Nefunguje TLS/SSL přihlášení na ProFTPD

Pedro

Nefunguje TLS/SSL přihlášení na ProFTPD
« kdy: 17. 11. 2011, 19:38:08 »
Zdravim vo spolok
Uz dost dlho si lamem hlavu s proftpd a s jeho podporou TLS/SSL
Proftpd som uz rozbehal a v pohode ked nezaskrtnem vo Tolali kniznice tls... tak sa prihlasim uplne bez problemov a vsetko ide ako ma ale kedze ma zaujima hlavne bezpecnost tak chcem aby mi to islo aj prihlasenie ftps pomocou TLS a to ked uz dam uz ma neprihlasi vyhodi nejaku chybu neviete kde mi nieco chyba alebo kde robim chybu?? posielam konfiguraky a postupoval som zhruba pomocou tohto navodu  http://max.devaine.cz/proftpd-mysql
len to ze ja to mam aktivovane len na jedneho uzivatela co mi staci...
takze v /etc/proftpd/proftpd.conf   

Kód: [Vybrat]
ServerName         "ftp"
ServerType         standalone
SocketBindTight                 off
Port            21
PassivePorts                    40000 44000                 samozrejme v nat ich mam presmerovane....
DefaultServer         on
ShowSymlinks         on
RequireValidShell      no
DefaultRoot         ~
Umask            002
User            ftp
Group            ftp
MaxInstances                    4
TimeoutStalled         300
MaxClients         4
MaxLoginAttempts      2
DeferWelcome         on

<Limit LOGIN>
 AllowUser ftp
 AllowUser ftp
 AllowGroup ftp
 DenyAll
 </Limit>


<Anonymous /home/ftp >
   User                         ftp
   Group                        ftp

<Limit LOGIN>
  AllowAll
</Limit>

 

   RequireValidShell            off
   MaxClients                   10

   <Directory /home/ftp>
     <Limit WRITE>
       DenyAll
     </Limit>
   </Directory>



<Directory /home/ftp>
  Umask 022 022
  AllowOverwrite off
   <Limit MKD STOR DELE XMKD RNEF RNTO RMD XRMD WRITE>
     DenyAll
       </Limit>
 </Directory>

</Anonymous>

Include /etc/proftpd/tls.conf

/etc/proftpd/tls.conf   
Kód: [Vybrat]
            #
# Ukazkovy konfiguracni soubor Proftpd pro FTPS spojeni.
#
# Pozor, FTPS zavadi nekolik omezeni pri NAT traversi.
# Pro vice informaci se podivejte na :
# http://www.castaglia.org/proftpd/doc/contrib/ProFTPD-mini-HOWTO-TLS.html
#

<IfModule mod_tls.c>

### Povolit proftpd TLS/SSL :
TLSEngine                               on

### Soubor s logem pro vse ohledne tls spojeni :
TLSLog                                  /var/log/proftpd/tls.log

### Typ protokolu - TLSv1, SSLv3, SSLv23(kompatibilita obou predchozich) :
TLSProtocol                             SSLv23

#
# Pokud chcete vygenerovat self-signed certifikat, pouzijte tento prikaz :
#
# openssl req -x509 -newkey rsa:1024 \
#          -keyout /etc/proftpd/ssl/proftpd.key.pem -out /etc/proftpd/ssl/proftpd.cert.pem \
#          -nodes -days 365
#
# Soubor proftpd.key.pem musi byt citelny pouze pro uzivatele root. Ostatni soubory mohou
# byt citelne pro kohokoli.
#
# chmod 0600 /etc/proftpd/ssl/proftpd.key.pem
# chmod 0640 /etc/proftpd/ssl/proftpd.cert.pem
#

### Cesty k certifikatum :
TLSRSACertificateFile                   /etc/proftpd/ssl/proftpd.cert.pem
TLSRSACertificateKeyFile                /etc/proftpd/ssl/proftpd.key.pem

### Soubor s certifikatem certifikacni autority (CA) pro overovani klientu :
#TLSCACertificateFile                    /etc/ssl/certs/CA.pem
# cesta k crtifikatum pro overovani klientu pomoci CA :
#TLSCACertificatePath                    /etc/ssl/certs/
# cesta ke zrusenemu/neduveryhodnemu certifikatu :
#TLSCARevocationFile                     /etc/ssl/revocate/CA.pem
# cesta ke zrusenym/neduveryhodnym certifikatum :
#TLSCARevocationPath

### Neoverovat klientuv certifikat :
TLSOptions                              NoCertRequest

### Nedotazovat se na klientuv certifikat :
TLSVerifyClient                         off

### Vyzadovat TLS spojeni, pokud je off, klient se bude moci pripojit i nesifrovane :
TLSRequired                             off

### Presne nevim, ale myslim si, ze to je sprava docasnych certifikatu :
# spojeni se navaze s trvalym certifikatem a dalsi komunikace a prenos dat
# probiha s docasnym. Da se nastavit platnost docasneho v navaznosti na
# case prenosu, objemu prenesenych dat atd.
# Tuto fci rozhodne moc klientu nepodporuje, takze se asi ani moc nepouziva.

# Nastavit tak, aby nebylo nutny, ale jen pozadovany/dobrovolny :
#TLSRenegotiate required off
# Po 1 hodine :
#TLSRenegotiate ctrl 3600
# Po preneseni 500MiB dat :
#TLSRenegotiate data 512000
# Timeout :
#TLSRenegotiate timeout 300
# Veskere nastaveni v jedne directive :
#TLSRenegotiate ctrl 3600 data 512000 required off timeout 300

</IfModule>   

za odpoved vopred dakujem.. Pouzivam debian
« Poslední změna: 18. 11. 2011, 14:49:59 od Petr Krčmář »


feek

Re: Problem s TLS/SSL prihlasenim na proftpd
« Odpověď #1 kdy: 18. 11. 2011, 09:25:30 »
zkus přidat výpis z logu ...

Pedro

Re: Problem s TLS/SSL prihlasenim na proftpd
« Odpověď #2 kdy: 18. 11. 2011, 09:32:00 »
a co dat do terminalu??

feek

Re: Problem s TLS/SSL prihlasenim na proftpd
« Odpověď #3 kdy: 18. 11. 2011, 09:49:56 »
tail /var/log/proftpd/tls.log -n15

Pedro

Re: Problem s TLS/SSL prihlasenim na proftpd
« Odpověď #4 kdy: 18. 11. 2011, 13:54:58 »
serverik:/home/pedro# tail /var/log/proftpd/tls.log -n15
nov 13 10:28:14 mod_tls/2.1.2[3133]: using default OpenSSL verification locations (see $SSL_CERT_DIR environment variable)
nov 13 10:28:36 mod_tls/2.1.2[3134]: using default OpenSSL verification locations (see $SSL_CERT_DIR environment variable)


feek

Re: Nefunguje TLS/SSL přihlášení na ProFTPD
« Odpověď #5 kdy: 21. 11. 2011, 11:13:20 »
No jestli je tohle úplnej výpis, tak netušim kde je chyba. Zkus projet ještě ostatní související logy.

Pedro

Re: Nefunguje TLS/SSL přihlášení na ProFTPD
« Odpověď #6 kdy: 24. 11. 2011, 08:41:54 »
ano je to uplny vypis,  a kotre mas na mysli???  co mam este prebehnut??? uz somskusal vela navodou a vzdy som zamrzol pri tom ze mi slo len ftp a ked so mto chcel riesit cez gadmina tak ten zas ma vytaca ze mi hodi staru verziu a new verziu nejde mi nainstalovat bo mi nejde jeden balik ktory nanho potrebujem nahodit pak mi drbne celemu debianu a vypise ze chyba vistualnej pamate nedostatok... co nechapem bo vsade je volne miesto a swap dist ide tiez vp ohdoe tka nechapem vsetko fakci ale jeden balik ked dam instalovat tak pas...

aj tu som to riesil... 
http://forum.ubuntu.cz/index.php?topic=59518.msg425392#msg425392
a tiez nikto nic...
ten moj server ma uz dost vytaca..:(

Pedro

Re: Nefunguje TLS/SSL přihlášení na ProFTPD
« Odpověď #7 kdy: 28. 11. 2011, 22:26:20 »
hmm neviete niekto poradit ?? alebo mi poslat svoje konfiguraky a podla toho si to nejako nastavim hmm??

pistal

Re: Nefunguje TLS/SSL přihlášení na ProFTPD
« Odpověď #8 kdy: 29. 11. 2011, 11:07:22 »
Skus zvysit debug level (prepinac -d)

Pedro

Re:Nefunguje TLS/SSL přihlášení na ProFTPD
« Odpověď #9 kdy: 29. 11. 2011, 23:28:33 »
myslis update??  (prepinac -d) ??
co napsiat do terminalu??

CV

Re:Nefunguje TLS/SSL přihlášení na ProFTPD
« Odpověď #10 kdy: 30. 11. 2011, 07:05:44 »
Jen takový tip. ProFTPD jsem používal několik let, bohužel u posledních verzí mi nechodilo přihlašování pomocí mysql. Po dlouhém trápení, kompilaci ze zdrojáků nakonec  přechod na PureFTP. 

pistal

Re:Nefunguje TLS/SSL přihlášení na ProFTPD
« Odpověď #11 kdy: 30. 11. 2011, 08:08:20 »
myslis update??  (prepinac -d) ??
man proftpd

Pedro

Re:Nefunguje TLS/SSL přihlášení na ProFTPD
« Odpověď #12 kdy: 30. 11. 2011, 14:39:37 »
Jen takový tip. ProFTPD jsem používal několik let, bohužel u posledních verzí mi nechodilo přihlašování pomocí mysql. Po dlouhém trápení, kompilaci ze zdrojáků nakonec  přechod na PureFTP.


a je tazke ten pure nahodit co myslsi oproti protftpd?? mas nejaky dobry navod???

Pedro

Re:Nefunguje TLS/SSL přihlášení na ProFTPD
« Odpověď #13 kdy: 30. 11. 2011, 14:42:50 »
myslis update??  (prepinac -d) ??
man proftpd

pockaj troska so msa stratil supol som to tam mi to presne ukazalo ze debag zvysim -d a to som tam drbol a nic sa nestalo...
ci nespoznam to??
som dal man proftpd
pak ukazlao ten zoznam tam dal -d    a enter a ak zmizol ako klasicky ale asi zly postup vies ma opravit??