Ubuntu-fr

tidom21

[Résolu] ProFTPd et TLS

Bonjour à tous,

je viens trouver de l'aide car je m'arrache les cheveux et si ça se trouve pour pas grand chose ...

Voilà j'ai mis en place proFTPd, tout fonctionne très bien en mode classique (sans TLS), mais dès que j'active la couche TLS avec le bon paramétrage (j'ai suivi de multiple tutos qui montre tous la même chose), là plus rien, ça coince.
Dans les logs TLS je n'ai rien d'autre comme info que :

2019-04-11 15:45:07,499 mod_tls/2.6[16527]: unable to accept TLS connection: system call error: [2] No such file or directory
2019-04-11 15:45:07,499 mod_tls/2.6[16527]: panic: SSL_ERROR_SSL, line 4540: (1) error:140E0197:SSL routines:SSL_shutdown:shutdown while in init
2019-04-11 15:45:07,499 mod_tls/2.6[16527]: unexpected OpenSSL error, disconnecting

Est-ce que quelqu'un à une idée car je trouve absolument rien ...

Merci à vous

Dernière modification par tidom21 (Le 15/04/2019, à 17:25)

Iamawalrus

Re : [Résolu] ProFTPd et TLS

Salut,

T'as bien généré ton certificat et indiqué le bon chemin dans ton fichier de configuration sous :

TLSRSACertificateFile

?

---

"Tout le rêve de la démocratie est d'élever le prolétaire au niveau de bêtise du bourgeois."

krodelabestiole

Re : [Résolu] ProFTPd et TLS

modération : déplacement de Autres logiciels et problèmes généraux vers Serveurs

---

nouveau forum ubuntu-fr on en parle là : refonte du site / nouveau design
profil - sujets récurrents - sources du site

tidom21

Re : [Résolu] ProFTPd et TLS

Bonjour,

Désolé pour le retour tardif, oui le chemin est correctement indiqué, c'est pourquoi je ne comprend pas ce message.

Salut,

T'as bien généré ton certificat et indiqué le bon chemin dans ton fichier de configuration sous :

TLSRSACertificateFile

?

Iamawalrus

Re : [Résolu] ProFTPd et TLS

Que dit :

systemctl status proftpd.service

Juste les 3 lignes que t'as postées en #1 ?

---

"Tout le rêve de la démocratie est d'élever le prolétaire au niveau de bêtise du bourgeois."

tidom21

Re : [Résolu] ProFTPd et TLS

voici ce que dit le status :

proftpd.service - LSB: Starts ProFTPD daemon
   Loaded: loaded (/etc/init.d/proftpd; generated; vendor preset: enabled)
   Active: active (running) since Sun 2019-04-14 06:25:47 CEST; 1 day

J'ai modifé la confi TLS comme ceci :

<IfModule mod_tls.c>
		TLSEngine                       on
		TLSLog                          /var/log/proftpd/tls.log
		TLSRSACertificateFile           /etc/ssl/certs/proftpd.crt
		TLSRSACertificateKeyFile        /etc/ssl/private/proftpd.key
		TLSVerifyClient                 off
	</IfModule>

et j'ai maintenant cette erreur dans les log TLS :

2019-04-15 08:45:14,539 mod_tls/2.6[28339]: TLS/TLS-C requested, starting TLS handshake
2019-04-15 08:45:14,561 mod_tls/2.6[28339]: unable to accept TLS connection: system call error: [104] Connection reset by peer
2019-04-15 08:45:14,561 mod_tls/2.6[28339]: panic: SSL_ERROR_SSL, line 4540: 
  (1) error:140E0197:SSL routines:SSL_shutdown:shutdown while in init
2019-04-15 08:45:14,561 mod_tls/2.6[28339]: unexpected OpenSSL error, disconnecting

Et si j'active les options comme ceci :

<IfModule mod_tls.c>
		TLSEngine                       on
		TLSLog                          /var/log/proftpd/tls.log
		TLSRSACertificateFile           /etc/ssl/certs/proftpd.crt
		TLSRSACertificateKeyFile        /etc/ssl/private/proftpd.key
		TLSOptions                      NoCertRequest EnableDiags AllowClientRenegotiations
		TLSVerifyClient                 off
		RequireValidShell 				no
	</IfModule>

J'ai ces logs :

2019-04-15 08:49:29,484 mod_tls/2.6[31062]: TLSOption EnableDiags enabled, setting diagnostics callback
2019-04-15 08:49:29,649 mod_tls/2.6[31062]: TLS/TLS-C requested, starting TLS handshake
2019-04-15 08:49:29,649 mod_tls/2.6[31062]: [info] accepting: before/accept initialization
2019-04-15 08:49:29,650 mod_tls/2.6[31062]: [info] accepting: SSLv2/v3 read client hello A
2019-04-15 08:49:29,730 mod_tls/2.6[31062]: [info] accepting: SSLv2/v3 read client hello A
2019-04-15 08:49:29,730 mod_tls/2.6[31062]: unable to accept TLS connection: system call error: [2] No such file or directory
2019-04-15 08:49:29,730 mod_tls/2.6[31062]: panic: SSL_ERROR_SSL, line 4540: 
  (1) error:140E0197:SSL routines:SSL_shutdown:shutdown while in init
2019-04-15 08:49:29,731 mod_tls/2.6[31062]: unexpected OpenSSL error, disconnecting
2019-04-15 08:49:29,731 mod_tls/2.6[31062]: [stat]: SSL sessions attempted: 1
2019-04-15 08:49:29,731 mod_tls/2.6[31062]: [stat]: SSL sessions established: 0
2019-04-15 08:49:29,731 mod_tls/2.6[31062]: [stat]: SSL sessions renegotiated: 0
2019-04-15 08:49:29,731 mod_tls/2.6[31062]: [stat]: SSL sessions resumed: 0
2019-04-15 08:49:29,731 mod_tls/2.6[31062]: [stat]: SSL sessions in cache: 0
2019-04-15 08:49:29,731 mod_tls/2.6[31062]: [stat]: SSL session cache hits: 0
2019-04-15 08:49:29,731 mod_tls/2.6[31062]: [stat]: SSL session cache misses: 0
2019-04-15 08:49:29,731 mod_tls/2.6[31062]: [stat]: SSL session cache timeouts: 0
2019-04-15 08:49:29,731 mod_tls/2.6[31062]: [stat]: SSL session cache size exceeded: 0

Les 3 lignes que j'ai postées en #1 sont une partie des logs au moment d'une tentative de connexion avec Filezila.

Que dit :

systemctl status proftpd.service

Juste les 3 lignes que t'as postées en #1 ?

Dernière modification par tidom21 (Le 15/04/2019, à 07:51)

Iamawalrus

Re : [Résolu] ProFTPd et TLS

À priori tes problèmes viennent d'OpenSSL, tu installes ton ftp sur quoi, sur Ubuntu ?

---

"Tout le rêve de la démocratie est d'élever le prolétaire au niveau de bêtise du bourgeois."

bruno

Re : [Résolu] ProFTPd et TLS

Les problèmes ne viennent pas d'openssl mais d'un ou plusieurs fichiers qui ne sont pas trouvés (ou pas lisibles). Même erreur depuis le début :

unable to accept TLS connection: system call error: [2] No such file or directory

Expliques-nous comment tu as généré ton certificat et retour de

ls -l /etc/ssl/certs/proftpd.crt
ls -l /etc/ssl/private/proftpd.key

Au passage je ne comprends pas l’intérêt de s’embêter avec proftpd+TLS alors que openssh-server fournit nativement SFTP.

Dernière modification par bruno (Le 15/04/2019, à 10:19)

krodelabestiole

Re : [Résolu] ProFTPd et TLS

Au passage je ne comprends pas l’intérêt de s’embêter avec proftpd+TLS alors que openssh-server fournit nativement SFTP.

à ce sujet une discussion similaire là : https://forum.ubuntu-fr.org/viewtopic.p … #p22082564

---

nouveau forum ubuntu-fr on en parle là : refonte du site / nouveau design
profil - sujets récurrents - sources du site

Iamawalrus

Re : [Résolu] ProFTPd et TLS

Les problèmes ne viennent pas d'openssl mais d'un ou plusieurs fichiers qui ne sont pas trouvés (ou pas lisibles). Même erreur depuis le début :

unable to accept TLS connection: system call error: [2] No such file or directory

Oui mais :

T'as bien généré ton certificat et indiqué le bon chemin dans ton fichier de configuration

oui le chemin est correctement indiqué, c'est pourquoi je ne comprend pas ce message.

Puis :

(1) error:140E0197:SSL routines:SSL_shutdown:shutdown while in init

Avec une recherche sur la toile, ça mène vers des bugs liés à OpenSSL. Du coup si les certificats et les chemins sont ok, j'imaginais creuser par là-bas.

---

"Tout le rêve de la démocratie est d'élever le prolétaire au niveau de bêtise du bourgeois."

tidom21

Re : [Résolu] ProFTPd et TLS

Le FTP est installé sur une Debian Stretch.

À priori tes problèmes viennent d'OpenSSL, tu installes ton ftp sur quoi, sur Ubuntu ?

tidom21

Re : [Résolu] ProFTPd et TLS

Bonjour Bruno,

J'ai généré le certificat avec la commande :

openssl req -new -x509 -days 3650 -key /etc/ssl/private/proftpd.key -out /etc/ssl/certs/proftpd.crt

voici ce que donne les retours :

-rw-r--r-- 1 root root 1111 avril 11 15:35 /etc/ssl/certs/proftpd.crt
-rw------- 1 root root 916 avril 11 15:35 /etc/ssl/private/proftpd.key

J'utilise le FTPS car pour l'instant, le service avec lequel j'ai besoin d'un échange de fichiers n'a pas possibilité de migrer vers une solution SFTP.

La raison est purement mise à jour technique du client plus que volontaire.

Les problèmes ne viennent pas d'openssl mais d'un ou plusieurs fichiers qui ne sont pas trouvés (ou pas lisibles). Même erreur depuis le début :

unable to accept TLS connection: system call error: [2] No such file or directory

Expliques-nous comment tu as généré ton certificat et retour de

ls -l /etc/ssl/certs/proftpd.crt
ls -l /etc/ssl/private/proftpd.key

Au passage je ne comprends pas l’intérêt de s’embêter avec proftpd+TLS alors que openssh-server fournit nativement SFTP.

tidom21

Re : [Résolu] ProFTPd et TLS

Merci lamawalrus, je vais donc jeter un œil par là ... mais pas quel bout commencer

Les problèmes ne viennent pas d'openssl mais d'un ou plusieurs fichiers qui ne sont pas trouvés (ou pas lisibles). Même erreur depuis le début :

unable to accept TLS connection: system call error: [2] No such file or directory

Oui mais :

T'as bien généré ton certificat et indiqué le bon chemin dans ton fichier de configuration

oui le chemin est correctement indiqué, c'est pourquoi je ne comprend pas ce message.

Puis :

(1) error:140E0197:SSL routines:SSL_shutdown:shutdown while in init

Avec une recherche sur la toile, ça mène vers des bugs liés à OpenSSL. Du coup si les certificats et les chemins sont ok, j'imaginais creuser par là-bas.

bruno

Re : [Résolu] ProFTPd et TLS

Cela semble correct.
Autres pistes à vérifier :
- le paquet openssl est bien installé (a priori oui), le paquet proftpd-basic est bien installé (a priori oui aussi) ;
- le fichier /etc/proftpd.conf a bien une ligne dé-commentée pour charger le fichier tls.conf ;
- le fichier /usr/lib/proftpd/mod_tls.so existe et est en lecture pour tous ;
- il n'y a pas de pare-feu susceptible de bloquer les connexions (a priori si le FTP passe le FTPS explicite doit passer aussi).

Je vois un autre problème potentiel dans les logs :

2019-04-15 08:49:29,650 mod_tls/2.6[31062]: [info] accepting: SSLv2/v3 read client hello A
2019-04-15 08:49:29,730 mod_tls/2.6[31062]: [info] accepting: SSLv2/v3 read client hello A

J'ai l'impression que le client essaie d'utiliser les vieux protocoles SSL v2/v3 au lieu d'utiliser TLS. Ce qui, à mon avis, ne peut pas fonctionner avec proftpd (ou alors il faut une version très ancienne). Est-ce que tu as essayer de te connecter avec un client FTP « moderne » ?

tidom21

Re : [Résolu] ProFTPd et TLS

Les paquets sont bien installé et a jour.
Le tls.conf est bien chargé sinon je n'aurai pas cette erreur justement.
Coté pare-feu c'est ok aussi, j'ai déjà explorer et testé cette piste, car en effet en FTP classique ça passe.

J'ai testé à l'instant en retirant le SSLv2 et v3, j'ai les même ligne dans les logs ...
Qu'appelles-tu client "moderne" ?

Je continue a chercher du coté OpenSSL du coup ...

Cela semble correct.
Autres pistes à vérifier :
- le paquet openssl est bien installé (a priori oui), le paquet proftpd-basic est bien installé (a priori oui aussi) ;
- le fichier /etc/proftpd.conf a bien une ligne dé-commentée pour charger le fichier tls.conf ;
- le fichier /usr/lib/proftpd/mod_tls.so existe et est en lecture pour tous ;
- il n'y a pas de pare-feu susceptible de bloquer les connexions (a priori si le FTP passe le FTPS explicite doit passer aussi).

Je vois un autre problème potentiel dans les logs :

2019-04-15 08:49:29,650 mod_tls/2.6[31062]: [info] accepting: SSLv2/v3 read client hello A
2019-04-15 08:49:29,730 mod_tls/2.6[31062]: [info] accepting: SSLv2/v3 read client hello A

J'ai l'impression que le client essaie d'utiliser les vieux protocoles SSL v2/v3 au lieu d'utiliser TLS. Ce qui, à mon avis, ne peut pas fonctionner avec proftpd (ou alors il faut une version très ancienne). Est-ce que tu as essayer de te connecter avec un client FTP « moderne » ?

tidom21

Re : [Résolu] ProFTPd et TLS

Vous allez pas me croire ...

J'aurai du tester ça dès le début ... foutu Filezilla et son cache ...
Je viens de refaire le certificat et la configuration (comme à l'identique) et je viens de tester depuis un autre poste et miracle ... ça fonctionne ...

Mais toujours pas du premier poste où j'ai fais le test avec Filezilla, je pense qu'il a en mémoire le précédent certificat qui bloque, il ne renouvelle pas le  certificat en cache ...

Je crois que je risque pas d'oublier ça ...

bruno

Re : [Résolu] ProFTPd et TLS

Si je veux bien te croire, parce que c'est bien le genre de chose qui peut arriver à tout le monde
D'où l’intérêt de toujours tester en ligne de commande
Je t'invite à modifier ton premier message et à ajouter [Résolu] devant le titre.

tidom21

Re : [Résolu] ProFTPd et TLS

Je m'en occupe, par contre, complètement hors sujet, mais hormis supprimer le fichier trustedcerts.xml qui n'a pas l'air de fonctionner (Même une install complète), vous n'avez pas une idée pour vider cette sa!#?!.. de cache ?

Car sur le deuxième poste ça fonctionne mais toujours pas le premier ...

Si je veux bien te croire, parce que c'est bien le genre de chose qui peut arriver à tout le monde
D'où l’intérêt de toujours tester en ligne de commande
Je t'invite à modifier ton premier message et à ajouter [Résolu] devant le titre.

Iamawalrus

Re : [Résolu] ProFTPd et TLS

C'est barbare, mais peut-être tenter un apt remove --purge et réinstaller ?

Dernière modification par Iamawalrus (Le 15/04/2019, à 17:40)

---

"Tout le rêve de la démocratie est d'élever le prolétaire au niveau de bêtise du bourgeois."

tidom21

Re : [Résolu] ProFTPd et TLS

En fait mon poste 1 et 2 sont sous Windows, le serveur FTP sous Debian

C'est barbare, mais peut-être tenter un apt remove --purge et réinstaller ?

Iamawalrus

Re : [Résolu] ProFTPd et TLS

Ha mince y'a pas un équivalent sous Windows ?

À priori le dossier se trouve dans  %APPDATA% pas moyen de le déplacer/supprimer, pour voir ?

---

"Tout le rêve de la démocratie est d'élever le prolétaire au niveau de bêtise du bourgeois."