www.ProFTPD.de
13. März 2007, 20:03:29 *
Willkommen Gast. Bitte einloggen oder registrieren.
Haben Sie Ihre Aktivierungs E-Mail übersehen?

Einloggen mit Benutzername, Passwort und Sitzungslänge
News: SMF - Neu installiert!
 
   Übersicht   Hilfe Suche Login Registrieren  
Seiten: [1]   Nach unten
  Drucken  
Autor Thema: Sicheres FTP ohne ssh - geht das?  (Gelesen 336 mal)
0 Mitglieder und 1 Gast betrachten dieses Thema.
tom
ProFTPD
*
Offline Offline

Beiträge: 15


Profil anzeigen
« am: 06. November 2006, 22:03:55 »

Gibt es tls für ftp? Ich meine so etwas gehört zu haben.
Falls ja: evt. einen Link zu einem Howto?

Falls nein:Was gibt es sonst für Alternativen einer sicheren bzw. verschlüssselten ftp Verbindung?
Gespeichert
tom
ProFTPD
*
Offline Offline

Beiträge: 15


Profil anzeigen
« Antwort #1 am: 06. November 2006, 22:24:23 »

Gibt es tls für ftp? Ich meine so etwas gehört zu haben.

Scheint es ja wohl zu geben. So was mit mod_tls. Richtig?
Wieso ist dann sowas nicht Standard? Doch nicht etwas wegen der clients?
Gespeichert
VolGas
Moderator
ProFTPD
*****
Offline Offline

Beiträge: 771



Profil anzeigen
« Antwort #2 am: 06. November 2006, 23:11:09 »

Hallo,

warum liest Du nicht einfach einmal nach bei ->Support->Docs->HowTo: SFTP (TLS, verschlüsseltes FTP) -
ich glaube, da steht alles, was Du wissen möchtest...

mfg.
  VolGas
Gespeichert
tom
ProFTPD
*
Offline Offline

Beiträge: 15


Profil anzeigen
« Antwort #3 am: 06. November 2006, 23:22:18 »

Hallo,

warum liest Du nicht einfach einmal nach bei ->Support->Docs->HowTo: SFTP (TLS, verschlüsseltes FTP) -
ich glaube, da steht alles, was Du wissen möchtest...

mfg.
  VolGas
Weil ich es nicht soo000 schnell wie Du gefunden habe.
Danke, super.
Da werde ich mich trotz der späten Stunde gleich drüber her machen...
Gespeichert
tom
ProFTPD
*
Offline Offline

Beiträge: 15


Profil anzeigen
« Antwort #4 am: 07. November 2006, 00:45:33 »

Da werde ich mich trotz der späten Stunde gleich drüber her machen...

Gesagt getan:
Zitat
server01:/etc# /etc/init.d/proftpd restart
Restarting ProFTPD ftp daemon.proftpd.
.. - setting default address to 127.0.0.1
proftpd.
 done.
server07:/etc# telnet localhost 21
Trying 127.0.0.1...
Connected to localhost.
Escape character is '^]'.
220 ProFTPD 1.2.10 Server (ftp Server) [127.0.0.1]
ehlo test.de
550 SSL/TLS required on the control channel

Aber das hier 220 ProFTPD 1.2.10 Server (ftp Server) [127.0.0.1] gefällt mir nicht.
Und das ist da obwohl proftpd.conf so aussieht:
Zitat
ServerName          "FTP Server"
ServerType          standalone

DefaultRoot          "~web"
IdentLookups         off
IdentLookups off
UseReverseDNS off

DeferWelcome            off

MultilineRFC2228        on
DefaultServer           on
ShowSymlinks            on

TimeoutNoTransfer       600
TimeoutStalled          600
TimeoutIdle         1200

DisplayLogin                    welcome.msg
DisplayFirstChdir               .message
#ListOptions                    "-l"
ListOptions +R strict
AllowOverride off

Gespeichert
VolGas
Moderator
ProFTPD
*****
Offline Offline

Beiträge: 771



Profil anzeigen
« Antwort #5 am: 07. November 2006, 10:33:16 »

Versuche es einmal damit: ServerIdent on "FTP server ready."
Eine weitere Quelle "tiefreichender Erkenntnisse" befindet sich auf Stonki's Website
unter ->Support:Direktiven versteckt... Zwinkernd

mfg.
  VolGas
Gespeichert
tom
ProFTPD
*
Offline Offline

Beiträge: 15


Profil anzeigen
« Antwort #6 am: 07. November 2006, 14:22:55 »

Versuche es einmal damit: ServerIdent on "FTP server ready."
Eine weitere Quelle "tiefreichender Erkenntnisse" befindet sich auf Stonki's Website
unter ->Support:Direktiven versteckt... Zwinkernd

mfg.
  VolGas
So, es gibt noch 2 ungelöste Probleme. Das eine ist nach wie vor:
ServerIdent on "FTP server ready." und konnte mit den unterschiedlichen Angaben bei ServerIdent nicht gelöst werden.

Das 2. wichtigere ist, dass ich mit keinem der benutzten Clients mit dem proftp verbinden konnte da immer den Fehler 550 ... bringt. Ich habe Filezilla in Versin 2.2..29 und 3beta probiert wie auch wsftppro. Das Ergebnis bzw. die Anzeige des Clients ist immer dieselbe:
Zitat
Verbinden mit 192.168.1.1:21
Verbunden mit 192.168.1.1 in 3.304752 s, Warten auf Server-Antwort
220 FTP server ready.
Host type (1): Automatisch
USER web4
550 SSL/TLS required on the control channel

Ich habe die Vermutung, dass es gar nicht am Client liegt...?
Was könnte es sein?
Gespeichert
tom
ProFTPD
*
Offline Offline

Beiträge: 15


Profil anzeigen
« Antwort #7 am: 07. November 2006, 14:52:30 »


Ich habe noch etwas eigenartige in den syslogs gefunden:
Zitat
ExtendedLog '/var/log/proftpd.paranoid_log' uses unknown format nickname 'default'

Aber wie zu sehen ist melde ich mich mit dem USER web4 an. Das geht auch wunderbar ohne tls.

Zitat
USER web4
550 SSL/TLS required on the control channel


Gespeichert
VolGas
Moderator
ProFTPD
*****
Offline Offline

Beiträge: 771



Profil anzeigen
« Antwort #8 am: 07. November 2006, 14:56:40 »

Erstens: ich weiß noch, was ich Dir geschrieben hatte, bitte nicht alles noch einmal als Zitat.
Notfalls könnte ich es noch einmal nachlesen.

Zweitens: mir ist nicht ganz klar, was Du haben möchtest. Mit "ServerIdent" definiert man
seine Servermeldung eben selbst. Vielleicht solltest Du einmal Deine proftpd.conf hier posten...

Drittens: TLS sollte man erst dann einschalten, wenn der Regelbetrieb ohne einwandfrei
funktioniert. Dazu einfach "TLSEngine off" setzen - den Rest kann man dann belassen.
Wenn man nicht möchte, daß der Client sich zwangsweise mit TLS einloggen oder selbst ein
Zertifikat haben muß, so sind die Direktiven "TLSRequired off" und "TLSVerifyClient off"
anzuwenden.

Ein sehr ausführliches Konfigurationsbeispiel findest Du hier unter ->"Standard Deluxe".
Darin findest Du jedes gängiges Zenario wieder...

mfg.
  VolGas
Gespeichert
VolGas
Moderator
ProFTPD
*****
Offline Offline

Beiträge: 771



Profil anzeigen
« Antwort #9 am: 07. November 2006, 15:01:00 »

Nachtrag: du hast dein Posting gerade eingestellt, während ich meines noch geschrieben habe:
"unkown format..." kommt daher, da Du das Format zuvor nicht mit "LogFormat default..."
definiert hast.

Ein Zusammenstückeln von unterschiedlich aufgeschnappten Konfigurationsschnipseln ist nicht
immer gerade sehr hilfreich.

mfg.
  VolGas
Gespeichert
tom
ProFTPD
*
Offline Offline

Beiträge: 15


Profil anzeigen
« Antwort #10 am: 07. November 2006, 15:42:31 »

zu 2.
Ich wollte das tun was man mit "ServerIdent" tun kann: Den Servertyp/version verschleiern. Und ich habe jetzt auch die Lösung gefunden:
Es lag an der Vergabe der IP Adressen:

So geht ServerIdent nicht :-(
Zitat
DefaultAddress 127.0.0.1
<VirtualHost 10.0.1.1>
        DefaultRoot             "~/web"
        AllowOverwrite          on
        Umask                   002
</VirtualHost>
So geht ServerIdent :-)
Zitat
DefaultAddress 10.0.1.1
<VirtualHost 10.0.1.1>
        DefaultRoot             "~/web"
        AllowOverwrite          on
        Umask                   002
</VirtualHost>

DefaultAddress 10.0.1.1 hatte ich auf DefaultAddress 127.0.0.1 gesetzt weil beim Starten von proftpd immer das kam:
Zitat
.. - setting default address to 10.0.1.1
 - warning: "ProFTPD" address/port (10.0.1.1:21) already in use ...


zu 3.
Proftp lief bisher wunderbar - nur leider bisher mit der nichtgewollten Angabe  "ProFTPD 1.2.10" und mit plaintext Passwortübertragung.

Das "TLSRequired off" und "TLSVerifyClient off" sein müsseln war mir nicht klar. Ich hatte das hier gelesen:
Zitat
  # Require SSL/TLS on the control channel, so that passwords are not sent
  # in the clear.
  TLSRequired    

  # Require SSL/TLS on both channels.
  TLSRequired on
Und angenommer ich müßte "on" setzen wenn ich will, dass der Daten und er Steuerkanal, über den das Password übertragen wird verschlüsseln möchte.

So wie Du es beschrieben hast geht es. Danke, erst einmal :-) Ich bin nur etwas verunsichert, da ich nicht erkennen kann ob tatsächlich beider Kanäle verschlüsselt werden. Vorher kam ja diese Meldung "550 SSL/TLS required on the control channel". Jetzt zeigt mir Filezilla das:
Zitat
Antwort:   211-AUTH TLS
Heißt das, dass beide Kanäle verschlüsselt werden?
Gespeichert
VolGas
Moderator
ProFTPD
*****
Offline Offline

Beiträge: 771



Profil anzeigen
« Antwort #11 am: 07. November 2006, 15:57:55 »

Ja, natürlich, sonst macht das ja keinen Sinn!

Achtung: der ProFTPD ist kein Apache-Server - ein "VirtualHost" ist hier anders zu sehen!
Der Default-Server wird immer definiert, ein "VirtualHost" ist ein zusätzlicher auf einer
anderen IP und/oder auf einem anderen Port. Deswegen Deine "already in use"-Fehlermeldung!

Die Konfigurationen sind dabei immer einzeln zu sehen: was nicht in einem "<Global>"-
Kontext definiert wurde, ist für jedem Server erneut zu definieren.

Ich versuche dies gerade im vorhergehenden Thread ebenfalls verständlich zu machen,
siehe ->hier

Die ganze Problematik trifft dann natürlich auch für TLS zu: für jeden Server ist ein eigenes
Zertifikat zu definieren und dieses ist mit entsprechenden Direktiven in der proftpd.conf
anzugeben. Am besten siehst Du Dir auch einmal das im o.g. Tread erwähnte Beispiel an.

mfg.
  VolGas
Gespeichert
Seiten: [1]   Nach oben
  Drucken  
 
Gehe zu:  

Powered by MySQL Powered by PHP Powered by SMF 1.1.2 | SMF © 2006-2007, Simple Machines LLC Prüfe XHTML 1.0 Prüfe CSS
Seite erstellt in 0.074 Sekunden mit 19 Zugriffen.