Hallo,

ich betreibe ein ProFTPD-Server (debian sarge).

Ich habe folgendes Problem, wenn sich ein User mit seinem Passwort einloggt (Meistens mit dem WIndowsexplorer als FTP-Client):
Er kann zwar Dateien hochladen und löschen. Aber wenn man einen Ordner erstellt (um zB seine Daten zu sortieren) kann man seine Dateien nicht in seine Ordner ziehen. Der Zugriff wird verweigert. Wie kann das sein, wenn die Ordner und die Dateien doch diesem User gehören?

config:

Code:

ServerName                      "freitag"
ServerType                      standalone
DeferWelcome                    off

MultilineRFC2228                on
DefaultServer                   on
ShowSymlinks                    on

TimeoutNoTransfer               600
TimeoutStalled                  600
TimeoutIdle                     1200

DisplayLogin                    welcome.msg
DisplayFirstChdir               .message
ListOptions                     "-l"

DenyFilter                      \*.*/

Port                            21

MaxInstances                    30

User                            nobody
Group                           nogroup

Umask                           026  026
AllowOverwrite                  on

# Delay engine reduces impact of the so-called Timing Attack described in
# http://security.lss.hr/index.php?page=details&ID=LSS-2004-10-02
# It is on by default.
#DelayEngine                    off

#TransferRate                   STOR 750
#TransferRate                   RETR 55

DefaultRoot                     ~ ftpuser

<Limit LOGIN>
        DenyGroup               !ftpuser
</Limit>

<Limit SITE_CHMOD>
        DenyAll
</Limit>

<Global>
        RootLogin               off
        RequireValidShell       on
</Global>

<Directory ~>
 GroupOwner                     ftpuser
</Directory>

UseReverseDNS                   off
IdentLookups                    off

TLSEngine                       on
TLSLog                          /var/log/tls.log
TLSProtocol                     SSLv23
TLSOptions                      NoCertRequest
TLSRSACertificateFile           /etc/ssl/certs/proftpd.cert.pem
TLSRSACertificateKeyFile        /etc/ssl/certs/proftpd.key.pem
TLSVerifyClient                 off

LogFormat                       default "%h %l %u %t \"%r\" %s %b"
LogFormat                       auth "%v [%P] %h %t \"%r\" %s"
LogFormat                       write "%h %l %u %t \"%r\" %s %b"

ExtendedLog                     /var/log/ftp_auth.log AUTH auth
ExtendedLog                     /var/log/ftp_access.log WRITE,READ write


<Anonymous ~ftp>
        User                    ftp
        Group                   nogroup

        UserAlias               anonymous ftp
        DirFakeUser             on ftp
        DirFakeGroup            on ftp

        RequireValidShell       off

        MaxClients              10

        DisplayLogin            welcome.msg
        DisplayFirstChdir       .message

        <Directory *>
                <Limit WRITE>
                        DenyAll
                </Limit>
        </Directory>
</Anonymous>

Ich habe das ganze TLS Zeug erst später in die ProFTPD Config aufgenommen. Davor lief er ohne und eine Verbindung konnte sowohl vom LAN als auch vom Internet problemlos hergestellt werden.
Ich habe ja auch nicht TLSRequired auf on stehen, also ich kann trotzdem eine Verbindung herstellen, wenn ich beim FileZilla kein TLS auswähle.
Wähle ich es aber beim FileZilla aus, so funktioniert es nicht mehr (siehe Fehler oben).

Ich habe TSLProtocol jetzt auf SSLv23 stehen.
Aber egal was ich auswähle (SSL/TLS Implizite Verschlüsselung, SSL Explizite Verschlüsselung oder TLS Explizite Verschlüsselung) nichts funktioniert.
Jedesmal akzeptiere ich mein Zertifikat und wenn er die Dateiliste holen will scheitert er.

Danke.

Nun sehen meine TLS Einstellungen so aus:

Code:

TLSEngine                       on
TLSLog                          /var/log/tls.log
TLSProtocol                     TLSv1
TLSOptions                      NoCertRequest
TLSRSACertificateFile           /etc/ssl/certs/proftpd.cert.pem
TLSRSACertificateKeyFile        /etc/ssl/certs/proftpd.key.pem
TLSVerifyClient                 off

Möchte ich mich mitdem FileZilla mit meinem FTP-Server verbinden (ich wähle dor "FTP über TLS (Explizite Verschlüsselung)" aus), erscheinen folgende Felermeldungen:

Code:

Status: Verbinden mit freitag...
Status: Verbunden mit freitag, SSL-Verbindung wird ausgehandelt...
Antwort: 220 ProFTPD 1.2.10 Server (freitag) [192.168.0.200]
Befehl: AUTH TLS
Antwort: 234 AUTH TLS successful
Status: SSL-Verbindung hergestellt. Warten auf Willkommens-Meldung...
Befehl: USER tobiftp
Antwort: 331 Password required for tobiftp.
Befehl: PASS *********
Antwort: 230 User tobiftp logged in.
Befehl: SYST
Antwort: 215 UNIX Type: L8
Befehl: FEAT
Antwort: 211-Features:
Antwort: 211-MDTM
Antwort: 211-REST STREAM
Antwort: 211-SIZE
Antwort: 211-AUTH TLS
Antwort: 211-PBSZ
Antwort: 211-PROT
Antwort: 211 End
Befehl: PBSZ 0
Antwort: 200 PBSZ 0 successful
Befehl: PROT P
Antwort: 200 Protection set to Private
Status: Verbindung hergestellt
Status: Verzeichnisinhalt wird abgeholt...
Befehl: PWD
Antwort: 257 "/" is current directory.
Befehl: TYPE A
Antwort: 200 Type set to A
Befehl: PASV
Antwort: 227 Entering Passive Mode (192,168,0,200,130,214).
Befehl: LIST
Antwort: 150 Opening ASCII mode data connection for file list
Fehler: Verbindung getrennt
Fehler: Dateiliste konnte nicht empfangen werden

Dabei wird mir ein schönes Fenster vor Augen geführt wo meine Daten mit denen ich das Zertifikat erstellt habe gezeigt werden. Ich klicke auf Akzeptieren.

Hab ich da vielleicht etwas in de Config vermurkst.
Für TLSProtocol kann man TLSv1 oder SSLv23 angeben. Was wird richtig unterstützt und was ist besser für proftpd?

Danke, hat funktioniert.


Nochmal zum OpenSSL Zertifikat.
Die Option mit dem "-days 365"...

Code:

-days n
           when the -x509 option is being used this specifies the number of days to certify the certificate for. The
           default is 30 days.

Heißt das nun, das dieses Zertifikat nach einem Jahr abläuft? Also muss man dann ein neues erstellen?
Kann man nicht eins erstellen, welches ewig gültig ist?

So...

folgendes steht in meiner proftpd.conf

Code:

Umask                           026  026

...

<Directory ~>
 GroupOwner ftpuser
</Directory>

Kopiere ich nun eine Datei mittels KFTPGrabber (als Berechtigter User) auf den FTP-Server so wird (egal welche Umask die Datei vorher hatte) die Umask aus der proftpd.conf auf die Datei angewendet und der Guppenbesitzer ist ftpuser. Also alles so, wie es sein soll. Sehr schön!

Aaaaber... mach ich das ganze anstatt mit dem KFTPGrabber mit dem KDE Konqueror so stimmt wenigstens die Gruppe ftpuser, allerdings wird die original Umask der Datei übernommen und nicht die aus der proftpd.conf. Warum?

Hallo,

ich habe zwei Fragen:

1. Wie erzwinge ich die Zugriffsrechte und Besitzerrechte bei Daten die auf den FTP-Server kopiert werden? Jede Datei soll dem jeweiligen Benutzer gehören (ist ja automatisch so) die Gruppe soll aber immer "ftpuser" sein und die Zugriffsrechte immer auf 750 (rwxr-x---) stehen.

2. Wie realisiere ich FTP mittels SSL/TLS? In jedem HowTo das ich finde steht (unerklärt) die Zeile

Code:

openssl req -new -x509 -nodes -sha1 -days 365 -key host.key > host.cert

Gelten diese Zertifikate dann nur 1 Jahr, was muss der Client beachten etc...


Allgemein suche ich gute Tutorials über proftpd. Ich habe zwar einige HowTos gefunden, welche sich aber sehr ähneln und bei mir viele Fragen offen lassen.
Ich suche ausführlicheres...