www.ProFTPD.de

Hallo,

ich habe zwei Fragen:

1. Wie erzwinge ich die Zugriffsrechte und Besitzerrechte bei Daten die auf den FTP-Server kopiert werden? Jede Datei soll dem jeweiligen Benutzer gehören (ist ja automatisch so) die Gruppe soll aber immer "ftpuser" sein und die Zugriffsrechte immer auf 750 (rwxr-x---) stehen.

2. Wie realisiere ich FTP mittels SSL/TLS? In jedem HowTo das ich finde steht (unerklärt) die Zeile
Gelten diese Zertifikate dann nur 1 Jahr, was muss der Client beachten etc...


Allgemein suche ich gute Tutorials über proftpd. Ich habe zwar einige HowTos gefunden, welche sich aber sehr ähneln und bei mir viele Fragen offen lassen.
Ich suche ausführlicheres...

Hallo!

Siehe ->"GroupOwner" (http://www.proftpd.de/Direktiven.54.0.html#61), ->"Umask" (http://www.proftpd.de/Direktiven.54.0.html#206), ...
Alles weitere findest Du bei der Aufstellung der ->Direktiven (http://www.proftpd.de/Direktiven.54.0.html)

HowTo's findest Du hier auf Stonki's Site unter Support: siehe ->FAQ (http://www.proftpd.de/FAQ.15.0.html) und ->Docs (http://www.proftpd.de/Docs.17.0.html)

Wenn Dir dieses ->HowTo (http://www.proftpd.de/HowTo_SFTP_TLS_verschluesse.55.0.html) nicht reichen sollte, um Deinen Server mit TLS zum
Laufen zu bringen und/oder Du genau wissen möchtest, was wie warum im einzelnen
passiert, dann mußt Du Dich eben vielleicht hinsetzten, das Gehirn einschalten (was
wird wohl "-days 365" bedeuten???) und die einzelnen Themen selbst studieren -
und hinterher vielleicht ein Buch darüber schreiben.
Wenn Du z.B. mehr über SSL wissen möchtest, ist ein guter Einstiegspunkt ein Artikel
bei ->Wikipedia (http://de.wikipedia.org/wiki/Secure_Sockets_Layer), noch mehr gibt es zu Hauf im Internet...

Sorry, das mag sehr arrogant und hart klingen, aber den goldenen Löffel wirst Du wohl
nirgends finden. Eine einfache und gute Anleitung wie's geht (sechs Zeilen Konfiguration!)
und eine IMHO ausreichende Erklärung findest Du aber sehr wohl hier.

mfg.
  VolGas

So...

folgendes steht in meiner proftpd.conf
Kopiere ich nun eine Datei mittels KFTPGrabber (als Berechtigter User) auf den FTP-Server so wird (egal welche Umask die Datei vorher hatte) die Umask aus der proftpd.conf auf die Datei angewendet und der Guppenbesitzer ist ftpuser. Also alles so, wie es sein soll. Sehr schön!

Aaaaber... mach ich das ganze anstatt mit dem KFTPGrabber mit dem KDE Konqueror so stimmt wenigstens die Gruppe ftpuser, allerdings wird die original Umask der Datei übernommen und nicht die aus der proftpd.conf. Warum?

Ich kenne diese Programme nicht, aber ich kann mir vorstellen, daß der KDE Konqueror
eine "perfekte" Kopie macht: er überprüft die Zugriffsrechte und definiert bei der neuen
Datei die selben Rechte explizit wieder.

Wenn Du den FTP-Befehl "site chmod" blockierst:

  <Limit SITE_CHMOD>
    DenyAll
  </Limit>

dann ist auch dies nicht mehr möglich und Deine Umask ist absolut.

mfg.
  VolGas

Danke, hat funktioniert.


Nochmal zum OpenSSL Zertifikat.
Die Option mit dem "-days 365"...
Heißt das nun, das dieses Zertifikat nach einem Jahr abläuft? Also muss man dann ein neues erstellen?
Kann man nicht eins erstellen, welches ewig gültig ist?

JA!
JA!
NEIN - nur eines, das sehr alt werden kann,
z.B. -days=3652 für etwa 10 Jahre oder
-days=5479 für etwa 15 Jahre oder
-days=7305 für etwa 20 Jahre...

Angekommen?

Das Thema dieses Forums ist der ProFTPD, alles andere ist off-topic und im
"restlichen" Internet in Massen zu finden. Aus dem Grund werde ich hier keine
weiteren Fragen bzgl. TLS, Zertifikaten usw. beantworten - es sei denn, es hat
wieder etwas speziell mit dem ProFTPD zu tun.

mfg.
  VolGas

Danke.

Nun sehen meine TLS Einstellungen so aus:

Möchte ich mich mitdem FileZilla mit meinem FTP-Server verbinden (ich wähle dor "FTP über TLS (Explizite Verschlüsselung)" aus), erscheinen folgende Felermeldungen:
Dabei wird mir ein schönes Fenster vor Augen geführt wo meine Daten mit denen ich das Zertifikat erstellt habe gezeigt werden. Ich klicke auf Akzeptieren.

Hab ich da vielleicht etwas in de Config vermurkst.
Für TLSProtocol kann man TLSv1 oder SSLv23 angeben. Was wird richtig unterstützt und was ist besser für proftpd?

Es gibt drei verschiedene Modi für "TLSProtocol".
Hier ein Auszug der Original-Website (http://www.castaglia.org/proftpd/modules/mod_tls.html) des Entwicklers:


Die "beste" Einstellung, also die erfolgversprechendste, ist "SSLv23".

Den FTP-Client im passive mode ist ok und soweit sieht eigentlich alles gut aus.
Versuche einmal eine Verbindung ohne TLS (also nur "TLSEngine" auf "off") -
es sieht mämlich so aus, als ob bei Dir die sog. "high ports" nicht erreichbar wären.

Ist Deine Servermaschine hinter einem Router (Stichwort: NAT) oder hast Du eine
Firewall (bzw. IPtables) zwischen den beiden Maschinen?

mfg.
  VolGas

Ich habe das ganze TLS Zeug erst später in die ProFTPD Config aufgenommen. Davor lief er ohne und eine Verbindung konnte sowohl vom LAN als auch vom Internet problemlos hergestellt werden.
Ich habe ja auch nicht TLSRequired auf on stehen, also ich kann trotzdem eine Verbindung herstellen, wenn ich beim FileZilla kein TLS auswähle.
Wähle ich es aber beim FileZilla aus, so funktioniert es nicht mehr (siehe Fehler oben).

Ich habe TSLProtocol jetzt auf SSLv23 stehen.
Aber egal was ich auswähle (SSL/TLS Implizite Verschlüsselung, SSL Explizite Verschlüsselung oder TLS Explizite Verschlüsselung) nichts funktioniert.
Jedesmal akzeptiere ich mein Zertifikat und wenn er die Dateiliste holen will scheitert er.

Hier haben wir das Szenario, wie es leider immer wieder vorkommt.
Wenn Du die Postings der letzten Wochen durchsiehst, wirst Du mehrfach darauf stoßen.
Siehe z.B. auch mein letztes Posting ->proftp TLS und die Firewall (http://www.proftpd.de/forum/index.php/topic,2350.0.html),
dort habe ich mich ein klein wenig ausführlicher auf das Thema eingelassen.

Sorry, aber hier enden meine Hilfsmöglichkeiten,
da das Thema an sich nahezu keine Lösung zuläßt.

mfg.
  VolGas