kann mir mal jemand sagen ob ich bei meiner Vermutung falsch liege?


wenn ich in der proftpd.conf den Wert TLSCACertificateFile verwende, dann darf der Server sich doch nur den Client ZUgang gewähren die dieses Zertifikat besitzen.

Wenn meine Vermutung Falsch ist wofür ist TLSCACertificateFile dann gedacht?

In meiner proftpd.conf verwende ich TLSCACertificateFile aber der Server gewährt trotzdem jedem Client Zugang der das Zertifikat vom Wert TLSRACertificateFile akzeptiert und das richtige Passwort eingibt. Ich würde als doppelten Schutz aber gerne nur die Clients konekten lassen die das Zertifikat von TLSCACertificateFile haben und ein gültiges Passwort besitzen. So zu sagen als doppelter Schutz!!!!

Hallo Leute,

ich habe mir für meinen FTP Server einen privaten und einen public Key erstellet. Wenn sich ein Benutzer den ich vorher auf dem Linux Rechner angelegt habe einloggen will muss dieser das Zertifikat akzeptieren und sein Passwort eingeben. In Proftpd kann man einstellen das der Server sich nur mit einem Client verbinden soll wenn das Client Zertifikat vertrauenswürdig ist. Dieses Zertifikat muss man dann in der proftpd.conf angeben. Das heisst der Client muss ein Zertifikat erstelln und es mir geben. Dieses Zertifikat geben ich dann in der prfotpd.conf als vertrauenswürdig an. Der Client ist ein Windows Rechner. Meine Frage wie erstelle ich so ein Clientzertifikat das wahrscheinlich die Endung .ca haben soll? Und die zweite Frage auf welchem System? Erstelle ich das Zertifikat auf einem Windows Rechner dann kann der Linux es vielleicht nicht lesen. Mache ich es umgekehrt funktioniert es vielleicht nicht bei dem Windows Rechnern. Wie kann ich das Problem am besten lösen??

Hallo,

ich habe mir einen privaten und öffentlichen Key für meinen FTP Server durch folgende Eingabe erstellt.

openssl req -new -x509 -days 365 -nodes  -out /etc/ssl/certs/proftpd.cert.pem -keyout /etc/ssl/certs/proftpd.key.pem

Jetzt möchten ich mir noch den Schlüssel für TLSCACertificateFile (für die einzelnen Clients) erstellen. Kann mir einer sagen wie man diesen erstellt?

DANKE schon mal im vorraus!!!!!!!!!

Hallo Leute,


ich habe bei einen FTP Server mit TLS Verschlüsselung laufen. Ich habe nach der Anleitung von Sven gearbeitet und mit die Schlüssel server.key, server.crt, server.csr und server.key.unsecure erzeugt diese Schlüssel habe ich in das Verzeichnis /etc/ssl/certs kopiert. Beim Start von Proftpd erscheint keine Fehlermeldung. Beim Einloggen mit PSFTP ohne Verschlüsselung klapt alles wunderbar. Schalte ich aber in der Konf die TLS Geschichte ein komme ich nicht mehr rein. In meiner TLS Log erscheint dann folgendes

Dec 04 19:48:34 mod_tls/2.0.6[341]: using default OpenSSL verification locations (see $SSL_CERT_DIR)
Dec 04 19:48:40 mod_tls/2.0.6[341]: error: '/etc/ssl/certs/server.key': error:0906406D:PEM routines:DEF_CALLBACK:problems getting password
Dec 04 19:48:40 mod_tls/2.0.6[341]: TLS/TLS-C requested, starting TLS handshake
Dec 04 19:48:40 mod_tls/2.0.6[341]: unable to accept TLS connection: error:00000001:lib(0):func(0):reason(1)
Dec 04 19:48:40 mod_tls/2.0.6[341]: TLS/TLS-C negotiation failed on control channel


Hier einmal meine Proftpd Konf.

# This is a basic ProFTPD configuration file (rename it to
# 'proftpd.conf' for actual use.  It establishes a single server
# and a single anonymous login.  It assumes that you have a user/group
# "nobody/nogroup" and "ftp" for normal operation and anon.

ServerName         "Debian"
ServerType         standalone
DeferWelcome         off

MultilineRFC2228      on
DefaultServer         on
ShowSymlinks         on
AllowOverwrite         on

TimeoutNoTransfer      600
TimeoutStalled         600
TimeoutIdle         1200

DisplayLogin                    welcome.msg
DisplayFirstChdir               .message
ListOptions                   "-l"

DenyFilter         \*.*/

# Uncomment this if you are using NIS or LDAP to retrieve passwords:
#PersistentPasswd      off

# Uncomment this if you would use TLS module:
#TLSEngine          on

# Uncomment this if you would use quota module:
#Quotas            on

# Uncomment this if you would use ratio module:
#Ratios            on

# Port 21 is the standard FTP port.
Port            21

# To prevent DoS attacks, set the maximum number of child processes
# to 30.  If you need to allow more than 30 concurrent connections
# at once, simply increase this value.  Note that this ONLY works
# in standalone mode, in inetd mode you should use an inetd server
# that allows you to limit maximum number of processes per service
# (such as xinetd)
MaxInstances         30

# Set the user and group that the server normally runs at.
User            nobody
Group            nogroup

<Directory /*>
# Umask 022 is a good standard umask to prevent new files and dirs
# (second parm) from being group and world writable.
  Umask            022  022
# Normally, we want files to be overwriteable.
  AllowOverwrite      on
</Directory>
<Limit LOGIN>
DenyGroup     !ftpuser
</Limit>
<IfModule mod_tls.c>
TLSEngine on
TLSLog /var/log/proftpd_tld.log
TLSProtocol TLSv1
TLSRequired off
TLSRSACertificateFile /etc/ssl/certs/server.crt
TLSRSACertificateKeyFile /etc/ssl/cert/server.key
TLSVerifyClient off
</IfModule>


Das Prog PSFTP soll tls unterstützen. Gibt es vielleicht ein anderes Programm. Wenn ja wie heisst es und wie stelle ich das Prog dann für tls ein. Screenshots wären nicht schlecht.

ich habe die Schlüssel schon erstellt und richtig in der Datei angegeben (siehe oben). Das hat nichts mit den Schlüsseln zu tun. Ob das vielleicht ein Bug in ptoftpd ist?

also find / -name proftpd* -print
ergab fogendes

/usr/sbin/proftpd
/usr/share/doc/proftpd
/usr/doc/proftpd
/etc/init.d/proftpd
/etc/default/proftpd
/etc/pam.d/proftpd
/etc/cron.monthly/proftpd
/var/run/proftpd

ich habe es nur einmal installiert.

wenn ich das mache mekert er bei der nächsten Zeile unzwar.

unknown configuration directive 'TLSEngine' on line 55 of /etc/proftpd.conf

was kann das nur sein?

Hallo Leute,

nach der Anleitung von Sven habe ich mir meine Keys für das TLS Modul nun endlich erstellen können. Ich habe die proftpd.conf auch nach dieser Anleitung angepasst bekomme aber beim Start folgende Fehlermeldung.

-No certificate files found!
- Fatal: unknown configuration directive '<IfModule>' on line 54 of '/etc/proftpd.conf'.

Das TLS MOdul ist mit eingebunden das sagt mir jedenfalls

Nach einem proftpd -l
Compiled-in modules:
mod_tls.c

Die Zeilen für TLS habe ich auch 1 zu 1 aus der Anleitung in meine proftp.conf eingetragen.

Hier mein proftpd.conf

# This is a basic ProFTPD configuration file (rename it to
# 'proftpd.conf' for actual use.  It establishes a single server
# and a single anonymous login.  It assumes that you have a user/group
# "nobody" and "ftp" for normal operation and anon.

ServerName         "Debian"
ServerType         standalone
DeferWelcome         off

ShowSymlinks         on
MultilineRFC2228      on
DefaultServer         on
ShowSymlinks         on
AllowOverwrite         on

TimeoutNoTransfer      600
TimeoutStalled         600
TimeoutIdle         1200

DisplayLogin                    welcome.msg
DisplayFirstChdir               .message
LsDefaultOptions                "-l"

DenyFilter         \*.*/

# Uncomment this if you are using NIS or LDAP to retrieve passwords:
#PersistentPasswd      off

# Port 21 is the standard FTP port.
Port            21

# To prevent DoS attacks, set the maximum number of child processes
# to 30.  If you need to allow more than 30 concurrent connections
# at once, simply increase this value.  Note that this ONLY works
# in standalone mode, in inetd mode you should use an inetd server
# that allows you to limit maximum number of processes per service
# (such as xinetd)
MaxInstances         30

# Set the user and group that the server normally runs at.
User            nobody
Group            nogroup

# Normally, we want files to be overwriteable.
<Directory /*>
  # Umask 022 is a good standard umask to prevent new files and dirs
  # (second parm) from being group and world writable.
  Umask            022  022

  AllowOverwrite      on
</Directory>


<IfModule mod_tls.c>
TLSEngine on
TLSLog /var/log/proftpd/proftpd_tls.log
TLSProtocol TLSv1
TLSRequired off
TLSRSACertificateFile /etc/ssl/certs/server.crt
TLSRSACertificateKeyFile /etc/ssl/certs/server.key
TLSVerifyClient off
</IfModule>

# A basic anonymous configuration, no upload directories.

## <Anonymous ~ftp>
##   User            ftp
##   Group            nogroup
##   # We want clients to be able to login with "anonymous" as well as "ftp"
##   UserAlias         anonymous ftp
##
##   RequireValidShell      off
##
##   # Limit the maximum number of anonymous logins
##   MaxClients         10
##
##   # We want 'welcome.msg' displayed at login, and '.message' displayed
##   # in each newly chdired directory.
##   DisplayLogin         welcome.msg
##   DisplayFirstChdir      .message
##
##   # Limit WRITE everywhere in the anonymous chroot
##   <Directory *>
##     <Limit WRITE>
##       DenyAll
##     </Limit>
##   </Directory>
##
##   # Uncomment this if you're brave.
##   # <Directory incoming>
##   #   # Umask 022 is a good standard umask to prevent new files and dirs
##   #   # (second parm) from being group and world writable.
##   #   Umask            022  022
##   #            <Limit READ WRITE>
##   #            DenyAll
##   #            </Limit>
##   #            <Limit STOR>
##   #            AllowAll
##   #            </Limit>
##   # </Directory>
##
## </Anonymous>

Mein System ist Debian 3.0r3

Ich habe die Standard Pakete proftpd und openssl von Debian 3.0r3 installiert. Danke für eure Antworten.

Hallo Leute,

ich das HowTo von Sven ausprobiert. Es lief auch alles ganz gut bis zu dem Punkt wo das Zertifikat Signiert werden soll. Ich habe mir das sign.sh script besorgt. Beim ausführen von

/usr/local/sbin/ ./sign.sh server.csr bekam ich einen Fehler. Der erste Teil lief noch gut (also ohne Fehler). Bei der Frage Sign the certificate? [y/n]: y
bekamm ich dann folgende Fehlermeldung.

failed to update database
TXT_DB error number2
CA verifying: server.crt <-> CA cert
unable to load certificate
13838:error:0906D06C:PEM routines:PEM_redad_bio:no start line:pem_lib.c:637:Expecting: TRUSTED CERTIFICATE

hat das jemand von euch auch schon mal gehabt?

Hier mal ein Ausschnitt von meiner gezogegen sign.sh .Vieleicht ist die ja auch fehlerhaft.

#!/bin/sh
##
##  sign.sh -- Sign a SSL Certificate Request (CSR)
##  Copyright (c) 1998-2001 Ralf S. Engelschall, All Rights Reserved.
##

#   argument line handling
CSR=$1
if [ $# -ne 1 ]; then
    echo "Usage: sign.sign <whatever>.csr"; exit 1
fi
if [ ! -f $CSR ]; then
    echo "CSR not found: $CSR"; exit 1
fi
case $CSR in
   *.csr ) CERT="`echo $CSR | sed -e 's/\.csr/.crt/'`" ;;
       * ) CERT="$CSR.crt" ;;
esac

#   make sure environment exists
if [ ! -d ca.db.certs ]; then
    mkdir ca.db.certs
fi
if [ ! -f ca.db.serial ]; then
    echo '01' >ca.db.serial
fi
if [ ! -f ca.db.index ]; then
    cp /dev/null ca.db.index
fi

#   create an own SSLeay config
cat >ca.config <<EOT
[ ca ]
default_ca              = CA_own
[ CA_own ]
dir                     = .
certs                   = \$dir
new_certs_dir           = \$dir/ca.db.certs
database                = \$dir/ca.db.index
serial                  = \$dir/ca.db.serial
RANDFILE                = \$dir/ca.db.rand
certificate             = \$dir/ca.crt
private_key             = \$dir/ca.key
default_days            = 365
default_crl_days        = 30
default_md              = md5
preserve                = no
policy                  = policy_anything
[ policy_anything ]
countryName             = optional
stateOrProvinceName     = optional
localityName            = optional
organizationName        = optional
organizationalUnitName  = optional
commonName              = supplied
emailAddress            = optional
EOT

#  sign the certificate
echo "CA signing: $CSR -> $CERT:"
openssl ca -config ca.config -out $CERT -infiles $CSR
echo "CA verifying: $CERT <-> CA cert"
openssl verify -CAfile ca.crt $CERT

#  cleanup after SSLeay
rm -f ca.config
rm -f ca.db.serial.old
rm -f ca.db.index.old

#  die gracefully
exit 0

Das ganze läuft übrigends auf einem Debian 3.0r3 mit selbst installierten openssl-0.9.7e.tar.gz . Es ist ganz einfach installiert mit

./config --prefix=/usr/local --openssldir=/usr/local/openssl
make
make test
make install

fehlt mir vieleicht noch irgend ein Paket? oder was habe ich da falsch gemacht? FÜR EURE HILFE WÄRE ICH EUCH SEHR SEHR DANKBAR!!!

Hallo Leute,

ich möchte einen ProFtpd Server installieren. Zuerst habe ich es mit dem Standard Paket aus woody 3.0r3 versucht. Beim Start habe ich aber immer die Meldung bekommen das keine Zertifikate vorhanden sind. Danach habe ich mir die Quellen gezogen und einfach mit  ./configure ohne mitgegebene Optionen installiert. Nach ein paar Einstellungen in der proftpd.conf lief der Server dann auch. Da FTP aber sehr unsicher ist wollte ich das tls Modul mit einbinden. Also habe ich /.configure –with-modules=mod_tls ausgeführt. Der configure Befehl wurde noch ohne Fehler abgearbeitet. Beim make kamen dann die ersten Fehler. Es scheint das irgendwelche Pakete fehlen. Ich nehme an die Pakete zum erstellen der Schlüssel. Dann habe ich einige Standard Pakete (openssl usw.) aus woody 3.0r3 zu installieren. Das brachte aber auch nicht viel positives. Welche Pakete brauche ich genau um ProFtpd 1.2.10 mit tls zu installieren um dann auch später die Schlüssel erzeugen zu können. Ich denke mal Standard Pakete aus woody 3.0r3 gehen da nicht. Welche müsste ich mir dann noch herunterladen und mit welchen Optionen muss ich diese dann installieren? Ich habe schon lange im Netz gesucht aber die Anleitungen für ProFtpd mit tls haben mir nicht viel weiter geholfen. Diese Anleitungen waren auch meistens unvollständig bzw. nicht für meinen Kenntnisstand geschrieben. Habt ihr nicht vielleicht eine Anleitung die einem Neuling helfen kann ProFtpd mit tls unter woody 3.0r3 zu installieren und zu konfigurieren? Ich wäre euch sehr dankbar.