VSFTP Erweiterung: ftps (ftp mit SSL)

[matze1985]

Jörg, sag mal viel größer ist eigentlich dein sftp-server, wenn dazu noch openssl erfoderlich ist?

 

[MaxMuster]

Komme momentan nicht an mein System (bin aber Dank UMTS online ;-)). Allein der SFTPD war so um die 120k, wenn ich mich recht erinnere. Da ist deine Lösung deutlich schlanker (zumindest wenn ich den vsftp sowieso drin haben will).

Ich schaue später mal genauer nach.....

EDIT: Das Binary ist zwar nur 57k, dafür wird aber zwingend die zlib benötigt, die dann wiederum fast 70k benötigt:

joerg@linux:~/freetz-trunk>cd build/modified/filesystem/ ; ls -lh lib/libz.so.1.2.3 usr/libexec/sftp-server
-rwxr-xr-x 1 joerg users [B]69K[/B]  6. Okt 04:33 lib/libz.so.1.2.3
-rwxr-xr-x 1 joerg users [B]57K[/B] 17. Okt 16:19 usr/libexec/sftp-server
joerg@linux:~/freetz-trunk/build/modified/filesystem>

Jörg

 

[Darkyputz]

Sooo...er leis sich wunderbar bauen...alles hat geklappt und die grössen habe ich mal aufgezeigt:

#Alt
ls -l /usr/sbin/ | grep vsftpd
-rwxr-xr-x    1 root     root       144224 Oct 17 08:38 vsftpd

#Neu
ls -l /usr/sbin/ | grep vsftpd
-rwxr-xr-x    1 root     root       148560 Nov 19 18:01 vsftpd

Nur ein kleiner langauge schönheitfehler auf der certificats seite...

$(lang de:"Zertifikat&Key für Vsftpd. Wird nur für den Betrieb mit SSL benötigt." en:"Certificate&Key for Vsftps. Only needed if run with SSL.")

wo hol ich mir jetzt fix nen zertifikat her?

 

[matze1985]

das musst du dir wohl selber erstellen, da hilfe Goolge weiter:
http://www.google.de/search?hl=de&c...=apache+zertifikat+erstellen&btnG=Suche&meta=


müsste z.b. mit

openssl req -new -x509 -nodes -out vsftpd.pem -keyout vsftpd.pem

gehen.

 

[cuma]

@matze1985: Diesen Befehl könnte man doch auch noch aufs Webinterface stellen, das Problem werden wohl noch mehr haben

 

[matze1985]

Dazu bräuchte man aber openssl.
Das haben wohl wenige auf der box, oder?

 

[Darkyputz]

nun es gibt ja auch seiten wo man online irgendwo seine userpasswörter für die box verschlüsseln kann...gibbet da nicht auch die Möglichkeit so einen "service" auf freetz.org oder sonstwo auf nem webspace einzurichten?
kenne mich damit leider ÜBERHAUPT NICHT AUS und scheitere schon am passwortlosen anmelden an dropbear mit putty ,-)

 

[olistudent]

Könnte eventuell gehen. Aber ich weiß nicht, ob es dem Gedanken von Openssl entspricht, wenn die Keys auf einem fremden Server generiert werden. ;-)

MfG Oliver

 

[Darkyputz]

hehe...das mag sein...;-)
aber irgendwie muss es ja "daus" wie mir näher gebracht werden können ;-)

p.s. Guten Morgen oli!

 

[matze1985]

Könnte eventuell gehen. Aber ich weiß nicht, ob es dem Gedanken von Openssl entspricht, wenn die Keys auf einem fremden Server generiert werden. ;-)

MfG Oliver

Sehe ich ähnlich, was aber auf den Freetz-Server kommt, habe die Admins zu entscheiden, manche hätten wohl ne Erleichterung daruch.

hehe...das mag sein...;-)
aber irgendwie muss es ja "daus" wie mir näher gebracht werden können ;-)

p.s. Guten Morgen oli!

So schwer ist das nicht. Wenn du bei Google nach "Apache Zertifikat erstellen" suchst, findest du jede Menge Dummi-Anleitungen (sorry, fühl dich damit nicht angesprochen). (Apache deswegen, weil sie das selbe Zertifikat nutzten, aber so eindeutige Treffer kommen.
Auch mit dem Befehl von oben kannst du nicht viel falsch machen, dieser generiert nach ein paar Fragen zu Wohnort und Land, eine Datei mit Key&Zertifikat im aktuellen Verzeichnis. Diese öffnen und in die Stelle im Webif einfügen.

PS: Wegen der Sache mit dem Key für SSH, kannste mir gerne ne PM schreiben (oder nen anderen Thread aufmachen), das ist auch nicht schwer, passt hier aber nicht.

@McNetic: Will dich nicht drängen, aber mal fragen wie weit bist du mit dem Test bist, würde mich auch als Tester zur Verfügung stellen.

 

[henfri]

Hi,

wie wäre es, dies während des Build zu machen?
Man muss dann OpenSSL nicht auf der Box haben/dafür kompilieren, sondern würde einfach während des Build nach "ein paar Fragen zu Wohnort und Land" gefragt. Der Schlüssel würde dann mit in die Firmware eingebaut.

Gruß,
Hendrik

 

[McNetic]

Hier ist der komplette Patch. Ich habs nicht auf der Box getestet, sondern nur, ob die Dateien korrekt erstellt/übersetzt werden.

EDIT: Es fehlten ein paar Dateien. Siehe unten.

 

[MaxMuster]

Zwei kleine Dinge:

eine nich richteig abgeschlossene "$(lang ..." Zeile
Die neue Datei "etc/default.vsftpd/vsftpd_crt.def" war nicht drin

Edit Habe getestet, aber irgendwas passt da noch nicht ...

/var/mod/root # strings /usr/sbin/vsftpd | grep SSL
vsftpd: SSL mode not compatible with 'one_process_model'
SSL handler
 AUTH SSL
SSL: ssl_enable is set but SSL support not compiled in
/var/mod/root #

EDIT 2: Das Patchfile für builddefs.h fehlte, ich habe es mal ergänzt und es geht ;-)


Jörg

 

[McNetic]

Ups, ich hab das 'svn add' vergessen vor dem Diff. Es fehlten noch mehr Dateien. Nochmal ein Patch .

 

[MaxMuster]

... na toll, und dafür suche ich so lange ;-) ;-) ;-) ;-)

 

[matze1985]

das sieht auf alle fälle mal sehr gut aus

Ich habe noch einen Rechtschreibfehler gefunden, den ich bei mir auch hatte.
Komme jetzt nicht an meinen Rechner, aber sobald daran komme werde ich es kompilieren, und brichten.

Danke

 

[Darkyputz]

was geanu habt ihr da jetzt geändert?
is der langauge fehler den ich gepostet hatte raus?

@matze...ich komme bei gelegenheit auf den pm hinweis zurück ;-)

 

[matze1985]

in derm diff, wurden die Patches vom Namen har etwas angepasst.
Desweiteren wird jetzt der SSL-Teil versteckt, wenn ssl nicht ausgewählt wurde.
Und auch der lang-Fehler wurde behoben.

 

[matze1985]

Habe den patch im ersten Posting aktualisiert, es haben noch ein paar umlaute und ein Rechtschreibfehler gefehlt, aber sonst hat bei mir alles gepasst.

 

[Darkyputz]

muss da mal kurz was fragen...mit den neuen libs gibts das hier und kein webif von avm mehr...

*** 2008-11-20 22:26:54(1) [Segmentation fault] ctlmgr(8429) CRASHED at md5_block_data_order+0x48 (/usr/lib/libcrypto.so.0.9.8 at 0003510c) accessing _gp+0x29c0aad1 (/lib/libtiinterpreter.so at 29c33ef1) ***
Segmentation fault

gibts da bei euch nen trick?