Proftpd verschlüsseln

Computer: Software & Programmierung UNIX & Linux
#1

Hallo weiß jemand wie man proftpd die ftp übertragung verschlüsseln kann? wenn ja wie eird das gemacht wo wird was eingetragen ?

danke im vorraus

gruß stefan

#2

Hallo,

Hallo weiß jemand wie man proftpd die ftp übertragung
verschlüsseln kann? wenn ja wie eird das gemacht wo wird was
eingetragen ?

sofern das Modul mod_tls bereits enthalten ist, muss dies nur in der Konfigurationsdatei proftpd.conf aktiviert werden (nachdem man die nötigen Schlüssel/Zertifikate erstellt hat). Bei vielen Distributionen ist auch schon ein entsprechender Bereich in der Konfigurationsdatei enthalten, der nur auskommentiert werden muss.

Vgl. etwa auch http://www.pro-linux.de/t_netzwerk/burn-ftp-burn.html


PHvL

#3

ja hab ich gemacht nur wenn ich unter windows auf den ftp server zugreif fragt er nicht nach zertifikate kann man das testen ob proftp überhaubt verschlüsselt?

[Bei dieser Antwort wurde das Vollzitat nachträglich automatisiert entfernt]

#4

Hallo,

ja hab ich gemacht nur wenn ich unter windows auf den ftp
server zugreif fragt er nicht nach zertifikate

mit welchem Programm verbindest du dich zum FTP-Server?

Hast du in der proftpd.conf unverschlüsselte Verbindungen zugelassen (TLSRequired off)?

Von wem sind die Zertifikate ausgestellt?

kann man das testen ob proftp überhaubt verschlüsselt?

Es sollte in den Log-Dateien von Client und Server entsprechend vermerkt werden.


PHvL

#5

zu 1: mit File Zilla windows version

zu 2 :die zertifikate hab ich unter root erstellt

zu 3: es wird keine log datei geschrieben :frowning:

meine proftpd.conf :

This is a basic ProFTPD configuration file (rename it to

‚proftpd.conf‘ for actual use. It establishes a single server

and a single anonymous login. It assumes that you have a user/group

„nobody“ and „ftp“ for normal operation and anon.

ServerName „debino ftp server“
ServerType standalone
DeferWelcome off

ShowSymlinks on
MultilineRFC2228 on
DefaultServer on
AllowOverwrite on

TimeoutNoTransfer 600
TimeoutStalled 600
TimeoutIdle 1200

DisplayLogin welcome.msg
DisplayFirstChdir .message

LsDefaultOptions „-l“

DenyFilter *.*/

Uncomment this if you are using NIS or LDAP to retrieve passwords:

#PersistentPasswd off

Port 21 is the standard FTP port.

Port 21

To prevent DoS attacks, set the maximum number of child processes

to 30. If you need to allow more than 30 concurrent connections

at once, simply increase this value. Note that this ONLY works

in standalone mode, in inetd mode you should use an inetd server

that allows you to limit maximum number of processes per service

(such as xinetd)

MaxInstances 30

Set the user and group that the server normally runs at.

User nobody
Group nogroup

Normally, we want files to be overwriteable.

Umask 022 is a good standard umask to prevent new files and dirs

(second parm) from being group and world writable.

Umask 022 022

AllowOverwrite on

Hier meine Ergänzungen

chroot für alle User der Gruppe ftpuser

DefaultRoot /muell

Login nur von Mitgliedern der Gruppe ftpuser erlauben

DenyGroup !ftpuser

Root-Login verbieten und gültige Shell verlangen (in /etc/shells)

RootLogin off
RequireValidShell off

Speed erhoehen

UseReverseDNS off
IdentLookups off

Logging Formate

LogFormat default „%h %l %u %t „%r“ %s %b“
LogFormat auth „%v [%P] %h %t „%r“ %s“
LogFormat write „%h %l %u %t „%r“ %s %b“

Logging aktivieren

alle logins

ExtendedLog /var/log/ftp_auth.log AUTH auth

file/dir Zugriff

ExtendedLog /var/log/ftp_access.log WRITE,READ write

für paranoide (vorsicht, erzeugt grosse Logfiles)

#ExtendedLog /var/log/ftp_paranoid.log ALL default

TLSEngine on
TLSLog /var/log/proftpd/tls.log
TLSProtocol SSLv23
TLSOptions NoCertRequest
TLSRSACertificateFile /etc/proftpd/ssl/host.cert
TLSRSACertificateKeyFile /etc/proftpd/ssl/host.key
TLSVerifyClient off
TLSRequired off

[Bei dieser Antwort wurde das Vollzitat nachträglich automatisiert entfernt]

#6

Hallo,

mit welchem Programm verbindest du dich zum FTP-Server?

zu 1: mit File Zilla windows version

hast du ihm gesagt, dass du die Verbindung verschlüsseln willst (Protokoll FTPES, in der Leiste oben kannst du einfach ftpes:// vor den Servernamen stellen)?

Hast du in der proftpd.conf unverschlüsselte Verbindungen
zugelassen (TLSRequired off)?

TLSRequired off

Also ja - wenn du versuchst eine unverschlüsselte Verbindung aufzubauen, so akzeptiert der Server dies. Stünde hier nicht off sondern on oder ctrl, so würde der Server unverschlüsselte Verbindungen verweigern.

Von wem sind die Zertifikate ausgestellt?

zu 2 :die zertifikate hab ich unter root erstellt

Also sind sie nicht von einer dem Client als vertrauenswürdig bekannten Instanz ausgestellt? Dann sollte mindestens beim ersten Versuch, eine verschlüsselte Verbindung aufzubauen, in der Tat eine Rückfrage kommen.

Es sollte in den Log-Dateien von Client und Server
entsprechend vermerkt werden.

zu 3: es wird keine log datei geschrieben :frowning:

FileZilla bietet aber auf alle Fälle das Nachrichtenprotokoll (standardmäßig oben quer), in dem bei verschlüsselten Verbindungen eine Meldung wie „Status: TLS/SSL-Verbindung hergestellt.“ auftaucht.


PHvL

#7

ne leider tut sich garnix TLS required steht auf on tut sich garnix keine abfrage und filezilla kann sich auch nicht verbinden nur normal ohne verschlüsselung .Filezilla zeigt nur an verbindung kann nicht hergestellt werden

[Bei dieser Antwort wurde das Vollzitat nachträglich automatisiert entfernt]

#8

Hallo,
Folgepostings sind wesentlich leichter lesbar, wenn man nur das zitiert, worauf man sich tatsächlich bezieht. Einen Überblick gibt Abschnitt 2 von http://learn.to/quote/.

ne leider tut sich garnix TLS required steht auf on tut sich
garnix keine abfrage und filezilla kann sich auch nicht
verbinden nur normal ohne verschlüsselung.

Hast du nach der Änderung proftpd die Konfiguration neu laden lassen oder ihn neu gestartet?


PHvL

#9

ja komplett gestoppt und wieder gestartet ein paar mal sogar ändert sich nix drann :frowning: appropo zertifikate wie werden die ordnungsgemäß erstellt ich hab ein paar anleitungen probiert leider ohne erfolg die haben die endung .pem da stimmt doch etwas nicht oder?

[Bei dieser Antwort wurde das Vollzitat nachträglich automatisiert entfernt]

#10

Hallo,

ne leider tut sich garnix TLS required steht auf on tut sich
garnix keine abfrage und filezilla kann sich auch nicht
verbinden nur normal ohne verschlüsselung.

Hast du nach der Änderung proftpd die Konfiguration neu laden
lassen oder ihn neu gestartet?

ja komplett gestoppt und wieder gestartet ein paar mal sogar
ändert sich nix drann

hast du die richtige Konfigurationsdatei editiert? Vgl. ‚proftpd -V‘ - das kann allerdings auch davon abhängen, wie deine Distribution proftpd startet.

Ist mod_tls.c einkompiliert (vgl. ‚proftpd -l‘) oder wird es nachgeladen? Du kannst proftpd z.B. mal mit dem Parameter ‚-d 5‘ starten, um an den Debug-Meldungen zu sehen ob das Modul geladen wird.

:frowning: appropo zertifikate wie werden die ordnungsgemäß erstellt
ich hab ein paar anleitungen probiert leider ohne erfolg die
haben die endung .pem da stimmt doch etwas nicht oder?

Das ist durchaus richtig, .pem steht dafür, dass der Schlüssel oder das Zertifikat Base64-codiert ist.

Die sauberste Lösung ist, wenn das Zertifikat, welches die Echtheit des Schlüssels bestätigen soll, von einer Zertifizierungsinstanz ausgestellt wird - die gibt es kostenpflichtig oder kostenlos (etwa CAcert). Ist der Server nur für einen geshlossenen Benutzerkreis oder zu Testzwecken, kann man auch selbst eine CA aufbauen oder es mit dem Schlüssel selbst ausstellen.


PHvL

#11

die mod_tls.c fehlt die ist nicht einkompiliert :frowning: wie kompilire ich die nachträglich ein? hab proftpd ja mit apt-get instaliert für debian etch

[Bei dieser Antwort wurde das Vollzitat nachträglich automatisiert entfernt]

#12

Hallo,

die mod_tls.c fehlt die ist nicht einkompiliert :frowning: wie
kompilire ich die nachträglich ein? hab proftpd ja mit apt-get
instaliert für debian etch

unter Debian Etch wird mod_tls.c als DSO-Module (Dynamic Shared Object) nachgeladen und ist in der Tat nicht einkompiliert. Zu diesem Zweck befindet sich am Anfang der Standardkonfigurationsdatei /etc/proftpd/proftpd.conf (warum hast du die nicht benutzt?) der Abschnitt

# Includes DSO modules
Include /etc/proftpd/modules.conf

und in der dort eingebundenen /etc/proftpd/modules.conf wird dann insbesondere das TLS-Modul geladen.


PHvL

#13

die zeile Include /etc/…/modules.conf steht in der proftpd.conf hier mal die debug meldungen.

debino:/etc/init.d# proftpd -d 5

[Bei dieser Antwort wurde das Vollzitat nachträglich automatisiert entfernt]

#14

hier die datei TLS.log:

Feb 04 08:38:13 mod_tls/2.1.1[2592]: using default OpenSSL verification locatio$
Feb 04 08:38:13 mod_tls/2.1.1[2592]: SSL/TLS-P requested, starting TLS handshake
Feb 04 08:38:13 mod_tls/2.1.1[2592]: TLSv1/SSLv3 connection accepted, using cip$
Feb 04 08:38:21 mod_tls/2.1.1[2592]: Protection set to Private

also verbinden macht er er fragt auch nach zetifikat nur stimmt man das zu dann kommt verbindung kann nicht hergestellt werden :frowning: unter file ziller

[Bei dieser Antwort wurde das Vollzitat nachträglich automatisiert entfernt]

#15

Hallo,

also verbinden macht er er fragt auch nach zetifikat nur
stimmt man das zu dann kommt verbindung kann nicht hergestellt
werden :frowning: unter file ziller

welche Fehlermeldung kommt denn in Filezilla?

BTW: debino.org ist offensichtlich nicht registriert. Ich halte es für ungeschickt lokal eine Domain mit einer echten TLD zu verwenden, welche man nicht besitzt.


PHvL

#16

Status: Verbinden mit 192.168.2.80…
Status: Verbunden mit 192.168.2.80, SSL-Verbindung wird ausgehandelt…
Antwort: 220 ProFTPD 1.3.0 Server (debino ftp server) [::ffff:192.168.2.80]
Befehl: AUTH SSL
Antwort: 234 AUTH SSL successful
Status: SSL-Verbindung hergestellt. Warten auf Willkommens-Meldung…
Befehl: PBSZ 0
Antwort: 200 PBSZ 0 successful
Befehl: PROT P
Antwort: 200 Protection set to Private
Befehl: USER stefan

danach geht nix mehr

und über den befehl ftp://dann die ip/ kann er den server zwar erreichen aber kanne zugriffsrechte

tls log datei.

Feb 04 12:45:29 mod_tls/2.1.1[3346]: using default OpenSSL verification locatio$
Feb 04 12:45:29 mod_tls/2.1.1[3346]: SSL/TLS-P requested, starting TLS handshake
Feb 04 12:45:29 mod_tls/2.1.1[3346]: TLSv1/SSLv3 connection accepted, using cip$
Feb 04 12:45:30 mod_tls/2.1.1[3346]: Protection set to Private

[Bei dieser Antwort wurde das Vollzitat nachträglich automatisiert entfernt]

#17

Hallo,

Befehl: USER stefan
danach geht nix mehr

was heißt „es geht nichts mehr“? So ganz ohne Fehlermeldung kann er an dieser Stelle eigentlich nicht abbrechen - notfalls Debug-Modus hochsetzen (Server und Client).


PHvL

#18

ja dann bleibet er bei „USER“ stehen mit dem server konnte keine verbindung aufgebaut werden

[Bei dieser Antwort wurde das Vollzitat nachträglich automatisiert entfernt]

#19

Hallo,

was heißt „es geht nichts mehr“? So ganz ohne Fehlermeldung
kann er an dieser Stelle eigentlich nicht abbrechen - notfalls
Debug-Modus hochsetzen (Server und Client).

ja dann bleibet er bei „USER“ stehen mit dem server konnte
keine verbindung aufgebaut werden

Log-Eintrag auf dem Server?

Gibt es mehr Informationen, wenn du das Debug-Level höher einstellst?

Benutzt du tatsächlich die Standard-Konfiguration, die nur um TLS erweitert wurde?


PHvL

#20

ja die standart einstellung mit der zugabe von TLS nein mehr infos gibt es nicht

[Bei dieser Antwort wurde das Vollzitat nachträglich automatisiert entfernt]