umask=022
chroot_local_user=no
passwd_chroot_enable=no
write_enable=yes
banner_file=/etc/motd
nopriv_user=root
secure_chroot_dir=/var/run/vsftpd
listen_port=xxxx
userlist_enable=yes
anon_root=/mod/home/ftp
xferlog_std_format=no
xferlog_enable=yes
vsftpd_log_file=/var/media/ftp/uStor01/vsftpd.log
log_ftp_protocol=yes
syslog_enable=no
max_clients=25
max_per_ip=5
pasv_min_port=0
pasv_max_port=0
pasv_promiscuous=no
delay_failed_login=15
chroot_list_enable=yes
ssl_enable=yes
ssl_sslv2=yes
ssl_sslv3=yes
ssl_tlsv1=yes
force_local_data_ssl=yes
force_local_logins_ssl=yes
hide_file={*.cfg,*.conf,passwd,group,vsftpd.user_list,etc,usr,ftpuser,ftpuser1,vsftpd_user_conf,hosts.allow,hosts.deny}
userlist_deny=no
userlist_file=/var/mod/etc/vsftpd.chroot_list
user_config_dir=/var/media/ftp/uStor01/vsftpd_user_conf
cmds_allowed=PASV
log_ftp_protocol=yes
tcp_wrappers=yes
 
hier mal ein Teil (und wahrscheinlich der relevante) deiner Config
Code: 
ssl_enable=yes
ssl_sslv2=yes
ssl_sslv3=yes
ssl_tlsv1=yes
force_local_data_ssl=yes
force_local_logins_ssl=yes
[COLOR=Red]hide_file={*.cfg,*.conf,passwd,group,vsftpd.user_list,etc,usr,ftpuser,ftpuser1,vsftpd_user_conf,hosts.allow,hosts.deny}[/COLOR]
userlist_deny=no
userlist_file=/var/mod/etc/vsftpd.chroot_list
user_config_dir=/var/media/ftp/uStor01/vsftpd_user_conf
cmds_allowed=PASV
log_ftp_protocol=yes
[COLOR=Red]tcp_wrappers=yes[/COLOR]
was sagen mir die roten Abschnitte?

und diesen Teil hatte ich eben wohl bei mir abgeschnitten
Code: 
userlist_file=/var/media/ftp/uStor01/configs/vsftpd.user_list
userlist_deny=no
userlist_enable=yes
 
Hmm, gleiche Konfig wie bei mir.
Hast du ein Zertifikat im Webif eingetragen?
Das sollte als nächstes kommen.

edit: das ist denke ich nicht der unterschied, er läst es über tcpwrapper laufen um die hosts einzuschränken, dass brauchst du nicht.
 
Die roten Abschnitte:

Aus man vsftpd.conf

hide_file
This option can be used to set a pattern for filenames (and directory names etc.) which should be hidden from directory listings. Despite being hidden, the files / directories etc. are fully accessible to clients who know what names to actually use. Items will be hidden if their names contain the string given by hide_file, or if they match the regular expression specified by hide_file. Note that vsftpd's regular expression matching code is a simple implementation which is a subset of full regular expression functionality. Example: hide_file={*.mp3,.hidden,hide*,h?}

Default: (none)
Zum Vergrößern anklicken....

tcp_wrappers
If enabled, and vsftpd was compiled with tcp_wrappers support, incoming connections will be fed through tcp_wrappers access control. Furthermore, there is a mechanism for per-IP based configuration. If tcp_wrappers sets the VSFTPD_LOAD_CONF environment variable, then the vsftpd session will try and load the vsftpd configuration file specified in this variable.

Default: NO
Zum Vergrößern anklicken....
 
da ich wusste das diese Frage kommt, hatte ich das gleich in meinem ersten post erwähnt ;-)

Wie bekomme ich denn dieses key+cert in Filezilla eingebunden?

[EDIT] also sind hide_files und tcp_wrappers nicht für ssl relevant !?! So versteh ich das zumindest
 
colonia27 schrieb:
Wie bekomme ich denn dieses key+cert in Filezilla eingebunden?

[EDIT] also sind hide_files und tcp_wrappers nicht für ssl relevant !?! So versteh ich das zumindest
Zum Vergrößern anklicken....

Welchen Servertyp hast Du in Filezilla gewählt? Du bekommst eine Anfrage von Filezilla betr. Zertifikat, das Du akzeptieren oder ablehnen kannst.

Ja, hide_files und tcp_wrappers sind für ssl nicht relevant.
 
Servertyp: SFTP - SSH......
Code: 
Status:    Connecting to 192.168.78.101...
Antwort:    fzSftp started
Befehl:    open "[email protected]" 22
Spur:    Looking up host "192.168.78.101"
Spur:    Connecting to 192.168.78.101 port 22
Spur:    Server version: SSH-2.0-dropbear_0.52
Spur:    Using SSH protocol version 2
Spur:    We claim version: SSH-2.0-PuTTY_Local:_Sep_15_2008_15:22:02
Spur:    Using Diffie-Hellman with standard group "group1"
Spur:    Doing Diffie-Hellman key exchange with hash SHA-1
Spur:    Host key fingerprint is:
Spur:    ssh-rsa 1039 xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx
Spur:    Initialised AES-256 SDCTR client->server encryption
Spur:    Initialised HMAC-SHA1 client->server MAC algorithm
Spur:    Initialised AES-256 SDCTR server->client encryption
Spur:    Initialised HMAC-SHA1 server->client MAC algorithm
Befehl:    Pass: *************
Spur:    Sent password
Spur:    Access granted
Spur:    Opened channel for session
Spur:    Primary command failed; attempting fallback
Spur:    Started a shell/command
Status:    Connected to 192.168.78.101
Spur:    Server sent command exit status 2
Spur:    Disconnected: All channels closed
Fehler:    Fatal: unable to initialise SFTP on server: could not connect
Fehler:    Verbindung mit Server fehlgeschlagen
 
Hatte ich auch schon versucht, sieht dann so aus:
Code: 
Status:    Connecting to 192.168.78.101:21...
Status:    Verbindung hergestellt, warte auf Willkommensnachricht...
Antwort:    220-   __  _   __  __ ___ __
Antwort:    220-  |__ |_) |__ |__  |   /
Antwort:    220-  |   |\  |__ |__  |  /_
Antwort:    220-
Antwort:    220-   The fun has just begun...
Antwort:    220 
Befehl:    AUTH TLS
Antwort:    234 Proceed with negotiation.
Status:    Starte TLS...
Spur:    GnuTLS error -9: A TLS packet with unexpected length was received.
Fehler:    Verbindung mit Server fehlgeschlagen
Die Anzeige des FREETZ stimmt mich zuversichtlich, aber ganz hauts noch nicht hin
 
Bei mir sieht das so aus:
Code: 
Status:	Verbinde mit 192.168.xxx.xxx:yyy...
Status:	Verbindung hergestellt, warte auf Willkommensnachricht...
Antwort:	220-   __  _   __  __ ___ __
Antwort:	220-  |__ |_) |__ |__  |   /
Antwort:	220-  |   |\  |__ |__  |  /_
Antwort:	220-
Antwort:	220-   The fun has just begun...
Antwort:	220 
[B]Befehl:	AUTH TLS
Antwort:	234 Proceed with negotiation.
Status:	Initialisiere TLS...
Status:	Überprüfe Zertifikat...[/B]
Befehl:	USER ###########
[B]Status:	TLS/SSL-Verbindung hergestellt.[/B]
Antwort:	331 Please specify the password.
Befehl:	PASS ********
Antwort:	230 Login successful.
Befehl:	SYST
Antwort:	215 UNIX Type: L8
Befehl:	FEAT
Antwort:	211-Features:
Antwort:	 AUTH SSL
Antwort:	 AUTH TLS
Antwort:	 EPRT
Antwort:	 EPSV
Antwort:	 MDTM
Antwort:	 PASV
Antwort:	 PBSZ
Antwort:	 PROT
Antwort:	 REST STREAM
Antwort:	 SIZE
Antwort:	 TVFS
Antwort:	 UTF8
Antwort:	211 End

EDIT: Wie hast Du das Zertifikat und den Schlüssel für vsftpd erstellt?
 
OT: Wir sind gerade in unserer post-Anzahl synchron :p
Zumindest wenn du auch OT antwortest.

Denke ich werd mich morgen mit meinem Problem weiter beschäftigen.
Sooo steinig kann der Weg nicht mehr sein, wo ich schon das Freetz-Banner sehe ;-)

Also, vielen Dank erstmal für deine Hilfe. Cu
Guido

[EDIT] so wies im IF angegeben ist:
Code: 
openssl req -new -x509 -nodes -out vsftpd.pem -keyout vsftpd.pem
und dann das ganze Ding mit C&P eingefügt.
 
Um antworten zu können musst du eingeloggt sein.

Zurzeit aktive Besucher

Gesamt: 638 (Mitglieder: 32, Gäste: 606)

Neueste Beiträge

Statistik des Forums

Themen
246,204
Beiträge
2,248,002
Mitglieder
373,769
Neuestes Mitglied
Rebslager
Holen Sie sich 3CX - völlig kostenlos!
Verbinden Sie Ihr Team und Ihre Kunden Telefonie Livechat Videokonferenzen

Gehostet oder selbst-verwaltet. Für bis zu 10 Nutzer dauerhaft kostenlos. Keine Kreditkartendetails erforderlich. Ohne Risiko testen.

3CX
Für diese E-Mail-Adresse besteht bereits ein 3CX-Konto. Sie werden zum Kundenportal weitergeleitet, wo Sie sich anmelden oder Ihr Passwort zurücksetzen können, falls Sie dieses vergessen haben.
Ihr E-Mail-Adresse verifizieren

Ihr E-Mail-Adresse verifizieren

Wir haben Ihnen eine E-Mail geschickt. Klicken Sie auf die Schaltfläche im E-Mail-Text, um Ihre E-Mail-Adresse zu verifizieren – (Können Sie diese nicht finden können, dann überprüfen Sie Ihren Spam-Ordner).

IPPF im Überblick

Neueste Beiträge

Direktlinks Telefonanlage

Website-Sponsoren

3CX sponsor
KONTAKTIEREN SIE UNS BEI INTERESSE
| Style by ThemeHouse
XenPorta 2 PRO © Jason Axelrod of 8WAYRUN
Oben Unten
Zurück