Rechte und TLS

[tobb]

Hallo,

ich habe zwei Fragen:

1. Wie erzwinge ich die Zugriffsrechte und Besitzerrechte bei Daten die auf den FTP-Server kopiert werden? Jede Datei soll dem jeweiligen Benutzer gehören (ist ja automatisch so) die Gruppe soll aber immer "ftpuser" sein und die Zugriffsrechte immer auf 750 (rwxr-x---) stehen.

2. Wie realisiere ich FTP mittels SSL/TLS? In jedem HowTo das ich finde steht (unerklärt) die Zeile

Code:

openssl req -new -x509 -nodes -sha1 -days 365 -key host.key > host.cert

Gelten diese Zertifikate dann nur 1 Jahr, was muss der Client beachten etc...


Allgemein suche ich gute Tutorials über proftpd. Ich habe zwar einige HowTos gefunden, welche sich aber sehr ähneln und bei mir viele Fragen offen lassen.
Ich suche ausführlicheres...

[VolGas]

Hallo!

Siehe ->"GroupOwner", ->"Umask", ...
Alles weitere findest Du bei der Aufstellung der ->Direktiven

HowTo's findest Du hier auf Stonki's Site unter Support: siehe ->FAQ und ->Docs

Wenn Dir dieses ->HowTo nicht reichen sollte, um Deinen Server mit TLS zum
Laufen zu bringen und/oder Du genau wissen möchtest, was wie warum im einzelnen
passiert, dann mußt Du Dich eben vielleicht hinsetzten, das Gehirn einschalten (was
wird wohl "-days 365" bedeuten???) und die einzelnen Themen selbst studieren -
und hinterher vielleicht ein Buch darüber schreiben.
Wenn Du z.B. mehr über SSL wissen möchtest, ist ein guter Einstiegspunkt ein Artikel
bei ->Wikipedia, noch mehr gibt es zu Hauf im Internet...

Sorry, das mag sehr arrogant und hart klingen, aber den goldenen Löffel wirst Du wohl
nirgends finden. Eine einfache und gute Anleitung wie's geht (sechs Zeilen Konfiguration!)
und eine IMHO ausreichende Erklärung findest Du aber sehr wohl hier.

mfg.
  VolGas

[tobb]

So...

folgendes steht in meiner proftpd.conf

Code:

Umask                           026  026

...

<Directory ~>
 GroupOwner ftpuser
</Directory>

Kopiere ich nun eine Datei mittels KFTPGrabber (als Berechtigter User) auf den FTP-Server so wird (egal welche Umask die Datei vorher hatte) die Umask aus der proftpd.conf auf die Datei angewendet und der Guppenbesitzer ist ftpuser. Also alles so, wie es sein soll. Sehr schön!

Aaaaber... mach ich das ganze anstatt mit dem KFTPGrabber mit dem KDE Konqueror so stimmt wenigstens die Gruppe ftpuser, allerdings wird die original Umask der Datei übernommen und nicht die aus der proftpd.conf. Warum?

[VolGas]

Ich kenne diese Programme nicht, aber ich kann mir vorstellen, daß der KDE Konqueror
eine "perfekte" Kopie macht: er überprüft die Zugriffsrechte und definiert bei der neuen
Datei die selben Rechte explizit wieder.

Wenn Du den FTP-Befehl "site chmod" blockierst:

  <Limit SITE_CHMOD>
    DenyAll
  </Limit>

dann ist auch dies nicht mehr möglich und Deine Umask ist absolut.

mfg.
  VolGas

[tobb]

Danke, hat funktioniert.


Nochmal zum OpenSSL Zertifikat.
Die Option mit dem "-days 365"...

Code:

-days n
           when the -x509 option is being used this specifies the number of days to certify the certificate for. The
           default is 30 days.

Heißt das nun, das dieses Zertifikat nach einem Jahr abläuft? Also muss man dann ein neues erstellen?
Kann man nicht eins erstellen, welches ewig gültig ist?

[VolGas]

JA!
JA!
NEIN - nur eines, das sehr alt werden kann,
z.B. -days=3652 für etwa 10 Jahre oder
-days=5479 für etwa 15 Jahre oder
-days=7305 für etwa 20 Jahre...

Angekommen?

Das Thema dieses Forums ist der ProFTPD, alles andere ist off-topic und im
"restlichen" Internet in Massen zu finden. Aus dem Grund werde ich hier keine
weiteren Fragen bzgl. TLS, Zertifikaten usw. beantworten - es sei denn, es hat
wieder etwas speziell mit dem ProFTPD zu tun.

mfg.
  VolGas

[tobb]

Danke.

Nun sehen meine TLS Einstellungen so aus:

Code:

TLSEngine                       on
TLSLog                          /var/log/tls.log
TLSProtocol                     TLSv1
TLSOptions                      NoCertRequest
TLSRSACertificateFile           /etc/ssl/certs/proftpd.cert.pem
TLSRSACertificateKeyFile        /etc/ssl/certs/proftpd.key.pem
TLSVerifyClient                 off

Möchte ich mich mitdem FileZilla mit meinem FTP-Server verbinden (ich wähle dor "FTP über TLS (Explizite Verschlüsselung)" aus), erscheinen folgende Felermeldungen:

Code:

Status: Verbinden mit freitag...
Status: Verbunden mit freitag, SSL-Verbindung wird ausgehandelt...
Antwort: 220 ProFTPD 1.2.10 Server (freitag) [192.168.0.200]
Befehl: AUTH TLS
Antwort: 234 AUTH TLS successful
Status: SSL-Verbindung hergestellt. Warten auf Willkommens-Meldung...
Befehl: USER tobiftp
Antwort: 331 Password required for tobiftp.
Befehl: PASS *********
Antwort: 230 User tobiftp logged in.
Befehl: SYST
Antwort: 215 UNIX Type: L8
Befehl: FEAT
Antwort: 211-Features:
Antwort: 211-MDTM
Antwort: 211-REST STREAM
Antwort: 211-SIZE
Antwort: 211-AUTH TLS
Antwort: 211-PBSZ
Antwort: 211-PROT
Antwort: 211 End
Befehl: PBSZ 0
Antwort: 200 PBSZ 0 successful
Befehl: PROT P
Antwort: 200 Protection set to Private
Status: Verbindung hergestellt
Status: Verzeichnisinhalt wird abgeholt...
Befehl: PWD
Antwort: 257 "/" is current directory.
Befehl: TYPE A
Antwort: 200 Type set to A
Befehl: PASV
Antwort: 227 Entering Passive Mode (192,168,0,200,130,214).
Befehl: LIST
Antwort: 150 Opening ASCII mode data connection for file list
Fehler: Verbindung getrennt
Fehler: Dateiliste konnte nicht empfangen werden

Dabei wird mir ein schönes Fenster vor Augen geführt wo meine Daten mit denen ich das Zertifikat erstellt habe gezeigt werden. Ich klicke auf Akzeptieren.

Hab ich da vielleicht etwas in de Config vermurkst.
Für TLSProtocol kann man TLSv1 oder SSLv23 angeben. Was wird richtig unterstützt und was ist besser für proftpd?

[VolGas]

Es gibt drei verschiedene Modi für "TLSProtocol".
Hier ein Auszug der Original-Website des Entwicklers:

The allowed protocols are:

SSLv23   Compatibility mode, used to allow both SSLv3 and TLSv1
SSLv3   Allow only SSLv3
TLSv1   Allow only TLSv1

All use of SSLv2 is disabled. SSLv2 should not be used.

Die "beste" Einstellung, also die erfolgversprechendste, ist "SSLv23".

Den FTP-Client im passive mode ist ok und soweit sieht eigentlich alles gut aus.
Versuche einmal eine Verbindung ohne TLS (also nur "TLSEngine" auf "off") -
es sieht mämlich so aus, als ob bei Dir die sog. "high ports" nicht erreichbar wären.

Ist Deine Servermaschine hinter einem Router (Stichwort: NAT) oder hast Du eine
Firewall (bzw. IPtables) zwischen den beiden Maschinen?

mfg.
  VolGas

[tobb]

Ich habe das ganze TLS Zeug erst später in die ProFTPD Config aufgenommen. Davor lief er ohne und eine Verbindung konnte sowohl vom LAN als auch vom Internet problemlos hergestellt werden.
Ich habe ja auch nicht TLSRequired auf on stehen, also ich kann trotzdem eine Verbindung herstellen, wenn ich beim FileZilla kein TLS auswähle.
Wähle ich es aber beim FileZilla aus, so funktioniert es nicht mehr (siehe Fehler oben).

Ich habe TSLProtocol jetzt auf SSLv23 stehen.
Aber egal was ich auswähle (SSL/TLS Implizite Verschlüsselung, SSL Explizite Verschlüsselung oder TLS Explizite Verschlüsselung) nichts funktioniert.
Jedesmal akzeptiere ich mein Zertifikat und wenn er die Dateiliste holen will scheitert er.

[VolGas]

Hier haben wir das Szenario, wie es leider immer wieder vorkommt.
Wenn Du die Postings der letzten Wochen durchsiehst, wirst Du mehrfach darauf stoßen.
Siehe z.B. auch mein letztes Posting ->proftp TLS und die Firewall,
dort habe ich mich ein klein wenig ausführlicher auf das Thema eingelassen.

Sorry, aber hier enden meine Hilfsmöglichkeiten,
da das Thema an sich nahezu keine Lösung zuläßt.

mfg.
  VolGas