Contenu | Rechercher | Menus

Annonce

Si vous avez des soucis pour rester connecté, déconnectez-vous puis reconnectez-vous depuis ce lien en cochant la case
Me connecter automatiquement lors de mes prochaines visites.

À propos de l'équipe du forum.

Pages : 1

#1 Le 07/12/2007, à 14:14

Halmy

[résolu] soucis avec vsftpd et openssl

Bonjour a tous,

J'ai voulu sécuriser mon ftp avec openssl en suivant la documentation disponible sur le wiki (http://doc.ubuntu-fr.org/vsftpd).
La création du certificat se déroule bien, la modification de vsftpd.conf aussi, redémarrage de vsftpd.

Et là  a la connexion une fois le certificat accepté, la commande list ne s'effectue plus et mène à  un timeout.

J'ai fait quelques recherches sur internet mais rien de concluant.
Voici donc mon vsftpd.conf :

# Message d'accueil
ftpd_banner=Bienvenu sur mon serveur ftp.

# Ceci configure vsFTPd en mode "standalone"
listen=YES

# On désactive les connexions anonymes
# et on active les non-anonymes(c'est le cas des utilisateurs virtuels):
anonymous_enable=NO
local_enable=YES

# Pour des raisons de sécurité on interdit toute action d'écriture:
write_enable=NO
anon_upload_enable=NO
anon_mkdir_write_enable=NO
anon_other_write_enable=NO

# 'guest_enable' est très important: cela active les utilisateurs virtuels!
# 'guest_username' fait correspondre tous les utilisateurs virtuels à 
# l'utilisateur 'virtual' que nous avons défini plus haut, et au home
# correspondant: '~virtual/'.
guest_enable=YES
guest_username=virtual

# On veut que les utilisateurs virtuels restent chez eux: '~virtual/'
# (attends, on leur a fait un toà®t, c'est pas pour rien!)
chroot_local_user=YES

# On défini le nombre maximum de sessions à  200(les nouveaux clients recevront
# un message du genre: "erreur: serveur occupé").
# On défini le nombre maximum de sessions par IP à  4
max_clients=200
max_per_ip=4

####################################
# Debian customization             #
# (ou adoptons la debian attitude) #
####################################
# Some of vsftpd's settings don't fit the Debian filesystem layout by
# default.  These settings are more Debian-friendly.
#
# This option should be the name of a directory which is empty.  Also, the
# directory should not be writable by the ftp user. This directory is used
# as a secure chroot() jail at times vsftpd does not require filesystem
# access.
secure_chroot_dir=/var/run/vsftpd
#
# This string is the name of the PAM service vsftpd will use.
pam_service_name=vsftpd

# activation de la configuration par utilisateur
user_config_dir=/etc/vsftpd/vsftpd_user_conf

# fichier log
xferlog_enable=YES

# Options for SSL
# encrypted connections.

ssl_enable=YES
allow_anon_ssl=NO
force_local_data_ssl=NO
force_local_logins_ssl=YES

ssl_tlsv1=YES
ssl_sslv2=YES
ssl_sslv3=YES

rsa_cert_file=/etc/ssl/certs/vsftpd.pem

Le fichier de configuration de l'utilisateur :

## l'utilisateur est enfermé dans un dossier déterminé
local_root=/home/ftp/virtual/

## droit de lecture(download)
anon_world_readable_only=NO

## droit d'écriture(upload)
write_enable=NO
anon_upload_enable=NO

## créer des dossiers
anon_mkdir_write_enable=NO

## droit de renommer, supprimer...
anon_other_write_enable=NO

Et le journal de Filezilla :

Statut :	Connexion établie, attente du message d'accueil
Réponse :	220 Bienvenu sur mon serveur ftp.
Commande :	AUTH TLS
Réponse :	234 Proceed with negotiation.
Statut :	Initialisation TLS...
Commande :	USER touriste
Statut :	Vérification du certificat...
Statut :	Connexion TLS/SSL établie.
Réponse :	331 Please specify the password.
Commande :	PASS *********
Réponse :	230 Login successful.
Commande :	PBSZ 0
Réponse :	200 PBSZ set to 0.
Commande :	PROT P
Réponse :	200 PROT now Private.
Statut :	Connecté
Statut :	Lecture du contenu du répertoire...
Commande :	PWD
Réponse :	257 "/"
Commande :	TYPE I
Réponse :	200 Switching to Binary mode.
Commande :	PASV
Réponse :	227 Entering Passive Mode (192,168,1,192,213,227)
Commande :	LIST
Erreur :	Lecture du contenu du répertoire annulée par l'utilisateur.
Réponse :	425 Failed to establish connection.
Erreur :	Déconnecté du serveur.

Aucun problème avant sans openssl, et j'ai suivi les tutoriaux.
Je suis à  court d'idées là , donc si quelqu'un voit o๠se situe le problème dans ma config, merci d'avance smile

edit: ajout de la configuration de l'utilisateur.

Dernière modification par Halmy (Le 07/12/2007, à 22:43)

Hors ligne

#2 Le 07/12/2007, à 15:22

Uggy

Re : [résolu] soucis avec vsftpd et openssl

Les logs du serveur ?

Hors ligne

#3 Le 07/12/2007, à 15:27

Halmy

Re : [résolu] soucis avec vsftpd et openssl

Erf, j'ai oublié ça, désolé.

Fri Dec  7 14:25:10 2007 [pid 26500] CONNECT: Client "90.52.209.185"
Fri Dec  7 14:25:10 2007 [pid 26500] FTP response: Client "90.52.209.185", "220 Bienvenu sur mon serveur ftp."
Fri Dec  7 14:25:10 2007 [pid 26500] FTP command: Client "90.52.209.185", "AUTH TLS"
Fri Dec  7 14:25:10 2007 [pid 26500] FTP response: Client "90.52.209.185", "234 Proceed with negotiation."
Fri Dec  7 14:25:10 2007 [pid 26500] FTP command: Client "90.52.209.185", "USER touriste"
Fri Dec  7 14:25:10 2007 [pid 26500] [touriste] FTP response: Client "90.52.209.185", "331 Please specify the password."
Fri Dec  7 14:25:10 2007 [pid 26500] [touriste] FTP command: Client "90.52.209.185", "PASS <password>"
Fri Dec  7 14:25:10 2007 [pid 26499] [touriste] OK LOGIN: Client "90.52.209.185"
Fri Dec  7 14:25:10 2007 [pid 26501] [touriste] FTP response: Client "90.52.209.185", "230 Login successful."
Fri Dec  7 14:25:10 2007 [pid 26501] [touriste] FTP command: Client "90.52.209.185", "PBSZ 0"
Fri Dec  7 14:25:10 2007 [pid 26501] [touriste] FTP response: Client "90.52.209.185", "200 PBSZ set to 0."
Fri Dec  7 14:25:10 2007 [pid 26501] [touriste] FTP command: Client "90.52.209.185", "PROT P"
Fri Dec  7 14:25:10 2007 [pid 26501] [touriste] FTP response: Client "90.52.209.185", "200 PROT now Private."
Fri Dec  7 14:25:10 2007 [pid 26501] [touriste] FTP command: Client "90.52.209.185", "PWD"
Fri Dec  7 14:25:10 2007 [pid 26501] [touriste] FTP response: Client "90.52.209.185", "257 "/""
Fri Dec  7 14:25:10 2007 [pid 26501] [touriste] FTP command: Client "90.52.209.185", "TYPE I"
Fri Dec  7 14:25:10 2007 [pid 26501] [touriste] FTP response: Client "90.52.209.185", "200 Switching to Binary mode."
Fri Dec  7 14:25:10 2007 [pid 26501] [touriste] FTP command: Client "90.52.209.185", "PASV"
Fri Dec  7 14:25:10 2007 [pid 26501] [touriste] FTP response: Client "90.52.209.185", "227 Entering Passive Mode (192,168,1,192,157,206)"
Fri Dec  7 14:25:10 2007 [pid 26501] [touriste] FTP command: Client "90.52.209.185", "LIST"

Et après plus rien juste déconnecté pour cause de non activité.

Hors ligne

#4 Le 07/12/2007, à 17:38

Halmy

Re : [résolu] soucis avec vsftpd et openssl

Après quelques recherches ça pourrait venir d'un problème de configuration du firewall.
http://paradoxal.org/blog/post/2007/06/ … ian-vsftpd
http://www.linuxquestions.org/questions … em-262063/

J'ai bien le port 21 d'ouvert dans firestarter pourtant, et redirigé le port dans la livebox, le dns dynamique de no-ip.com également, et un script qui renseigne le champ "pasv_address=" de vsftpd.conf avec mon ip toutes les 15 minutes.

Si quelqu'un y voit plus clair avec ces informations.
Je suis un peu perdu roll

Hors ligne

#5 Le 07/12/2007, à 22:16

Uggy

Re : [résolu] soucis avec vsftpd et openssl

En passif le canal DATA est monté
depuis un port > 1024   vers le port que le serveur a choisi dans le canal CONTROL. (tu peux fixer un tranche dans la conf vsftpd)

Donc oui vérifie ton FW.

Hors ligne

#6 Le 07/12/2007, à 22:42

Halmy

Re : [résolu] soucis avec vsftpd et openssl

Merci beaucoup !
Ca fonctionne nickel.

j'ai ajouté dans mon vsftpd.conf les lignes suivantes :

pasv_min_port=15000
pasv_max_port=15000

Et une fois le port redirigé dans le routeur, ça roule !

Fri Dec  7 21:40:58 2007 [pid 30614] CONNECT: Client "90.52.209.185"
Fri Dec  7 21:40:58 2007 [pid 30614] FTP response: Client "90.52.209.185", "220 Bienvenu sur mon serveur ftp."
Fri Dec  7 21:40:58 2007 [pid 30614] FTP command: Client "90.52.209.185", "AUTH TLS"
Fri Dec  7 21:40:58 2007 [pid 30614] FTP response: Client "90.52.209.185", "234 Proceed with negotiation."
Fri Dec  7 21:40:58 2007 [pid 30614] FTP command: Client "90.52.209.185", "USER touriste"
Fri Dec  7 21:40:58 2007 [pid 30614] [touriste] FTP response: Client "90.52.209.185", "331 Please specify the password."
Fri Dec  7 21:40:58 2007 [pid 30614] [touriste] FTP command: Client "90.52.209.185", "PASS <password>"
Fri Dec  7 21:40:58 2007 [pid 30613] [touriste] OK LOGIN: Client "90.52.209.185"
Fri Dec  7 21:40:58 2007 [pid 30615] [touriste] FTP response: Client "90.52.209.185", "230 Login successful."
Fri Dec  7 21:40:58 2007 [pid 30615] [touriste] FTP command: Client "90.52.209.185", "PBSZ 0"
Fri Dec  7 21:40:58 2007 [pid 30615] [touriste] FTP response: Client "90.52.209.185", "200 PBSZ set to 0."
Fri Dec  7 21:40:58 2007 [pid 30615] [touriste] FTP command: Client "90.52.209.185", "PROT P"
Fri Dec  7 21:40:58 2007 [pid 30615] [touriste] FTP response: Client "90.52.209.185", "200 PROT now Private."

Merci Uggy smile

Dernière modification par Halmy (Le 07/12/2007, à 22:43)

Hors ligne

#7 Le 08/12/2007, à 01:04

Uggy

Re : [résolu] soucis avec vsftpd et openssl

ok ca roule
Attention en choisissant une tranche d'un seul port.. je pense que tu pourras n'avoir qu'une connexion simultanée...

Hors ligne

Pages : 1