Sicheres FTP ohne ssh - geht das?

[tom]

Gibt es tls für ftp? Ich meine so etwas gehört zu haben.
Falls ja: evt. einen Link zu einem Howto?

Falls nein:Was gibt es sonst für Alternativen einer sicheren bzw. verschlüssselten ftp Verbindung?

[tom]

Gibt es tls für ftp? Ich meine so etwas gehört zu haben.

Scheint es ja wohl zu geben. So was mit mod_tls. Richtig?
Wieso ist dann sowas nicht Standard? Doch nicht etwas wegen der clients?

[VolGas]

Hallo,

warum liest Du nicht einfach einmal nach bei ->Support->Docs->HowTo: SFTP (TLS, verschlüsseltes FTP) -
ich glaube, da steht alles, was Du wissen möchtest...

mfg.
  VolGas

[tom]

Hallo,

warum liest Du nicht einfach einmal nach bei ->Support->Docs->HowTo: SFTP (TLS, verschlüsseltes FTP) -
ich glaube, da steht alles, was Du wissen möchtest...

mfg.
  VolGas

Weil ich es nicht soo000 schnell wie Du gefunden habe.
Danke, super.
Da werde ich mich trotz der späten Stunde gleich drüber her machen...

[tom]

Da werde ich mich trotz der späten Stunde gleich drüber her machen...

Gesagt getan:

server01:/etc# /etc/init.d/proftpd restart
Restarting ProFTPD ftp daemon.proftpd.
.. - setting default address to 127.0.0.1
proftpd.
 done.
server07:/etc# telnet localhost 21
Trying 127.0.0.1...
Connected to localhost.
Escape character is '^]'.
220 ProFTPD 1.2.10 Server (ftp Server) [127.0.0.1]
ehlo test.de
550 SSL/TLS required on the control channel

Aber das hier 220 ProFTPD 1.2.10 Server (ftp Server) [127.0.0.1] gefällt mir nicht.
Und das ist da obwohl proftpd.conf so aussieht:

ServerName          "FTP Server"
ServerType          standalone

DefaultRoot          "~web"
IdentLookups         off
IdentLookups off
UseReverseDNS off

DeferWelcome            off

MultilineRFC2228        on
DefaultServer           on
ShowSymlinks            on

TimeoutNoTransfer       600
TimeoutStalled          600
TimeoutIdle         1200

DisplayLogin                    welcome.msg
DisplayFirstChdir               .message
#ListOptions                    "-l"
ListOptions +R strict
AllowOverride off

[VolGas]

Versuche es einmal damit: ServerIdent on "FTP server ready."
Eine weitere Quelle "tiefreichender Erkenntnisse" befindet sich auf Stonki's Website
unter ->Support:Direktiven versteckt...

mfg.
  VolGas

[tom]

Versuche es einmal damit: ServerIdent on "FTP server ready."
Eine weitere Quelle "tiefreichender Erkenntnisse" befindet sich auf Stonki's Website
unter ->Support:Direktiven versteckt...

mfg.
  VolGas

So, es gibt noch 2 ungelöste Probleme. Das eine ist nach wie vor:
ServerIdent on "FTP server ready." und konnte mit den unterschiedlichen Angaben bei ServerIdent nicht gelöst werden.

Das 2. wichtigere ist, dass ich mit keinem der benutzten Clients mit dem proftp verbinden konnte da immer den Fehler 550 ... bringt. Ich habe Filezilla in Versin 2.2..29 und 3beta probiert wie auch wsftppro. Das Ergebnis bzw. die Anzeige des Clients ist immer dieselbe:

Verbinden mit 192.168.1.1:21
Verbunden mit 192.168.1.1 in 3.304752 s, Warten auf Server-Antwort
220 FTP server ready.
Host type (1): Automatisch
USER web4
550 SSL/TLS required on the control channel

Ich habe die Vermutung, dass es gar nicht am Client liegt...?
Was könnte es sein?

[tom]

Ich habe noch etwas eigenartige in den syslogs gefunden:

ExtendedLog '/var/log/proftpd.paranoid_log' uses unknown format nickname 'default'

Aber wie zu sehen ist melde ich mich mit dem USER web4 an. Das geht auch wunderbar ohne tls.

USER web4
550 SSL/TLS required on the control channel

[VolGas]

Erstens: ich weiß noch, was ich Dir geschrieben hatte, bitte nicht alles noch einmal als Zitat.
Notfalls könnte ich es noch einmal nachlesen.

Zweitens: mir ist nicht ganz klar, was Du haben möchtest. Mit "ServerIdent" definiert man
seine Servermeldung eben selbst. Vielleicht solltest Du einmal Deine proftpd.conf hier posten...

Drittens: TLS sollte man erst dann einschalten, wenn der Regelbetrieb ohne einwandfrei
funktioniert. Dazu einfach "TLSEngine off" setzen - den Rest kann man dann belassen.
Wenn man nicht möchte, daß der Client sich zwangsweise mit TLS einloggen oder selbst ein
Zertifikat haben muß, so sind die Direktiven "TLSRequired off" und "TLSVerifyClient off"
anzuwenden.

Ein sehr ausführliches Konfigurationsbeispiel findest Du hier unter ->"Standard Deluxe".
Darin findest Du jedes gängiges Zenario wieder...

mfg.
  VolGas

[VolGas]

Nachtrag: du hast dein Posting gerade eingestellt, während ich meines noch geschrieben habe:
"unkown format..." kommt daher, da Du das Format zuvor nicht mit "LogFormat default..."
definiert hast.

Ein Zusammenstückeln von unterschiedlich aufgeschnappten Konfigurationsschnipseln ist nicht
immer gerade sehr hilfreich.

mfg.
  VolGas

[tom]

zu 2.
Ich wollte das tun was man mit "ServerIdent" tun kann: Den Servertyp/version verschleiern. Und ich habe jetzt auch die Lösung gefunden:
Es lag an der Vergabe der IP Adressen:

So geht ServerIdent nicht :-(

DefaultAddress 127.0.0.1
<VirtualHost 10.0.1.1>
        DefaultRoot             "~/web"
        AllowOverwrite          on
        Umask                   002
</VirtualHost>

So geht ServerIdent :-)

DefaultAddress 10.0.1.1
<VirtualHost 10.0.1.1>
        DefaultRoot             "~/web"
        AllowOverwrite          on
        Umask                   002
</VirtualHost>

DefaultAddress 10.0.1.1 hatte ich auf DefaultAddress 127.0.0.1 gesetzt weil beim Starten von proftpd immer das kam:

.. - setting default address to 10.0.1.1
 - warning: "ProFTPD" address/port (10.0.1.1:21) already in use ...

zu 3.
Proftp lief bisher wunderbar - nur leider bisher mit der nichtgewollten Angabe  "ProFTPD 1.2.10" und mit plaintext Passwortübertragung.

Das "TLSRequired off" und "TLSVerifyClient off" sein müsseln war mir nicht klar. Ich hatte das hier gelesen:

  # Require SSL/TLS on the control channel, so that passwords are not sent
  # in the clear.
  TLSRequired    

  # Require SSL/TLS on both channels.
  TLSRequired on

Und angenommer ich müßte "on" setzen wenn ich will, dass der Daten und er Steuerkanal, über den das Password übertragen wird verschlüsseln möchte.

So wie Du es beschrieben hast geht es. Danke, erst einmal :-) Ich bin nur etwas verunsichert, da ich nicht erkennen kann ob tatsächlich beider Kanäle verschlüsselt werden. Vorher kam ja diese Meldung "550 SSL/TLS required on the control channel". Jetzt zeigt mir Filezilla das:

Antwort:   211-AUTH TLS

Heißt das, dass beide Kanäle verschlüsselt werden?

[VolGas]

Ja, natürlich, sonst macht das ja keinen Sinn!

Achtung: der ProFTPD ist kein Apache-Server - ein "VirtualHost" ist hier anders zu sehen!
Der Default-Server wird immer definiert, ein "VirtualHost" ist ein zusätzlicher auf einer
anderen IP und/oder auf einem anderen Port. Deswegen Deine "already in use"-Fehlermeldung!

Die Konfigurationen sind dabei immer einzeln zu sehen: was nicht in einem "<Global>"-
Kontext definiert wurde, ist für jedem Server erneut zu definieren.

Ich versuche dies gerade im vorhergehenden Thread ebenfalls verständlich zu machen,
siehe ->hier

Die ganze Problematik trifft dann natürlich auch für TLS zu: für jeden Server ist ein eigenes
Zertifikat zu definieren und dieses ist mit entsprechenden Direktiven in der proftpd.conf
anzugeben. Am besten siehst Du Dir auch einmal das im o.g. Tread erwähnte Beispiel an.

mfg.
  VolGas