|
Titel: Sicheres FTP ohne ssh - geht das? Beitrag von: tom am 06. November 2006, 22:03:55 Gibt es tls für ftp? Ich meine so etwas gehört zu haben.
Falls ja: evt. einen Link zu einem Howto? Falls nein:Was gibt es sonst für Alternativen einer sicheren bzw. verschlüssselten ftp Verbindung? Titel: Re: Sicheres FTP ohne ssh - geht das? Beitrag von: tom am 06. November 2006, 22:24:23 Gibt es tls für ftp? Ich meine so etwas gehört zu haben. Scheint es ja wohl zu geben. So was mit mod_tls. Richtig? Wieso ist dann sowas nicht Standard? Doch nicht etwas wegen der clients? Titel: Re: Sicheres FTP ohne ssh - geht das? Beitrag von: VolGas am 06. November 2006, 23:11:09 Hallo,
warum liest Du nicht einfach einmal nach bei ->Support->Docs->HowTo: SFTP (TLS, verschlüsseltes FTP) (http://www.proftpd.de/HowTo-SFTP-TLS-verschluesse.55.0.html) - ich glaube, da steht alles, was Du wissen möchtest... mfg. VolGas Titel: Re: Sicheres FTP ohne ssh - geht das? Beitrag von: tom am 06. November 2006, 23:22:18 Hallo, Weil ich es nicht soo000 schnell wie Du gefunden habe. warum liest Du nicht einfach einmal nach bei ->Support->Docs->HowTo: SFTP (TLS, verschlüsseltes FTP) (http://www.proftpd.de/HowTo-SFTP-TLS-verschluesse.55.0.html) - ich glaube, da steht alles, was Du wissen möchtest... mfg. VolGas Danke, super. Da werde ich mich trotz der späten Stunde gleich drüber her machen... Titel: Re: Sicheres FTP ohne ssh - geht das? Beitrag von: tom am 07. November 2006, 00:45:33 Da werde ich mich trotz der späten Stunde gleich drüber her machen... Gesagt getan: Zitat server01:/etc# /etc/init.d/proftpd restart Restarting ProFTPD ftp daemon.proftpd. .. - setting default address to 127.0.0.1 proftpd. done. server07:/etc# telnet localhost 21 Trying 127.0.0.1... Connected to localhost. Escape character is '^]'. 220 ProFTPD 1.2.10 Server (ftp Server) [127.0.0.1] ehlo test.de 550 SSL/TLS required on the control channel Aber das hier 220 ProFTPD 1.2.10 Server (ftp Server) [127.0.0.1] gefällt mir nicht. Und das ist da obwohl proftpd.conf so aussieht: Zitat ServerName "FTP Server" ServerType standalone DefaultRoot "~web" IdentLookups off IdentLookups off UseReverseDNS off DeferWelcome off MultilineRFC2228 on DefaultServer on ShowSymlinks on TimeoutNoTransfer 600 TimeoutStalled 600 TimeoutIdle 1200 DisplayLogin welcome.msg DisplayFirstChdir .message #ListOptions "-l" ListOptions +R strict AllowOverride off Titel: Re: Sicheres FTP ohne ssh - geht das? Beitrag von: VolGas am 07. November 2006, 10:33:16 Versuche es einmal damit: ServerIdent on "FTP server ready."
Eine weitere Quelle "tiefreichender Erkenntnisse" befindet sich auf Stonki's Website unter ->Support:Direktiven (http://www.proftpd.de/Direktiven.54.0.html) versteckt... ;) mfg. VolGas Titel: Re: Sicheres FTP ohne ssh - geht das? Beitrag von: tom am 07. November 2006, 14:22:55 Versuche es einmal damit: ServerIdent on "FTP server ready." So, es gibt noch 2 ungelöste Probleme. Das eine ist nach wie vor:Eine weitere Quelle "tiefreichender Erkenntnisse" befindet sich auf Stonki's Website unter ->Support:Direktiven (http://www.proftpd.de/Direktiven.54.0.html) versteckt... ;) mfg. VolGas ServerIdent on "FTP server ready." und konnte mit den unterschiedlichen Angaben bei ServerIdent nicht gelöst werden. Das 2. wichtigere ist, dass ich mit keinem der benutzten Clients mit dem proftp verbinden konnte da immer den Fehler 550 ... bringt. Ich habe Filezilla in Versin 2.2..29 und 3beta probiert wie auch wsftppro. Das Ergebnis bzw. die Anzeige des Clients ist immer dieselbe: Zitat Verbinden mit 192.168.1.1:21 Verbunden mit 192.168.1.1 in 3.304752 s, Warten auf Server-Antwort 220 FTP server ready. Host type (1): Automatisch USER web4 550 SSL/TLS required on the control channel Ich habe die Vermutung, dass es gar nicht am Client liegt...? Was könnte es sein? Titel: Re: Sicheres FTP ohne ssh - geht das? Beitrag von: tom am 07. November 2006, 14:52:30 Ich habe noch etwas eigenartige in den syslogs gefunden: Zitat ExtendedLog '/var/log/proftpd.paranoid_log' uses unknown format nickname 'default' Aber wie zu sehen ist melde ich mich mit dem USER web4 an. Das geht auch wunderbar ohne tls. Zitat USER web4 550 SSL/TLS required on the control channel Titel: Re: Sicheres FTP ohne ssh - geht das? Beitrag von: VolGas am 07. November 2006, 14:56:40 Erstens: ich weiß noch, was ich Dir geschrieben hatte, bitte nicht alles noch einmal als Zitat.
Notfalls könnte ich es noch einmal nachlesen. Zweitens: mir ist nicht ganz klar, was Du haben möchtest. Mit "ServerIdent" definiert man seine Servermeldung eben selbst. Vielleicht solltest Du einmal Deine proftpd.conf hier posten... Drittens: TLS sollte man erst dann einschalten, wenn der Regelbetrieb ohne einwandfrei funktioniert. Dazu einfach "TLSEngine off" setzen - den Rest kann man dann belassen. Wenn man nicht möchte, daß der Client sich zwangsweise mit TLS einloggen oder selbst ein Zertifikat haben muß, so sind die Direktiven "TLSRequired off" und "TLSVerifyClient off" anzuwenden. Ein sehr ausführliches Konfigurationsbeispiel findest Du hier unter ->"Standard Deluxe" (http://www.proftpd.de/uploads/media/proftpd.conf). Darin findest Du jedes gängiges Zenario wieder... mfg. VolGas Titel: Re: Sicheres FTP ohne ssh - geht das? Beitrag von: VolGas am 07. November 2006, 15:01:00 Nachtrag: du hast dein Posting gerade eingestellt, während ich meines noch geschrieben habe:
"unkown format..." kommt daher, da Du das Format zuvor nicht mit "LogFormat default..." definiert hast. Ein Zusammenstückeln von unterschiedlich aufgeschnappten Konfigurationsschnipseln ist nicht immer gerade sehr hilfreich. mfg. VolGas Titel: Re: Sicheres FTP ohne ssh - geht das? Beitrag von: tom am 07. November 2006, 15:42:31 zu 2.
Ich wollte das tun was man mit "ServerIdent" tun kann: Den Servertyp/version verschleiern. Und ich habe jetzt auch die Lösung gefunden: Es lag an der Vergabe der IP Adressen: So geht ServerIdent nicht :-( Zitat DefaultAddress 127.0.0.1 So geht ServerIdent :-)<VirtualHost 10.0.1.1> DefaultRoot "~/web" AllowOverwrite on Umask 002 </VirtualHost> Zitat DefaultAddress 10.0.1.1 <VirtualHost 10.0.1.1> DefaultRoot "~/web" AllowOverwrite on Umask 002 </VirtualHost> DefaultAddress 10.0.1.1 hatte ich auf DefaultAddress 127.0.0.1 gesetzt weil beim Starten von proftpd immer das kam: Zitat .. - setting default address to 10.0.1.1 - warning: "ProFTPD" address/port (10.0.1.1:21) already in use ... zu 3. Proftp lief bisher wunderbar - nur leider bisher mit der nichtgewollten Angabe "ProFTPD 1.2.10" und mit plaintext Passwortübertragung. Das "TLSRequired off" und "TLSVerifyClient off" sein müsseln war mir nicht klar. Ich hatte das hier gelesen: Zitat # Require SSL/TLS on the control channel, so that passwords are not sent Und angenommer ich müßte "on" setzen wenn ich will, dass der Daten und er Steuerkanal, über den das Password übertragen wird verschlüsseln möchte.# in the clear. TLSRequired # Require SSL/TLS on both channels. TLSRequired on So wie Du es beschrieben hast geht es. Danke, erst einmal :-) Ich bin nur etwas verunsichert, da ich nicht erkennen kann ob tatsächlich beider Kanäle verschlüsselt werden. Vorher kam ja diese Meldung "550 SSL/TLS required on the control channel". Jetzt zeigt mir Filezilla das: Zitat Antwort: 211-AUTH TLS Heißt das, dass beide Kanäle verschlüsselt werden?Titel: Re: Sicheres FTP ohne ssh - geht das? Beitrag von: VolGas am 07. November 2006, 15:57:55 Ja, natürlich, sonst macht das ja keinen Sinn!
Achtung: der ProFTPD ist kein Apache-Server - ein "VirtualHost" ist hier anders zu sehen! Der Default-Server wird immer definiert, ein "VirtualHost" ist ein zusätzlicher auf einer anderen IP und/oder auf einem anderen Port. Deswegen Deine "already in use"-Fehlermeldung! Die Konfigurationen sind dabei immer einzeln zu sehen: was nicht in einem "<Global>"- Kontext definiert wurde, ist für jedem Server erneut zu definieren. Ich versuche dies gerade im vorhergehenden Thread ebenfalls verständlich zu machen, siehe ->hier (http://www.proftpd.de/forum/index.php/topic,2449.msg11401.html#msg11401) Die ganze Problematik trifft dann natürlich auch für TLS zu: für jeden Server ist ein eigenes Zertifikat zu definieren und dieses ist mit entsprechenden Direktiven in der proftpd.conf anzugeben. Am besten siehst Du Dir auch einmal das im o.g. Tread erwähnte Beispiel an. mfg. VolGas |