Sorry, wenn ich erst jetzt wieder antworte - ich hatte eine Auszeit nötig - und verdient!

Dem Debug-Output nach, den Du hier gepostet hast, ist mit dem ProFTPD alles in Ordnung.
Der Client allerdings authentifiziert sich erst ganz normal und schaltet dann erst vor dem Verzeichnislisting
auf TLS um. Dein Client scheint nur den Datenkanal verschlüsseln zu wollen - also sehr wahrscheinlich ein
Konfigurationsproblem Deines Clients.

mfg.
  VolGas

Hallo!

Bei einem Speicherzugriffsfehler ist anzunehmen, daß Du ein defektes ProFTPD-Binary im System hast.
Dies ist zwar ein ProFTPD-Forum, aber wenn Du ein defektes Binary aus einem Test-Branch von Debian benutzt,
dann brauchst Du Dich auch über nichts zu wundern. Benutze Debian stable oder compiliere Deinen ProFTPD selbst -
sonst wende Dich bitte an den/die Maintainer des entsprechenden Debian-Paketes.

mfg.
  VolGas

Hallo!

Die Antwort ist ganz einfach: weise den ProFTPD in der proftpd.conf an, ein entsprechendes Logfile
anzulegen und werte dieses entsprechend einfach nur aus.

Siehe Direktiven ->LogFormat und ->ExtendedLog oder vielleicht auch ->TransferLog...

mfg.
  VolGas

Hallo!

Dem Filesystem ist es völlig "schnuppe", ob zu einer UID/GID im System auch jeweils ein User eingetragen ist.
Nur deswegen können mit dem ProFTPD auch virtuelle User (wie z.B. mit mySQL) angelegt werden, die auch die
entsprechenden Rechte an Dateien und Verzeichnissen haben können.

Es empfiehlt sich sogar dringend, daß man den ProFTPD explizit anweist, bei der Authentifikation NICHT auf die
Daten der eingetragenen Systemuser zuzugreifen. ("AuthOrder mod_sql.c")

Legst Du die Nutzer parallel als virtuelle und als Systemuser an, kann dies nur zu Verwirrungen führen.
Warum Du allerdings zum Jahreswechsel Probleme bekommen hast, kann ich auch nicht sagen.
Irgend etwas muß sich ja verändert haben.

mfg.
  VolGas

Hi,

sorry, daß erst jetzt eine Antwort kommt.

Wie Du das geschildert hast, sieht es so aus, als ob nicht immer ein Datenkanal aufgebaut werden kann.
Den passive mode scheinst Du ja zu benutzen. Ist irgendwo zwischen Server und Client eine Firewall
oder eine NAT und stimmt bei einer FW der angegebene Bereich offener Ports?

mfg.
  VolGas

Hallo!

Au weh, das sind aber viele Fragen, auf die ich aber nicht im einzelnen eingehen möchte.

Zuerst einmal etwas grundsätzliches:
Der ProFTPD ist wie eine Usershell zu betrachten: nach dem Einloggen hat der neu gestartete, individuelle
Prozess die selbe User- und Group-ID wie der eingeloggte User - alle Root-Rechte wurden aufgegeben.
Damit hat der ProFTPD nur noch die selben Zugriffsrechte wie der User. Das kann nicht ausgehebelt oder
umgangen, sondern nur weiter ausgebaut werden!

Also: der ProFTPD nutzt im vollen Umfang die Zugriffsrechte des Filesystems, nein, er ist ihnen sogar völlig
unterworfen. Alles, was man in der Konfiguration mit "<Limit>" zusätzlich einschränkt, sind nur FTP-Befehle,
keine eigentlichen Zugriffsrechte. Daher ist man gut beraten, wenn man Limitierungen in der proftpd.conf
möglichst sparsam oder besser gar nicht verwendet.

Es stimmt, mit "DefaultRoot ~" werden alle User in ihr Homedir "gebeamt" und dort "eingesperrt".
Das sollte als Sicherheit reichen, weitere Limitierungen beruhigen zwar vielleicht das Gemüt, sind aber
oft nicht wirklich notwendig und machen die Konfiguration unnötig unübersichtlich und kompliziert.

Nächster Punkt: Nutze FTPS, nicht SFTP - das ist wesentlich besser!
Mehr dazu bei den Docs auf Stonki's Website: ->HowTo: SFTP (TLS, verschlüsseltes FTP)
Tipp: zuerst den Server ohne TLS zum Laufen bringen. Weiteres kann man dann, wenn alles funktioniert,
nachträglich dazuschalten.

Damit Du schnell einen Erfolg hast und Dich nicht weiter quälen mußt, empfehle ich Dir die Konfigurations-
beispiele ->hier anzusehen. Speziell die ->proftpd.conf Standard Deluxe wäre für Dich interessant: sie ist
für die gebräuchlichsten Konfigurationsanforderungen zusammengestellt und funktioniert i.d.R. mit wenigen
Anpassungen.

Ich denke, Du kommst mit all diesen Informationen deutlich weiter, wie wenn man Dir alles von Pontius bis
Pilatus neu erklären wollte.

Noch ein Lesetipp: solltest Du ernsthaft Interesse an Linux haben, so kann ich Dir nur wärmstens z.B. das
Standardwerk, den "Kofler" empfehlen - das macht alles ein wenig leichter...

Viel Erfolg!

mfg.
  VolGas

Den Fehler im "<Limit>"-Block hatte ich jetzt gar nicht gesehen - das ist auch die Crux an der ganzen Sache:
man verliert bei Limitierungen sehr schnell den Überblick, da die Dinge, die "übrig" bleiben, im Kopf behalten
muß, weil sie einfach nicht da stehen. Deshalb sollte man -wie hast Du es so schön bezeichnet- seine Paranoia
zügeln und sich und dem System einfach mehr vertrauen und Limits nur dann setzen, wenn sie wirklich absolut
unumgänglich sind. Aber: trotz alle dem hätte im Debug-Log ein entsprechender Hinweis sein müssen!

Nächster Punkt: einem FTP-User Zugriff auf das Root-Verzeichnis zu geben finde ich eine absolut gefährliche
und damit -Entschuldigung- blöde Idee! Packe lieber alles in ein Verzeichnis rein, versuche eine Struktur auf-
zubauen, die ein Zugang auf "/" nicht notwendig macht. Hier muß die Sicherheit des Servers (weit!) über der
Bequemlichkeit der User stehen. Es ist ganz normal und durchaus vertretbar, daß FTP-Administratoren mehrere
unterschiedliche FTP-Accounts "bedienen" müssen. Per FTP gar einen ganzen Server administrieren zu wollen
ist meiner Meinung nach wahnwitzig, einfach unsinnig.

Zu Deinem letzten Posting: das kann ich mir jetzt auch nicht erklären, dafür gibt es bestimmt eine logische
Erklärung. Aber ich möchte jetzt nicht doch noch Deine Konfiguration im einzelnen analysieren müssen.

Über Board-Funktionen kann ich Dir keine Auskunft geben.
Ich habe hier im Forum zwar ein paar zusätzliche Nutzerrechte, da ich aktiv Fragen anderer beantworte,
aber bin weder Moderator noch Administrator. Da mußt Du Dich an Stonki wenden.

mfg.
  VolGas

Hi,

zurück in "alter" (bäh!) Frische... 

Nun ja, zuerst muß ich schreiben, daß ich mich oben vertan habe: Dein Problem liegt wohl nicht an TLS,
sonst könntest Du ohne ganz normal arbeiten. Es ist jedoch immer empfehlenswert, zuerst den Normal-
betrieb ohne TLS zu testen. Wenn der gewährleistet ist, kann man dann immer noch die TLS zuschalten.

Leider gibt das Debug-Log auch nichts her - außer, daß der ProFTPD einen ganzen Haufen "unnötiger"
Module mit sich herumschleppt und bedient. Am Ende des Logs sieht man nur die Aufräumarbeiten vor
dem Beenden des aktuellen Prozesses. Es scheint also alles ganz normal...

Deine proftpd.conf sieht eigentlich auch ganz gut aus, ich würde nur noch "RequireValidShell off" und
für Deinem Fall "AuthOrder mod_auth_file.c" hinzunehmen, damit sich das ganze Login- und UID/GID-
Prozedere alleine auf dieses Modul bezieht. Und, obwohl man im Logfile keinen Hinweis darauf findet,
deaktiviere einmal alle "<Limit>"-Blöcke und starte dann damit mal den Server.

Sonst habe ich eigentlich mit Debug-Level 5 immer gute Erfahrungen gemacht und die Fehler finden
können. Ich kann es mir zwar kaum vorstellen, daß das was ändert, aber versuche einmal den
"interaktiven Debugmodus" und starte den ProFTPD "von Hand" mit den Parametern "-nd5" und versuche
es dann noch einmal von einer anderen Maschine. Vielleicht finden wir ja doch noch einen Hinweis...

mfg.
  VolGas

Danke, gern geschehen.

Was Du hier gepostet hast, ist aber ganz normal und nichtssagend - außer daß bei Dir die Direktive
"AuthOrder" fehlt. Bitte Deine proftpd.conf und die komplette Debug-Ausgabe ab dem Einloggen.
Kritische Daten kannst Du heraus-Xen. Und es ist immer noch offen, ob Du eine Firewall oder eine
NAT (Router) zwischen Server und Client hast. Sonst kann ich Dir leider nicht weiterhelfen.

mfg.
  VolGas

Na dann funktioniert es ja doch - dieser Teil zumindest...

Du hast ein Problem mit TLS: lasse Dir mit "TLSLog" ein Logfile schreiben und überprüfe dieses
oder starte den ProFTPD im Debugmodus und siehe dann nach, was passiert. Falls Du aus dem
Debug-Log nicht schlau wirst, dann poste es hier. Auch Deine proftpd.conf, um ein Konfigurations-
fehler ausschließen zu können. Außerdem: ist Dein Server hinter einer Firewall oder einer NAT?

mfg.
  VolGas

Hi!

Du scheinst Dich ja richtig gut durchgelesen und vorbereitet zu haben, deshalb verzeihe mir, wenn ich
jetzt vielleicht dumm fragen sollte: das Modul "mod_ifsession" wurde richtig, d.h. als letztes Modul beim
"configure" angegeben?

Ganz unbedarft kann ich nur sagen, daß ich Deine Konfigurationszeilen schlüssig und logisch finde und
dies auch so funktionieren sollte. Deswegen meine Vermutung, daß schon etwas beim Compilieren nicht
beachtet wurde.

Note that mod_ifsession should be the last module in the --with-modules list, if multiple modules are listed.
This makes sure that mod_ifsession's changes will be seen properly by other modules.

Ich hoffe, das war's gewesen...

mfg.
  Volgas


Nachtrag: versuche einmal die Direktive "Classes on" - ich weiß nicht, ob das was
altes ist und noch gilt und funktioniert, aber ein Versuch scheint es mir allemal wert.

Entweder Du bedienst Dein Linux mit Kommandozeilen-Tools wie: "useradd"
(siehe manpages: "man useradd") und lernst zuerst einmal  Linux richtig kennen oder Du
benutzt ein ProFTPD-Modul für virtuelle User - das ist sauberer und eleganter als alles andere.

Auf Stonkis Website kann man sehr viel nachlesen und auch in seinem Forum (dieses) gibt's etliches.
(Suche einfach einmal nach "useradd")

Noch ein Lesetipp: solltest Du ernsthaft Interesse an Linux haben, so kann ich Dir nur wärmstens
z.B. das Standardwerk, den "Kofler" empfehlen - aber auch im Internet kann man vieles finden -
wenn man nur danach sucht...

Aber eine Anleitung, wie Du Dein System konfigurierst, hat nicht wirklich etwas mit dem ProFTPD
(und damit auch nichts mit diesem Forum) zu tun. Sorry, das klingt bestimmt hochgradig arrogant,
aber irgendwo muß man eine Grenze ziehen, sonst schreibt man sich nur die Finger an Fragen wund,
die anderweitig schon zig-tausend fach beantwortet wurden und nur immer neue Fragen nach sich ziehen.

mfg.
  VolGas

Siehe FAQ unter "ProFTPD startet nicht..." -
oder via Foren-Suche dutzendweise.

mfg.
  VolGas

Hallo!

An Deiner proftpd.conf liegt es bestimmt nicht, dann schon eher daran, daß:

• das Netzwerk falsch oder "ungünstig" konfiguriert wurde
• falsche oder umständliche IP-Routen nachgegangen werden müssen
  (Rechner & Server lokal, dann per DynDNS über's Internet zugreifen)
• der Server ein V-Server ist?
• ...

Tut mir leid, aber meines Erachtens ist der Fehler nicht beim ProFTPD zu suchen. (und zu finden!)

mfg.
  VolGas

Mit "TLSEngine" auf "off" funktioniert alles wie es soll und mit "on" dann nicht mehr?
Ok, dann bleibt wohl nur noch eines: bitte im Debug-Modus nocheinmal versuchen einloggen.
Poste dann hier die Ausgabe des Versuches, aber die Ausgabe vor dem Login bitte auslassen.

mfg.
  VolGas