Proftpd TLS Verbindung und Debian 10 [GELÖST]

[stfn116]

Hallo zusammen,

vor folgender Aufgabe bzw. Problemstellung stand ich heute.

ich möchte vorwegnehmen, dass es sich eigentlich nicht um einen Keyhelp Fehler handelt, da aber der Parameter durch das Panel übergeben/ -schrieben wird, wurde es in dem Bereich hier gepostet.

Unter Konfiguration / FTP-Server

folgendes aktiviert:

Erlaubt ausschließlich SSL/TLS-geschützte Verbindungen.
Wenn diese Option aktiviert ist, sind nur FTPS-Verbindungen im expliziten Modus erlaubt.

Soweit so gut, aber danach ging keine Verbindung mehr auf den Server, sowohl mit Filezilla, als auch über
openssl s_client -connect sub.domain.tld:21 -starttls ftp

Meiner Vermutung nach liegt an den (minimum) Werten in der /etc/ssl/openssl.cnf

Code: Select all

[system_default_sect]
MinProtocol = TLSv1.2

Nachdem in der /etc/proftpd/tls.conf von

Code: Select all

    TLSProtocol                 TLSv1

auf

Code: Select all

    TLSProtocol                 TLSv1.2

gesetzt wurde, funktioniert auch der Connect wieder.

Code: Select all

2019-08-22 17:xx:xx,xx7 mod_tls/2.7[XXXX]: TLSv1.2 connection accepted, using cipher ECDHE-RSA-AES256-GCM-SHA384 (256 bits)

Bitte entsprechend für das nächste Update vormerken, dass der Wert nicht den der openssl library unterschreitet.

[Alexander]

Hallo,

das Problem kann ich so nicht reproduzieren.
War der Server eine Debian 10 Neuinstallation oder vorher ein Debian 8 / 9?

[mhagge]

Das Problem scheint bei upgedateten Debians aufzutreten - siehe auch hier: viewtopic.php?f=6&t=8445

[stfn116]

Hallo,

das Problem kann ich so nicht reproduzieren.
War der Server eine Debian 10 Neuinstallation oder vorher ein Debian 8 / 9?

neue Debian 10 Installation. Beim Update aber auch. Denke es liegt an der Diskrepanz zur openssl.cnf


Nach Änderung der Parameter wird der Wert durchs Panel auf TLSv1 gesetzt. Danach ist kein Connect mehr möglich.

Code: Select all

/index.php?page=admin_configuration&configure=ftp

[Alexander]

Ich teste gerade noch das Verhalten bei einem ge-upgradeten System, das läuft allerdings noch.

Bei einem Testserver mit Debian 10 bei dem ich keine weiteren Änderungen vorgenommen habe, außer Benutzer angelegt und für FTP "Nur SSL/TLS gesicherte Verbindungen zulassen" eingestellt habe, kann ich mich mit FileZilla 3.42.1 problemlos verbinden. Interessant...

/etc/ssl/openssl.cnf (Komplette Datei im Anhang)

Code: Select all

[system_default_sect]
MinProtocol = TLSv1.2

Code: Select all

<IfModule mod_tls.c>
    TLSEngine                   on
    TLSLog                      /var/log/proftpd/tls.log
    TLSProtocol                 TLSv1

    TLSRSACertificateFile       /etc/ssl/keyhelp/ftp.pem
    TLSRSACertificateKeyFile    /etc/ssl/keyhelp/ftp.pem
    TLSCACertificateFile        /etc/ssl/keyhelp/ftp-ca.crt

    TLSOptions                  NoSessionReuseRequired

    TLSVerifyClient             off

    # Are clients required to use FTP over TLS when talking to this server?
    TLSRequired                 on

    # Allow SSL/TLS renegotiations when the client requests them, but
    # do not force the renegotations.  Some clients do not support
    # SSL/TLS renegotiations; when mod_tls forces a renegotiation, these
    # clients will close the data connection, or there will be a timeout
    # on an idle data connection.
    TLSRenegotiate              required off
</IfModule>

[Alexander]

Weitere Beobachtungen:

- Das Upgrade (Debian 9 -> 10) auf meinem Testserver sowie Neuinstallation funktionieren exakt genauso, wie in meinem Beitrag oben angegeben. Mit beiden ist eine FTP Verbindung bei mir problemlos möglich.

- Bei euch möchte proftpd (mit Standard tls.conf) scheinbar ausschließlich TLSv1 zulassen (ist laut Doku ja auch so korrekt: http://www.proftpd.org/docs/directives/ ... tocol.html). Bei mir hingegen updated FileZilla die Verbindung trotzdem auf TLSv1.3.

Ich würde nun zur Lösung auf die von mhagge in seinem Thread bereits vorgeschlagene Variante setzen: Den Wert für TLSProtocol unter Debian 10 künftig immer auf das Folgende zu setzen:

Code: Select all

TLSProtocol       TLSv1 TLSv1.1 TLSv1.2

EDIT: vorher stand hier "TLSProtocol TLSv1 TLSv1.1 TLSv1.2 TLSv1.3", aber TLSv1.3 wird als ungültiges Protokoll angesehen.


@stfn116
Gern darfst du einmal probieren, ob bei dir mit diesem Wert trotzdem noch alles läuft.

[stfn116]

@Alex:

Filezilla läuft bei mir in der Version: FileZilla 3.28.0, compiled on 2017-10-29

nach Anpassung der tls.conf mit den Werten:

Code: Select all

    TLSProtocol                 TLSv1 TLSv1.1 TLSv1.2 TLSv1.3

und anschließendem systemctl restart proftpd Befehl

läuft sowohl auf dem Debian 9-> 10 als auch auf Debian 10 (Neuinstallation) alles reibungslos.

Vielen Dank.

[jojoflower]

Bei mir läuft es auch Problemlos nach update Debian 9 --> 10.

[passi]

Ich hatte dasselbe Problem bei einem komplett neu installierten Debian 10
Die Lösung oben, hat bei mir auch geholfen.

VG

[MLan]

TLSProtocol TLSv1 TLSv1.1 TLSv1.2 TLSv1.3

läuft sowohl auf dem Debian 9-> 10 als auch auf Debian 10 (Neuinstallation) alles reibungslos.
Vielen Dank.

Ich muß das hier mal anzweifeln.

Code: Select all

Starting ftp server: proftpd2019-09-17 19:24:06,626 myserver.org proftpd[23421]: fatal: TLSProtocol: unknown protocol: 'TLSv1.3' on line 4 of '/etc/proftpd/tls.conf'

[OlliTheDarkness]

TLSProtocol TLSv1 TLSv1.1 TLSv1.2 TLSv1.3
läuft sowohl auf dem Debian 9-> 10 als auch auf Debian 10 (Neuinstallation) alles reibungslos.
Vielen Dank.

Ich muß das hier mal anzweifeln.

Code: Select all

Starting ftp server: proftpd2019-09-17 19:24:06,626 myserver.org proftpd[23421]: fatal: TLSProtocol: unknown protocol: 'TLSv1.3' on line 4 of '/etc/proftpd/tls.conf'

Dann hast es wohl verkackt
Das ich dir das mal sagen muss hätte ich nicht gedacht , aber welches Deb ?
Info´s helfen , weil meine Glaskugel is immernoch in der Werkstatt

[MLan]

Ach Olli,
ich gönne dir deine diebische Freude.

Ich habe Buster/Neuinstallation.

Und hier habe ich auch mal geschaut.
http://www.proftpd.org/docs/howto/TLS.html

richtig wäre wohl "TLSProtocol TLSv1 TLSv1.1 TLSv1.2"

Aber weisst du was mein log sagt ?
TLSv1.3 connection accepted, using cipher TLS_AES_256_GCM_SHA384 (256 bits)
verrückt oder ?

Gruß Mlan

[OlliTheDarkness]

Ach Olli,
ich gönne dir deine diebische Freude.

Ich habe Buster/Neuinstallation.

Und hier habe ich auch mal geschaut.
http://www.proftpd.org/docs/howto/TLS.html

richtig wäre wohl "TLSProtocol TLSv1 TLSv1.1 TLSv1.2"

Aber weisst du was mein log sagt ?
TLSv1.3 connection accepted, using cipher TLS_AES_256_GCM_SHA384 (256 bits)
verrückt oder ?

Gruß Mlan

Gibt ja nicht mehr viel im Leben wo man sich drüber freuen kann

Code: Select all

<IfModule mod_tls.c>
    TLSEngine                   on
    TLSLog                      /var/log/proftpd/tls.log
TLSProtocol                 TLSv1 TLSv1.1 TLSv1.2 TLSv1.3

    TLSRSACertificateFile       /etc/ssl/keyhelp/ftp.pem
    TLSRSACertificateKeyFile    /etc/ssl/keyhelp/ftp.pem
    TLSCACertificateFile        /etc/ssl/keyhelp/ftp-ca.crt

    TLSOptions                  NoSessionReuseRequired

    TLSVerifyClient             off

    # Are clients required to use FTP over TLS when talking to this server?
    TLSRequired                 on

    # Allow SSL/TLS renegotiations when the client requests them, but
    # do not force the renegotations.  Some clients do not support
    # SSL/TLS renegotiations; when mod_tls forces a renegotiation, these
    # clients will close the data connection, or there will be a timeout
    # on an idle data connection.
    TLSRenegotiate              required off
</IfModule>

Ein Fall für Gallileo Mystery

[MLan]

na dann mach mal mit deiner config ein

Code: Select all

systemctl restart  proftpd.service  && systemctl status  proftpd.service |grep protocol

[OlliTheDarkness]

na dann mach mal mit deiner config ein

Code: Select all

systemctl restart  proftpd.service  && systemctl status  proftpd.service |grep protocol

Wohl wahr wohl wahr...

Zu TLSv1.3 findest auch in der prodoku nichts -.-