Eigene FTP Adresse [GELÖST]

[Tobi7889]

Moin zusammen,

ein Kunde hat die Anforderung, dass er seine eigene Domain als FTP Server angibt.

Dieses passiert auf verschiedener Richtlinien nach dem folgenden Schema:
transfer.domain.de

Darauf verbinden sich verschiedene Dienstleister zum Dateitransfer.
Er möchte nicht den Hostname rausgeben und benötigt diese Domain. Das klappt soweit auch, nur dass der FTP Client dann natürlich meckert, dass das Zertifikat ungültig ist, da der proftpd ja das Zertifikat mit dem Hostname nutzt.

Nun hatte ich einmal getestet über die virtuals.conf in Proftpd diesen Host hinzuzufügen mit seinem Lets Encrypt Zertifikat, das hatte auch soweit geklappt, nur scheitert er dann an der Anmeldung und sagt, dass die User Credentials falsch seien.

In der neu angelegten Log meldet er dann:

2025-02-18 17:14:30,358 mod_tls/2.9.2[341254]: TLS/TLS-C requested, starting TLS handshake
2025-02-18 17:14:30,405 mod_tls/2.9.2[341254]: TLSv1.3 connection accepted, using cipher TLS_AES_256_GCM_SHA384 (256 bits)
2025-02-18 17:14:30,439 mod_tls/2.9.2[341254]: SSL_shutdown error: SSL:
(1) error:0A000126:SSL routines::unexpected eof while reading
(2) error:0A000197:SSL routines::shutdown while in init

Und im ProFTPD Log sehe ich, dass die Verbindung aufgebaut wurde, der User aber nicht bekannt sei -> Wenn ich den VirtualHost nicht aktiv habe geht aber genau dieser User.

Habt Ihr dazu Ideen, wie ich die Anforderung am besten umsetzen kann?

[Jolinar]

Nun hatte ich einmal getestet über die virtuals.conf in Proftpd diesen Host hinzuzufügen mit seinem Lets Encrypt Zertifikat, das hatte auch soweit geklappt, nur scheitert er dann an der Anmeldung und sagt, dass die User Credentials falsch seien.

Was genau hast du denn in der Konfig eingetragen?

[Tobi7889]

Code: Select all

<VirtualHost transfer.domain.de>
<IfModule mod_tls.c>
    TLSEngine                   on
    TLSLog                      /var/log/proftpd/tls-transfer.domain.de.log

    TLSProtocol                 ALL -SSLv3 -TLSv1 -TLSv1.1
    TLSCipherSuite              ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384

    TLSRSACertificateFile       /etc/ssl/keyhelp/letsencrypt/username/transfer.domain.de/fullchain.pem
    TLSRSACertificateKeyFile    /etc/ssl/keyhelp/letsencrypt/username/transfer.domain.de/private.pem

    TLSOptions                  NoSessionReuseRequired

    TLSVerifyClient             off

    # Are clients required to use FTP over TLS when talking to this server?
    TLSRequired                 on

    # Allow SSL/TLS renegotiations when the client requests them, but
    # do not force the renegotations. Some clients do not support
    # SSL/TLS renegotiations; when mod_tls forces a renegotiation, these
    # clients will close the data connection, or there will be a timeout
    # on an idle data connection.
    TLSRenegotiate              required off
</IfModule>
</VirtualHost>

[Jolinar]

Innerhalb des <VirtualHost>-Blocks fehlt die Definition, wie die Benutzer authentifiziert werden sollen. ProFTPD benötigt eine explizite Anweisung, welche Benutzerdatenbank oder Authentifizierungsmethode verwendet werden soll. Ohne diese Angabe greift ProFTPD möglicherweise auf eine Standardkonfiguration zurück, die nicht mit den für den VirtualHost gedachten Benutzern übereinstimmt.

Code: Select all

TLSOptions NoSessionReuseRequired

Der Parameter ist normalerweise nicht notwendig.


Hat der ProFTPD Prozeß überhaupt Zugriff auf die Zertifikate?

[Tobi7889]

Den Parameter hatte ich erstmal über die Standard tls.conf mitgenommen, damit ich ein 1:1 identisches Schema habe.

Weißt du gerade zufällig, wie die Definition lauten muss, damit er die UserDB entsprechend ziehen kann, aus Keyhelp?

Die Zertifikate kann er abfragen, er spielt auch das korrekte aus und erkennt die Verschlüselung korrekt, glaube hier eher nach deinem Einwurf an die UserDB als Fehler.

[Florian]

Hallo,

das funktioniert schon so. Folgende Option musst du aber noch setzen:

Code: Select all

Include /etc/proftpd/sql.conf
DefaultRoot ~

Ersteres sorgt dafür, dass auch die Zusatz-FTP-Benutzer funktionieren. Das Zweite schließt den User in seinem Verzeichnis sein.

[Tobi7889]

Damit kommen wir schonmal rein, teilweise kommt es zu Verbindungsabbrüchen oder einige User kriegen die Verzeichnisinhalte nicht dargestellt.

Im Log kommt spannenderweise das folgende, obwohl der Login klappt:

Code: Select all

Feb 19 16:40:29 serverdomain.de proftpd[713512]: pam_unix(proftpd:auth): authentication failure; logname= uid=0 euid=0 tty=/dev/ftpd713512 ruser=ftp_user_3 rhost=0.0.0.0
Feb 19 16:40:53 serverdomain.de proftpd[713686]: pam_unix(proftpd:auth): check pass; user unknown

[Florian]

Hallo,

vielleicht musst du die passive Ports Anweisung noch übernehmen aus der proftpd.conf

Nicht angezeigte Verzeichnisse sind eigentlich immer ein Firewallproblem.

[Tobi7889]

Das mit den Passive Ports war das entscheidende, vielen Dank!

[Tobi7889]

Leider gibt es doch einen Fehler, offenbar zieht er nicht alle Berechtigungen korrekt:

Befehl: STOR test.csv
Antwort: 550 test.csv: Overwrite permission denied
Fehler: Kritischer Dateiübertragungsfehler

Code: Select all

Status: Initialisiere TLS...
Status: TLS-Verbindung hergestellt.
Status: Angemeldet
Status: Starte Upload von C:\Users\NutzerName\Documents\Kunden\Kundenname\test.csv
Befehl: CWD /
Antwort: 250 CWD command successful
Befehl: TYPE I
Antwort: 200 Type set to I
Befehl: PASV
Antwort: 227 Entering Passive Mode (185,242,115,117,117,94).
Befehl: STOR test.csv
Antwort: 550 test.csv: Overwrite permission denied
Fehler: Kritischer Dateiübertragungsfehler
Status: Verbindung zum Server getrennt
Status: Verbindung zum Server getrennt: ECONNABORTED - Verbindung abgebrochen

Hat hier noch jemand eine Idee?

[Florian]

Hallo,

du musst einfach in die proftp.conf gucken, was da helfen könnte und was da in die virtuals.conf übertragen werden muss.

Ich vermute:

Code: Select all

AllowOverwrite on
AllowRetrieveRestart on
AllowStoreRestart on

sind solche Optionen, die noch fehlen.

[Tobi7889]

Super, vielen Dank