VSFTPD e SSL implícito

Question

VSFTPD e SSL implícito

#1 resposta do (5 votos)
#2 resposta do (4 votos)
#3 resposta do (3 votos)
#4 resposta do (2 votos)
#5 resposta do (1 votos)
#6 resposta do (0 votos)

5

Eu tenho um servidor Dedicado Debian e quero ativar o SSL implícito nele usando VSFTPD e estou tendo dificuldades.

Eu li on-line e a única coisa que realmente consigo encontrar é como ativar o SSL e nas páginas man ele lista um comando ssl implícito. mas como o ssl implícito usa um segundo ouvinte (990 por padrão) não tenho idéia de como fazê-lo funcionar no Debian.

Alguém conseguiu fazer isso funcionar?

Aqui está minha configuração:

listen=YES
anonymous_enable=NO
local_enable=YES
write_enable=YES
local_umask=022
connect_from_port_20=YES
pam_service_name=vsftpd
ssl_enable=YES
allow_anon_ssl=NO
force_local_data_ssl=NO
force_local_logins_ssl=NO
ssl_tlsv1=YES
ssl_sslv2=NO
ssl_sslv3=NO
rsa_cert_file=/etc/ssl/certs/vsftpd.pem

se eu incluir Implicit_SSL = YES, o servidor não iniciará nem mesmo.

obrigado

ssl debian ftp vsftpd

por Luma 14.09.2009 / 02:27

6 respostas

5

Implícito - Presume que o servidor esteja esperando tudo criptografado usando SSL. Isso significa que, quando o cliente se conecta pela primeira vez ao servidor, ele negocia imediatamente a conexão SSL na conexão do comando. Normalmente, as conexões implícitas também estão em uma porta diferente, como a porta 990 . Então, para executar o vsftpd no modo implícito, você precisa definir opções

implicit_ssl=YES
listen_port=990

Ou

implicit_ssl=YES
listen_port=21

e configure seu cliente ftp para usar a 21 porta para conexão. (O cliente FileZilla, por exemplo, usa a porta 990 por padrão, ao se conectar ao tipo de servidor implícito).

por 21.11.2011 / 10:57

3

Eu tive um problema semelhante, eis o que sua configuração deve ler:

listen=YES
anonymous_enable=NO
local_enable=YES
write_enable=YES
local_umask=022
connect_from_port_20=YES
pam_service_name=vsftpd
ssl_enable=YES
#The following line enables implicit mode
implicit_ssl=YES
allow_anon_ssl=NO
#This will force secure data connections, not required, but recommended
force_local_data_ssl=YES
#This will force secure logins, not strictly required, but REALLY recommended
force_local_logins_ssl=YES
ssl_tlsv1=YES
ssl_sslv2=NO
ssl_sslv3=NO
rsa_cert_file=/etc/ssl/certs/vsftpd.pem
#The next line is the magic which I suspect will make this work for you.
#Some distros require explicit private key designation. You may need to regenerate your
#certificate / key pair. A lot of Debian based distros seem to need this step, and will not
#start the server without it.
rsa_private_key_file=<path to private key>.key

Isso fez o truque para mim. Além disso, como você está usando tls, não ssl, seu servidor deve realmente servir nas portas ftp usuais. Agora, a maioria dos clientes , por outro lado, olhará para a porta 990 para uma conexão ftps por padrão, mas não há nada que você possa realmente fazer sobre isso, a menos que você realmente deseje servir na porta 990. Não é um dealbreaker, Apenas uma dor. Você também pode querer considerar usuários virtuais, chroot jailing e modo passivo para segurança, mais segurança e facilidade de conexões de clientes, respectivamente. Felicidades, -Matias

por 04.11.2011 / 09:18

2

Se você der uma olhada no código fonte do vsftpd você verá que a primeira versão do vsftp contendo o implicit_ssl é a versão 2.1.0, mesmo o changelog mencionou este recurso para o 2.0.7!

Além disso, se você der uma olhada no analisador de configuração no código-fonte c, verá que a documentação está correta e você terá que escrever a opção de configuração em minúsculas se quiser ativá-la!

por exemplo: implicit_ssl = yes

por 10.06.2011 / 16:11

1

Certifique-se de especificar "implicit_ssl" (todas as letras minúsculas), Implicit_SSL não funcionará, como você mencionou, o servidor nem iniciará

por 04.08.2010 / 01:24

0

tem a certeza que o ftps está apenas na porta 990? A configuração implicit_ssl deve ativar o ftps na porta 21 se você não definir explicitamente listen_port .

Descubra em quais portas o vsftpd está escutando e tente conectar via ftps na porta 21.

Se ainda assim não funcionar, tente definir debug_ssl=YES e dê uma olhada nos seus registros.

Outra possibilidade é que você tenha uma versão vsftpd do debian, que não suporta implicit_ssl . Qual versão do debian e do vsftpd você usa? A opção foi adicionada pela versão 2.0.7.

por 07.01.2010 / 15:56

Tags ssl debian ftp vsftpd

Procurando vários arquivos por uma string no LInux É possível vincular nomes de domínio ao servidor VisualSVN e IIS em uma caixa sem usar uma porta?

score 4 · Accepted Answer

É claro que você precisa definir implicit_ssl=YES no arquivo de configuração para ir a qualquer lugar.

Mas quando você faz, você não pode iniciar o servidor, é claro. Então, a primeira coisa a fazer é olhar para os logs do servidor, em /var/log/vsftpd.log (ou, possivelmente, as mensagens foram para /var/log/user.log ou / var / log / messages, mas isso é improvável ).

Sem perceber isso, não posso dizer qual é o problema, mas como um palpite, eu diria que há uma boa chance de ele não encontrar o certificado SSL do seu servidor. Outros candidatos possíveis para o problema incluem problemas de permissão, falhas do SELinux (se você tiver isso habilitado), ou vsftpd simplesmente não gostando do conjunto de opções de configuração que você deu - pode ser muito exigente assim, para evitar que você acidentalmente deixando configurado em um estado inseguro. Ou não há falta de outras possibilidades - é por isso que você precisa dos logs.