pdadmin-forum

pdadmin-forum » PD-Admin » Anwendung » proftp mit TLS Sicherheit » Hallo Gast [Anmelden|Registrieren]
Letzter Beitrag | Erster ungelesener Beitrag Druckvorschau | An Freund senden | Thema zu Favoriten hinzufügen
Neues Thema erstellen Antwort erstellen
Zum Ende der Seite springen proftp mit TLS Sicherheit
Autor
Beitrag « Vorheriges Thema | Nächstes Thema »
RudiX
Mitglied


Dabei seit: 03.11.2004
Beiträge: 318
Herkunft: Frankfurt

proftp mit TLS Sicherheit Antworten | Zitieren | Editieren | Melden       Zum Anfang der Seite springen

Hi @ all,

habe die SE 3-0.243 und pdadmin v4.23 im Einsatz.

habe unter FTP-Konten, Zusatzkonten einen ftp User angelegt f5.

in meiner proftpd.conf habe ich folgenden Abschnitt, wobei der Pfad zum Zertifikat korrekt ist, funktioniert über https sowie pop3s und smtps.

(habe in folgendem Abschnitt lediglich den fqdn durch <xxxfqdnxxx> ersetzt.
code:
1:
2:
3:
4:
5:
6:
7:
8:
9:
10:
<IfModule mod_tls.c>
TLSEngine                  on
TLSProtocol SSLv3 TLSv1
TLSRSACertificateFile      /opt/pdadmin/sslcerts/<xxxfqdnxxx>-cert
TLSRSACertificateKeyFile   /opt/pdadmin/sslcerts/<xxxfqdnxxx>-key
TLSCACertificateFile       /opt/pdadmin/sslcerts/<xxxfqdnxxx>-cacert
TLSVerifyClient            off
TLSRequired                off
TLSRenegotiate none
</IfModule>

Ich vermute, dass dieser Abschnitt von dem script "ci-ssl-install.sh" gesetzt wurde.

Damit gehe ich doch davon aus, dass ich proftp über TLS betreiben kann. Aber egal wie ich
TLSVerifyClient oder TLSRequired einstelle, es geht nicht über meinen Filezilla-Client, der immer alles brav macht :-))

Das passwd von vadmin ist sowohl in der pdadmin.conf als auch in der proftpd.conf das gleiche.

Über Port 21, passwort unverschlüsselt klappt die Verbindung, aber eben ohne jegliche Sicherheit.

Woran kann das noch liegen???
ich möchte einem Kunden ausser /bin/false keine Shell zuweisen.

Vielen Dank für die kommenden Infos,
Liebe Grüße,
RudiX
19.10.2014 18:24 RudiX ist offline E-Mail an RudiX senden Beiträge von RudiX suchen Nehme RudiX in Deine Freundesliste auf
RudiX
Mitglied


Dabei seit: 03.11.2004
Beiträge: 318
Herkunft: Frankfurt

Themenstarter Thema begonnen von RudiX
RE: proftp mit TLS Sicherheit Antworten | Zitieren | Editieren | Melden       Zum Anfang der Seite springen

Hi @ all,

funktioniert das bei einem ausser über den Standard FTP-Port?
20.11.2014 19:31 RudiX ist offline E-Mail an RudiX senden Beiträge von RudiX suchen Nehme RudiX in Deine Freundesliste auf
webby
Mitglied


Dabei seit: 27.11.2009
Beiträge: 375

Antworten | Zitieren | Editieren | Melden       Zum Anfang der Seite springen

*buddel*
Hi RudiX,
ich habe das gleiche Problem mit
php:
1:
2:
PD-Admin Version:        pd-admin version v4.58
Installierte SE :        0.310

Wie konntest Du das Problem seinerzeit lösen?
02.05.2018 17:21 webby ist offline E-Mail an webby senden Beiträge von webby suchen Nehme webby in Deine Freundesliste auf
Sumeragi
Mitglied


Dabei seit: 19.07.2016
Beiträge: 120

Antworten | Zitieren | Editieren | Melden       Zum Anfang der Seite springen

Mit einer Fehlermeldung hätte man zumindest Mal einen Ansatz Augenzwinkern Was meldet denn die FTP Client bei einem Verbindungsversuch? Wie sind die Einstellungen im FTP Client? Steht etwas im in den Server Logs?
03.05.2018 07:32 Sumeragi ist offline E-Mail an Sumeragi senden Homepage von Sumeragi Beiträge von Sumeragi suchen Nehme Sumeragi in Deine Freundesliste auf
webby
Mitglied


Dabei seit: 27.11.2009
Beiträge: 375

Antworten | Zitieren | Editieren | Melden       Zum Anfang der Seite springen

Vorrausgesetzt er konnte es lösen wäre es ja einfach gewesen ^^
Aber hier etwaige Fehlermeldungen in der Hoffnung das wir eine Lösung finden:

FileZilla
code:
1:
2:
3:
4:
5:
6:
7:
8:
9:
10:
11:
12:
13:
14:
15:
16:
17:
18:
19:
20:
21:
22:
23:
24:
25:
26:
27:
28:
29:
30:
31:
32:
33:
Status: Verbinde mit x1x.x2x.x3x.x4x:21...
Status: Verbindung hergestellt, warte auf Willkommensnachricht...
Status: Initialisiere TLS...
Status: Überprüfe Zertifikat...
Status: TLS-Verbindung hergestellt.
Status: Angemeldet
Status: Empfange Verzeichnisinhalt...
Befehl: PWD
Antwort: 257 "/" is the current directory
Befehl: TYPE I
Antwort: 200 Type set to I
Befehl: PASV
Antwort: 227 Entering Passive Mode (x1x,x2x,x3x,x4x,144,92).
Befehl: MLSD
Fehler: Zeitüberschreitung der Verbindung nach 20 Sekunden Inaktivität
Fehler: Verzeichnisinhalt konnte nicht empfangen werden
Status: Verbindung zum Server getrennt
Status: Verbinde mit x1x.x2x.x3x.x4x:21...
Status: Verbindung hergestellt, warte auf Willkommensnachricht...
Status: Initialisiere TLS...
Status: Überprüfe Zertifikat...
Status: TLS-Verbindung hergestellt.
Status: Angemeldet
Status: Empfange Verzeichnisinhalt...
Befehl: PWD
Antwort: 257 "/" is the current directory
Befehl: TYPE I
Antwort: 200 Type set to I
Befehl: PASV
Antwort: 227 Entering Passive Mode (x1x,x2x,x3x,x4x,128,242).
Befehl: MLSD
Fehler: Zeitüberschreitung der Verbindung nach 20 Sekunden Inaktivität
Fehler: Verzeichnisinhalt konnte nicht empfangen werden

Meldung in messages
code:
1:
2:
3:
4:
May  2 16:53:02 SERVER proftpd: 2018-05-02 16:53:02,615 SERVER.FQDN proftpd[2951] 127.0.0.2 (x1x.x2x.x3x.x4x[x1x.x2x.x3x.x4x]): FTP session opened.
May  2 16:53:03 SERVER proftpd: 2018-05-02 16:53:03,735 SERVER.FQDN proftpd[2951] 127.0.0.2 (x1x.x2x.x3x.x4x[x1x.x2x.x3x.x4x]): USER PDUSERID: Login successful.
May  2 17:03:04 SERVER proftpd: 2018-05-02 17:03:04,221 SERVER.FQDN proftpd[2951] 127.0.0.2 (x1x.x2x.x3x.x4x[x1x.x2x.x3x.x4x]): Client session idle timeout, disconnected
May  2 17:03:04 SERVER proftpd: 2018-05-02 17:03:04,223 SERVER.FQDN proftpd[2951] 127.0.0.2 (x1x.x2x.x3x.x4x[x1x.x2x.x3x.x4x]): FTP session closed.


Denke übrigens das es am "MLSD" anstelle von "LIST" liegt...
Aber das setzen von
code:
1:
2:
3:
  <IfModule mod_facts.c>
    FactsAdvertise off
  </IfModule>

in der /usr/local/pd-admin2//etc/proftpd.conf hatte keinen Erfolg.

Wenn man im FileZilla-Client hingegen beim
Servermanager bei „Verbindungsart“ auswählt: „Nur unverschlüsseltes FTP verwenden (unsicher)
klappt es übrigens :/
04.05.2018 08:58 webby ist offline E-Mail an webby senden Beiträge von webby suchen Nehme webby in Deine Freundesliste auf
Sumeragi
Mitglied


Dabei seit: 19.07.2016
Beiträge: 120

Antworten | Zitieren | Editieren | Melden       Zum Anfang der Seite springen

Bisher hatte ich immer nur Daten per SFTP übertragen. FTPS hatte ich bisher nie getestet...

Bei mir kam es zunächst aber auch zu einem Timeout nach dem 'MLSD' Befehl. Grund dafür war ein fehlender Eintrag in der proftpd Konfig und die Firewall.

Mein Server:
  • Server mit CentOS
  • PDA 4.58
  • SE 4-0.312


In /usr/local/pd-admin2/etc/proftpd.conf habe ich den Eintrag

code:
1:
PassivePorts 6000 6100


unterhalb von DefaultRoot gesetzt. Anschließend den Service mit

code:
1:
svc -du /service/proftpd


neu gestartet. Zum Schluss noch die Ports 6000-6100 in der Firewall freigegeben:

code:
1:
2:
firewall-cmd --add-port=6000-6100/tcp --permanent
firewall-cmd --reload


Das war es. Anschließnd klappte es mit expliziten FTPS Verbindungen. Bei impliziten FTPS Verbindung wird Port 990 verwendet. Soweit ich es gelesen habe, wird dies aber nicht mehr von mod_tls unterstützt. Daher geht nur explizites TLS.
11.05.2018 21:17 Sumeragi ist offline E-Mail an Sumeragi senden Homepage von Sumeragi Beiträge von Sumeragi suchen Nehme Sumeragi in Deine Freundesliste auf
webby
Mitglied


Dabei seit: 27.11.2009
Beiträge: 375

Antworten | Zitieren | Editieren | Melden       Zum Anfang der Seite springen

Super, vielen Dank dafür @Sumeragi!
Habe mal geben das ganze zu testen - wenn ich Rückmeldung bekomme, gebe ich kurz bescheid. Sieht schon einmal viel versprechend aus!
17.05.2018 11:11 webby ist offline E-Mail an webby senden Beiträge von webby suchen Nehme webby in Deine Freundesliste auf
Baumstruktur | Brettstruktur
Gehe zu:
Neues Thema erstellen Antwort erstellen
pdadmin-forum » PD-Admin » Anwendung » proftp mit TLS Sicherheit

Impressum | Team | Hilfe

Forensoftware: Burning Board, entwickelt von WoltLab GmbH    |    Design entwickelt von You-Online.de