KeyHelp Community

Das offizielle KeyHelp Forum der Keyweb AG / The official KeyHelp forum of Keyweb AG
https://community.keyhelp.de/

Proftpd TLS Verbindung und Debian 10

https://community.keyhelp.de/viewtopic.php?t=8480

Page 1 of 2

Proftpd TLS Verbindung und Debian 10

Posted: Thu 22. Aug 2019, 17:37
by stfn116
Hallo zusammen,

vor folgender Aufgabe bzw. Problemstellung stand ich heute.

ich möchte vorwegnehmen, dass es sich eigentlich nicht um einen Keyhelp Fehler handelt, da aber der Parameter durch das Panel übergeben/ -schrieben wird, wurde es in dem Bereich hier gepostet.

Unter Konfiguration / FTP-Server

folgendes aktiviert:
Erlaubt ausschließlich SSL/TLS-geschützte Verbindungen.
Wenn diese Option aktiviert ist, sind nur FTPS-Verbindungen im expliziten Modus erlaubt.
Soweit so gut, aber danach ging keine Verbindung mehr auf den Server, sowohl mit Filezilla, als auch über
openssl s_client -connect sub.domain.tld:21 -starttls ftp

Meiner Vermutung nach liegt an den (minimum) Werten in der /etc/ssl/openssl.cnf

Code: Select all

[system_default_sect]
MinProtocol = TLSv1.2
Nachdem in der /etc/proftpd/tls.conf von

Code: Select all

    TLSProtocol                 TLSv1
auf

Code: Select all

    TLSProtocol                 TLSv1.2

gesetzt wurde, funktioniert auch der Connect wieder.

Code: Select all

2019-08-22 17:xx:xx,xx7 mod_tls/2.7[XXXX]: TLSv1.2 connection accepted, using cipher ECDHE-RSA-AES256-GCM-SHA384 (256 bits)

Bitte entsprechend für das nächste Update vormerken, dass der Wert nicht den der openssl library unterschreitet.

Re: Proftpd TLS Verbindung und Debian 10

Posted: Fri 23. Aug 2019, 08:48
by Alexander
Hallo,

das Problem kann ich so nicht reproduzieren.
War der Server eine Debian 10 Neuinstallation oder vorher ein Debian 8 / 9?

Re: Proftpd TLS Verbindung und Debian 10

Posted: Fri 23. Aug 2019, 09:24
by mhagge
Das Problem scheint bei upgedateten Debians aufzutreten - siehe auch hier: viewtopic.php?f=6&t=8445

Re: Proftpd TLS Verbindung und Debian 10

Posted: Fri 23. Aug 2019, 09:45
by stfn116
Alexander wrote: Fri 23. Aug 2019, 08:48 Hallo,

das Problem kann ich so nicht reproduzieren.
War der Server eine Debian 10 Neuinstallation oder vorher ein Debian 8 / 9?
neue Debian 10 Installation. Beim Update aber auch. Denke es liegt an der Diskrepanz zur openssl.cnf


Nach Änderung der Parameter wird der Wert durchs Panel auf TLSv1 gesetzt. Danach ist kein Connect mehr möglich.

Code: Select all

/index.php?page=admin_configuration&configure=ftp

Re: Proftpd TLS Verbindung und Debian 10

Posted: Fri 23. Aug 2019, 10:18
by Alexander
Ich teste gerade noch das Verhalten bei einem ge-upgradeten System, das läuft allerdings noch.

Bei einem Testserver mit Debian 10 bei dem ich keine weiteren Änderungen vorgenommen habe, außer Benutzer angelegt und für FTP "Nur SSL/TLS gesicherte Verbindungen zulassen" eingestellt habe, kann ich mich mit FileZilla 3.42.1 problemlos verbinden. Interessant... :)

/etc/ssl/openssl.cnf (Komplette Datei im Anhang)

Code: Select all

[system_default_sect]
MinProtocol = TLSv1.2

Code: Select all

<IfModule mod_tls.c>
    TLSEngine                   on
    TLSLog                      /var/log/proftpd/tls.log
    TLSProtocol                 TLSv1

    TLSRSACertificateFile       /etc/ssl/keyhelp/ftp.pem
    TLSRSACertificateKeyFile    /etc/ssl/keyhelp/ftp.pem
    TLSCACertificateFile        /etc/ssl/keyhelp/ftp-ca.crt

    TLSOptions                  NoSessionReuseRequired

    TLSVerifyClient             off

    # Are clients required to use FTP over TLS when talking to this server?
    TLSRequired                 on

    # Allow SSL/TLS renegotiations when the client requests them, but
    # do not force the renegotations.  Some clients do not support
    # SSL/TLS renegotiations; when mod_tls forces a renegotiation, these
    # clients will close the data connection, or there will be a timeout
    # on an idle data connection.
    TLSRenegotiate              required off
</IfModule>

Re: Proftpd TLS Verbindung und Debian 10

Posted: Fri 23. Aug 2019, 11:28
by Alexander
Weitere Beobachtungen:

- Das Upgrade (Debian 9 -> 10) auf meinem Testserver sowie Neuinstallation funktionieren exakt genauso, wie in meinem Beitrag oben angegeben. Mit beiden ist eine FTP Verbindung bei mir problemlos möglich.

- Bei euch möchte proftpd (mit Standard tls.conf) scheinbar ausschließlich TLSv1 zulassen (ist laut Doku ja auch so korrekt: http://www.proftpd.org/docs/directives/ ... tocol.html). Bei mir hingegen updated FileZilla die Verbindung trotzdem auf TLSv1.3. :roll:

Ich würde nun zur Lösung auf die von mhagge in seinem Thread bereits vorgeschlagene Variante setzen: Den Wert für TLSProtocol unter Debian 10 künftig immer auf das Folgende zu setzen:

Code: Select all

TLSProtocol       TLSv1 TLSv1.1 TLSv1.2
EDIT: vorher stand hier "TLSProtocol TLSv1 TLSv1.1 TLSv1.2 TLSv1.3", aber TLSv1.3 wird als ungültiges Protokoll angesehen.


@stfn116
Gern darfst du einmal probieren, ob bei dir mit diesem Wert trotzdem noch alles läuft.

Re: Proftpd TLS Verbindung und Debian 10

Posted: Sat 24. Aug 2019, 11:35
by stfn116
@Alex:

Filezilla läuft bei mir in der Version: FileZilla 3.28.0, compiled on 2017-10-29

nach Anpassung der tls.conf mit den Werten:

Code: Select all

    TLSProtocol                 TLSv1 TLSv1.1 TLSv1.2 TLSv1.3
und anschließendem systemctl restart proftpd Befehl

läuft sowohl auf dem Debian 9-> 10 als auch auf Debian 10 (Neuinstallation) alles reibungslos.

Vielen Dank.

Re: Proftpd TLS Verbindung und Debian 10

Posted: Fri 6. Sep 2019, 09:10
by jojoflower
Bei mir läuft es auch Problemlos nach update Debian 9 --> 10.

Re: Proftpd TLS Verbindung und Debian 10

Posted: Tue 17. Sep 2019, 19:02
by passi
Ich hatte dasselbe Problem bei einem komplett neu installierten Debian 10
Die Lösung oben, hat bei mir auch geholfen.

VG

Re: Proftpd TLS Verbindung und Debian 10

Posted: Tue 17. Sep 2019, 19:27
by MLan
stfn116 wrote: Sat 24. Aug 2019, 11:35
TLSProtocol TLSv1 TLSv1.1 TLSv1.2 TLSv1.3

läuft sowohl auf dem Debian 9-> 10 als auch auf Debian 10 (Neuinstallation) alles reibungslos.
Vielen Dank.
Ich muß das hier mal anzweifeln.

Code: Select all

Starting ftp server: proftpd2019-09-17 19:24:06,626 myserver.org proftpd[23421]: fatal: TLSProtocol: unknown protocol: 'TLSv1.3' on line 4 of '/etc/proftpd/tls.conf'

Re: Proftpd TLS Verbindung und Debian 10

Posted: Tue 17. Sep 2019, 20:43
by OlliTheDarkness
MLan wrote: Tue 17. Sep 2019, 19:27
stfn116 wrote: Sat 24. Aug 2019, 11:35 TLSProtocol TLSv1 TLSv1.1 TLSv1.2 TLSv1.3
läuft sowohl auf dem Debian 9-> 10 als auch auf Debian 10 (Neuinstallation) alles reibungslos.
Vielen Dank.
Ich muß das hier mal anzweifeln.

Code: Select all

Starting ftp server: proftpd2019-09-17 19:24:06,626 myserver.org proftpd[23421]: fatal: TLSProtocol: unknown protocol: 'TLSv1.3' on line 4 of '/etc/proftpd/tls.conf'
Dann hast es wohl verkackt :lol:
Das ich dir das mal sagen muss hätte ich nicht gedacht , aber welches Deb ?
Info´s helfen , weil meine Glaskugel is immernoch in der Werkstatt :D

Re: Proftpd TLS Verbindung und Debian 10

Posted: Tue 17. Sep 2019, 20:55
by MLan
Ach Olli,
ich gönne dir deine diebische Freude. :lol:

Ich habe Buster/Neuinstallation.

Und hier habe ich auch mal geschaut.
http://www.proftpd.org/docs/howto/TLS.html

richtig wäre wohl "TLSProtocol TLSv1 TLSv1.1 TLSv1.2"

Aber weisst du was mein log sagt ?
TLSv1.3 connection accepted, using cipher TLS_AES_256_GCM_SHA384 (256 bits)
verrückt oder ?

Gruß Mlan

Re: Proftpd TLS Verbindung und Debian 10

Posted: Tue 17. Sep 2019, 21:06
by OlliTheDarkness
MLan wrote: Tue 17. Sep 2019, 20:55 Ach Olli,
ich gönne dir deine diebische Freude. :lol:

Ich habe Buster/Neuinstallation.

Und hier habe ich auch mal geschaut.
http://www.proftpd.org/docs/howto/TLS.html

richtig wäre wohl "TLSProtocol TLSv1 TLSv1.1 TLSv1.2"

Aber weisst du was mein log sagt ?
TLSv1.3 connection accepted, using cipher TLS_AES_256_GCM_SHA384 (256 bits)
verrückt oder ?

Gruß Mlan
Gibt ja nicht mehr viel im Leben wo man sich drüber freuen kann :lol:

Code: Select all

<IfModule mod_tls.c>
    TLSEngine                   on
    TLSLog                      /var/log/proftpd/tls.log
TLSProtocol                 TLSv1 TLSv1.1 TLSv1.2 TLSv1.3

    TLSRSACertificateFile       /etc/ssl/keyhelp/ftp.pem
    TLSRSACertificateKeyFile    /etc/ssl/keyhelp/ftp.pem
    TLSCACertificateFile        /etc/ssl/keyhelp/ftp-ca.crt

    TLSOptions                  NoSessionReuseRequired

    TLSVerifyClient             off

    # Are clients required to use FTP over TLS when talking to this server?
    TLSRequired                 on

    # Allow SSL/TLS renegotiations when the client requests them, but
    # do not force the renegotations.  Some clients do not support
    # SSL/TLS renegotiations; when mod_tls forces a renegotiation, these
    # clients will close the data connection, or there will be a timeout
    # on an idle data connection.
    TLSRenegotiate              required off
</IfModule>
Ein Fall für Gallileo Mystery :D

Re: Proftpd TLS Verbindung und Debian 10

Posted: Tue 17. Sep 2019, 21:16
by MLan
na dann mach mal mit deiner config ein

Code: Select all

systemctl restart  proftpd.service  && systemctl status  proftpd.service |grep protocol

Re: Proftpd TLS Verbindung und Debian 10

Posted: Tue 17. Sep 2019, 21:46
by OlliTheDarkness
MLan wrote: Tue 17. Sep 2019, 21:16 na dann mach mal mit deiner config ein

Code: Select all

systemctl restart  proftpd.service  && systemctl status  proftpd.service |grep protocol
Wohl wahr wohl wahr...

Zu TLSv1.3 findest auch in der prodoku nichts -.-
All times are UTC+02:00
Page 1 of 2

Powered by phpBB® Forum Software © phpBB Limited