ProFTP SSL/TLS FTPS

Schulz · 26. Februar 2010

Hallo zusammen,

will meinen vServer noch einige Dienste (FTP und SMTP) mit TLS/SSL absichern. (netcup Debian+SysCP Image)

Wollte als erstes den Proftp Server mit FTPS absichern.

proftpd.conf

Code

Include /etc/proftpd/modules.conf
UseIPv6	on
IdentLookups	off
ServerName	"XXX.yourvserver.net FTP Server"
ServerType	standalone
DeferWelcome	off
MultilineRFC2228	on
DefaultServer	on
ShowSymlinks	on
TimeoutNoTransfer	600
TimeoutStalled	600
TimeoutIdle	1200
DisplayLogin welcome.msg
DisplayChdir .message true
ListOptions                	"-l"
DenyFilter			\*.*/
Port	21
MaxInstances	30
User	proftpd
Group	nogroup
Umask	022  022
AllowOverwrite	on
TransferLog /var/log/proftpd/xferlog
SystemLog   /var/log/proftpd/proftpd.log
<IfModule mod_quotatab.c>
QuotaEngine off
</IfModule>
<IfModule mod_ratio.c>
Ratios off
</IfModule>
<IfModule mod_delay.c>
DelayEngine off
</IfModule>
<IfModule mod_ctrls.c>
ControlsEngine        off
ControlsMaxClients    2
ControlsLog           /var/log/proftpd/controls.log
ControlsInterval      5
ControlsSocket        /var/run/proftpd/proftpd.sock
</IfModule>
<IfModule mod_ctrls_admin.c>
AdminControlsEngine off
</IfModule>
Include /etc/proftpd/sql.conf
#
# This is used for FTPS connections
# die folgende Zeile habe ich noch eingefügt !
# der rest ist von der standart Vorlage
Include /etc/proftpd/tls.conf

Alles anzeigen

tls.conf

Code

#
# Proftpd sample configuration for FTPS connections.
#
# Note that FTPS impose some limitations in NAT traversing.
# See http://www.castaglia.org/proftpd/doc/contrib/ProFTPD-mini-HOWTO-TLS.html
# for more information.
#




<IfModule mod_tls.c>
TLSEngine                               on
TLSLog                                  /var/log/proftpd/tls.log
TLSProtocol                             SSLv23
#
# Server SSL certificate. You can generate a self-signed certificate using 
# a command like:
#
# openssl req -x509 -newkey rsa:1024 \
#          -keyout /etc/ssl/private/proftpd.key -out /etc/ssl/certs/proftpd.crt \
#          -nodes -days 365
#
# The proftpd.key file must be readable by root only. The other file can be
# readable by anyone.
#
# chmod 0600 /etc/ssl/private/proftpd.key 
# chmod 0640 /etc/ssl/private/proftpd.key
# 
#TLSRSACertificateFile                   /etc/ssl/certs/proftpd.crt
#TLSRSACertificateKeyFile                /etc/ssl/private/proftpd.key
#TLSRSACertificateFile /etc/apache2/apache.crt
#TLSRSACertificateKeyFile /etc/apache2/apache.key
#
# CA the server trusts
#TLSCACertificateFile 			 /etc/ssl/certs/CA.pem
TLSCACertificateFile 			 /etc/apache2/ssl/apachessl.pem
# or avoid CA cert
TLSOptions                              NoCertRequest
#
# Authenticate clients that want to use FTP over TLS?
#
TLSVerifyClient                         off
#
# Are clients required to use FTP over TLS when talking to this server?
#
TLSRequired                             on
#
# Allow SSL/TLS renegotiations when the client requests them, but
# do not force the renegotations.  Some clients do not support
# SSL/TLS renegotiations; when mod_tls forces a renegotiation, these
# clients will close the data connection, or there will be a timeout
# on an idle data connection.
#
#TLSRenegotiate                          required off
</IfModule>

Alles anzeigen

tsl.log

Code

Feb 26 19:36:34 mod_tls/2.1.2[8185]: SSL/TLS required but absent on control channel, denying  command
Feb 26 19:37:00 mod_tls/2.1.2[10376]: SSL/TLS required but absent on control channel, denying  command
Feb 26 19:37:12 mod_tls/2.1.2[10999]: TLS/TLS-C requested, starting TLS handshake
Feb 26 19:37:12 mod_tls/2.1.2[10999]: unable to accept TLS connection: 
  (1) error:1408A0C1:SSL routines:SSL3_GET_CLIENT_HELLO:no shared cipher
Feb 26 19:37:12 mod_tls/2.1.2[10999]: TLS/TLS-C negotiation failed on control channel
Feb 26 19:37:17 mod_tls/2.1.2[11275]: TLS/TLS-C requested, starting TLS handshake
Feb 26 19:37:17 mod_tls/2.1.2[11275]: unable to accept TLS connection: 
  (1) error:1408A0C1:SSL routines:SSL3_GET_CLIENT_HELLO:no shared cipher
Feb 26 19:37:17 mod_tls/2.1.2[11275]: TLS/TLS-C negotiation failed on control channel
Feb 26 19:38:08 mod_tls/2.1.2[18481]: SSL/TLS required but absent on control channel, denying  command
Feb 26 19:38:34 mod_tls/2.1.2[20268]: SSL/TLS required but absent on control channel, denying  command
Feb 26 19:41:08 mod_tls/2.1.2[624]: TLS/TLS-C requested, starting TLS handshake
Feb 26 19:41:08 mod_tls/2.1.2[624]: unable to accept TLS connection: 
  (1) error:1408A0C1:SSL routines:SSL3_GET_CLIENT_HELLO:no shared cipher
Feb 26 19:41:08 mod_tls/2.1.2[624]: TLS/TLS-C negotiation failed on control channel
Feb 26 19:42:34 mod_tls/2.1.2[7878]: TLS/TLS-C requested, starting TLS handshake
Feb 26 19:42:34 mod_tls/2.1.2[7878]: unable to accept TLS connection: 
  (1) error:1408A0C1:SSL routines:SSL3_GET_CLIENT_HELLO:no shared cipher
Feb 26 19:42:34 mod_tls/2.1.2[7878]: TLS/TLS-C negotiation failed on control channel
Feb 26 19:42:39 mod_tls/2.1.2[8173]: TLS/TLS-C requested, starting TLS handshake
Feb 26 19:42:39 mod_tls/2.1.2[8173]: unable to accept TLS connection: 
  (1) error:1408A0C1:SSL routines:SSL3_GET_CLIENT_HELLO:no shared cipher
Feb 26 19:42:39 mod_tls/2.1.2[8173]: TLS/TLS-C negotiation failed on control channel

Alles anzeigen

Kann sein das ich noch das modul: mod_tls installieren muß ?
Wie installier ich das an einfachsten.

wenn ich proftpd -l eingebe kommt:

Code

Compiled-in modules:
  mod_core.c
  mod_xfer.c
  mod_auth_unix.c
  mod_auth_file.c
  mod_auth.c
  mod_ls.c
  mod_log.c
  mod_site.c
  mod_delay.c
  mod_dso.c
  mod_auth_pam.c
  mod_readme.c
  mod_cap.c
  mod_ctrls.c
  mod_lang.c

Alles anzeigen

Als Zertifikat habe ich das von Apache genommen. Habe den verdacht das das nicht geht. Welches kann ich denn zum testen nehmen ?

Danke schon mal im voraus.

Ach im Apache2 access.log ist mir auch schon was aufgefallen.

Code

203.200.180.74 - - [25/Feb/2010:15:06:09 +0000] "GET /w00tw00t.at.ISC.SANS.DFind:) HTTP/1.1" 400 390 "-" "-"
74.86.23.51 - - [26/Feb/2010:08:56:43 +0000] "GET /w00tw00t.at.ISC.SANS.test0:) HTTP/1.1" 400 390 "-" "-"
67.43.5.33 - - [26/Feb/2010:09:10:27 +0000] "GET /w00tw00t.at.ISC.SANS.DFind:) HTTP/1.1" 400 390 "-" "-"
203.200.180.74 - - [26/Feb/2010:16:21:02 +0000] "GET /w00tw00t.at.ISC.SANS.DFind:) HTTP/1.1" 400 390 "-" "-"
203.200.180.74 - - [26/Feb/2010:19:39:32 +0000] "GET /w00tw00t.at.ISC.SANS.DFind:) HTTP/1.1" 400 390 "-" "-"
203.200.180.74 - - [26/Feb/2010:20:01:30 +0000] "GET /w00tw00t.at.ISC.SANS.DFind:) HTTP/1.1" 400 390 "-" "-"
203.200.180.74 - - [26/Feb/2010:20:23:36 +0000] "GET /w00tw00t.at.ISC.SANS.DFind:) HTTP/1.1" 400 390 "-" "-"

Nicht das mein Server schon gehackt wir, bin erst gerade am einrichten.

Gruß

theDude · 27. Februar 2010

Zum tls.log: Es ließt sich für mich so, als würden sich Server und Client nicht auf eine gemeinsame Cipher-Suite einigen können. Aber das ist mehr interpretiert als gewusst.

Brauchst du dein FTP-Server nur für dich? Vielleicht wäre es dann einfacher Dateitransfers über SFTP (SSH File Transfer Protocol) oder SCP durchzuführen? Dazu brauchst du nur einen (ohnehin schon installierten) SSH-Server und einen passenden Client wie sftp, Cyberduck, WinSCP,...

Schulz · 27. Februar 2010

Hallo,

sollte schon SSL/TLS sein da sonst noch einige darauf zugreifen sollen. Und SSH will nur ich nutzen und wird nur bei gebrauch geöffnet.

Ein SSL Zertifikate kann ich ja mit OpenSSL erstellen, weil bis jetzt benutze ich zum Test das Standartzertifikat, das beim Image dabei war.
Daran kann ja der Fehler nicht liegen ?

Gruß Achim

Servior · 27. Februar 2010

Zitat von Schulz;14430

#TLSRSACertificateFile /etc/ssl/certs/proftpd.crt
#TLSRSACertificateKeyFile /etc/ssl/private/proftpd.key
#TLSRSACertificateFile /etc/apache2/apache.crt
#TLSRSACertificateKeyFile /etc/apache2/apache.key

Wieso hast du die Zertifikate auskommentiert?

theDude · 27. Februar 2010

Die Auskommentierten Dateien würde mich nicht weiter stören. So wie ich das verstehe werden, so wie die config dort steht, Standardpfade verwendet werden.

Ich gehe davon aus, dass du die Pfade geprüft hast.

Kannst du uns sagen mit welchem Client du dich verbinden willst? Kannst du ggf. irgendwie das Log-Level erhöhen? Oder vielleicht auch eine detaillierte Log-Ausgabe des Clients posten?

Wenn alle Stricke reichen wäre ein Login für (einen von) uns nicht schlecht, dann können wir selber mal testen.

Schulz · 28. Februar 2010

Zitat von Servior;14462

Wieso hast du die Zertifikate auskommentiert?

Die Pfade hab ich auskommentiert weil da keine Zertifikate vorhanden sind.
Habe nur folgende Zeile eingefügt:

TLSCACertificateFile /etc/apache2/ssl/apachessl.pem

(dieses Zertifikat war vorhanden, ist allerdings vom apache)

Hier noch ein Log von FTP Client FileZilla:

Code

2010-02-28 01:39:23 4664 2 Status: Warnung: Der gewählte Port wird üblicherweise von einem anderen Protokoll verwendet.
2010-02-28 01:39:23 4664 2 Status: Verbinde mit IP:443...
2010-02-28 01:39:23 4664 2 Status: Verbindung hergestellt, initialisiere TLS...
2010-02-28 01:39:23 4664 2 Status: Überprüfe Zertifikat...
2010-02-28 01:39:34 4664 2 Status: TLS/SSL-Verbindung hergestellt, warte auf Willkommensnachricht...
2010-02-28 01:39:55 4664 2 Fehler: Zeitüberschreitung der Verbindung
2010-02-28 01:39:55 4664 2 Fehler: Herstellen der Verbindung zum Server fehlgeschlagen
2010-02-28 01:39:55 4664 2 Status: Nächsten Versuch abwarten...
2010-02-28 01:40:00 4664 2 Status: Verbinde mit IP:443...
2010-02-28 01:40:00 4664 2 Status: Verbindung hergestellt, initialisiere TLS...
2010-02-28 01:40:00 4664 2 Status: Überprüfe Zertifikat...
2010-02-28 01:40:00 4664 2 Status: TLS/SSL-Verbindung hergestellt, warte auf Willkommensnachricht...
2010-02-28 01:40:21 4664 2 Fehler: Zeitüberschreitung der Verbindung
2010-02-28 01:40:21 4664 2 Fehler: Herstellen der Verbindung zum Server fehlgeschlagen
2010-02-28 01:41:33 4664 2 Status: Verbinde mit IP:990...
2010-02-28 01:41:38 4664 2 Fehler: Verbindungsversuch vom Benutzer unterbrochen
2010-02-28 01:41:44 4664 2 Status: Verbinde mit IP:21...
2010-02-28 01:41:44 4664 2 Status: Verbindung hergestellt, warte auf Willkommensnachricht...
2010-02-28 01:41:44 4664 2 Antwort: 220 ProFTPD 1.3.1 Server (XXX.yourvserver.net FTP Server) [IP]
2010-02-28 01:41:44 4664 2 Befehl: AUTH TLS
2010-02-28 01:41:45 4664 2 Antwort: 234 AUTH TLS successful
2010-02-28 01:41:45 4664 2 Status: Initialisiere TLS...
2010-02-28 01:41:45 4664 2 Fehler: GnuTLS error -12: A TLS fatal alert has been received.
2010-02-28 01:41:45 4664 2 Fehler: Herstellen der Verbindung zum Server fehlgeschlagen
2010-02-28 01:41:45 4664 2 Status: Nächsten Versuch abwarten...
2010-02-28 01:41:50 4664 2 Status: Verbinde mit IP:21...
2010-02-28 01:41:50 4664 2 Status: Verbindung hergestellt, warte auf Willkommensnachricht...
2010-02-28 01:41:50 4664 2 Antwort: 220 ProFTPD 1.3.1 Server (XXX.yourvserver.net FTP Server) [IP]
2010-02-28 01:41:50 4664 2 Befehl: AUTH TLS
2010-02-28 01:41:50 4664 2 Antwort: 234 AUTH TLS successful
2010-02-28 01:41:50 4664 2 Status: Initialisiere TLS...
2010-02-28 01:41:50 4664 2 Fehler: GnuTLS error -12: A TLS fatal alert has been received.
2010-02-28 01:41:50 4664 2 Fehler: Herstellen der Verbindung zum Server fehlgeschlagen

Alles anzeigen

Hab so ein Gefühl das das Zertifikat nicht stimmt ?

Über welchen Port läuft den Implicit SSL / FTPS ?
FileZilla will sich mit dem Port 990 verbinden !

theDude · 28. Februar 2010

Ohne Server-Zertifikat und dazugehörigen Schlüssel kannst du auch keine Verbindung zum Server herstellen. TLS/SSL benötigt *unbedingt* ein Zertifikat um sinnvoll zu funktionieren.

Meine FileZilla Log-Interpretation:
-> Port 443(HTTPS!)
timeout
-> Port 443(HTTPS!)
timeout
->Port 900
abbruch durch Benutzer
->Port 21
TLS-Fehler
->Port 21
TLS-Fehler

KB19 · 28. Februar 2010

Also mir hat dieses Tutorial damals weiter geholfen: http://www.howtoforge.de/howto…ftpd-tls-auf-debian-etch/

MfG Christian

Schulz · 1. März 2010

Sodele hab mir wieder mal etwas Zeit genommen um zu testen.

Also eine Verbindung bekommen ich und das Zertifikat wird angezeigt.
Nur will mir FileZilla mein Verzeichnis nicht anzeigen bzw. bleibt da hängen.
Dann kommt noch dein Fehler:

tls.log

Code

MÃ¤r 01 00:03:52 mod_tls/2.1.2[7324]: using default OpenSSL verification locations (see $SSL_CERT_DIR environment variable)
MÃ¤r 01 00:03:52 mod_tls/2.1.2[7324]: TLS/TLS-C requested, starting TLS handshake
MÃ¤r 01 00:03:53 mod_tls/2.1.2[7324]: TLSv1/SSLv3 connection accepted, using cipher DHE-RSA-AES128-SHA (128 bits)
MÃ¤r 01 00:03:56 mod_tls/2.1.2[7324]: Protection set to Private

filezilla.log

Code

2010-03-01 01:05:06 212 2 Status: Verbinde mit meine_IP:21...
2010-03-01 01:05:07 212 2 Status: Verbindung hergestellt, warte auf Willkommensnachricht...
2010-03-01 01:05:07 212 2 Antwort: 220 FTP Server ready.
2010-03-01 01:05:07 212 2 Befehl: AUTH TLS
2010-03-01 01:05:07 212 2 Antwort: 234 AUTH TLS successful
2010-03-01 01:05:07 212 2 Status: Initialisiere TLS...
2010-03-01 01:05:07 212 2 Status: Überprüfe Zertifikat...
2010-03-01 01:05:09 212 2 Befehl: USER meine_BENUTZER
2010-03-01 01:05:09 212 2 Status: TLS/SSL-Verbindung hergestellt.
2010-03-01 01:05:10 212 2 Antwort: 331 Password required for meine_BENUTZER
2010-03-01 01:05:10 212 2 Befehl: PASS ***************
2010-03-01 01:05:10 212 2 Antwort: 230 User meine_BENUTZER logged in
2010-03-01 01:05:10 212 2 Befehl: SYST
2010-03-01 01:05:10 212 2 Antwort: 215 UNIX Type: L8
2010-03-01 01:05:10 212 2 Befehl: FEAT
2010-03-01 01:05:10 212 2 Antwort: 211-Features:
2010-03-01 01:05:10 212 2 Antwort:  LANG en
2010-03-01 01:05:10 212 2 Antwort:  MDTM
2010-03-01 01:05:10 212 2 Antwort:  UTF8
2010-03-01 01:05:10 212 2 Antwort:  AUTH TLS
2010-03-01 01:05:10 212 2 Antwort:  PBSZ
2010-03-01 01:05:10 212 2 Antwort:  PROT
2010-03-01 01:05:10 212 2 Antwort:  REST STREAM
2010-03-01 01:05:10 212 2 Antwort:  SIZE
2010-03-01 01:05:10 212 2 Antwort: 211 End
2010-03-01 01:05:10 212 2 Befehl: OPTS UTF8 ON
2010-03-01 01:05:10 212 2 Antwort: 200 UTF8 set to on
2010-03-01 01:05:10 212 2 Befehl: PBSZ 0
2010-03-01 01:05:10 212 2 Antwort: 200 PBSZ 0 successful
2010-03-01 01:05:10 212 2 Befehl: PROT P
2010-03-01 01:05:10 212 2 Antwort: 200 Protection set to Private
2010-03-01 01:05:10 212 2 Status: Verbunden
2010-03-01 01:05:10 212 2 Status: Empfange Verzeichnisinhalt...
2010-03-01 01:05:10 212 2 Befehl: PWD
2010-03-01 01:05:11 212 2 Antwort: 257 "/" is the current directory
2010-03-01 01:05:11 212 2 Befehl: TYPE I
2010-03-01 01:05:11 212 2 Antwort: 200 Type set to I
2010-03-01 01:05:11 212 2 Befehl: PASV
2010-03-01 01:05:11 212 2 Antwort: 227 Entering Passive Mode (XXX,XXX,XXX,XXX,174,162).
2010-03-01 01:05:11 212 2 Befehl: LIST
2010-03-01 01:05:32 212 2 Fehler: GnuTLS error -53: Error in the push function.
2010-03-01 01:06:12 212 2 Fehler: Anzeigen des Verzeichnisinhalts durch Benutzer abgebrochen

Alles anzeigen

Schulz · 1. März 2010

Wenn ich nun die OpenVCP Firewall deaktiviere funktioniert die Verbindung mit
"FTPES - FTP über explizites TLS/SSL" tadellos. Allerdings benutzt das Teil immer andere Ports.

Wenn ich nun mit FileZilla "FTPS - FTP über implizites TLS/SSL" eine Verbindung aufbauen will geht das nicht. So wie es aussieht will FileZilla mit dem Port 990.. verbinden.

Code

2010-03-01 01:49:46 212 2 Status: Verbindung zum Server getrennt
2010-03-01 01:54:46 212 2 Status: Verbinde mit meine_IP:990...
2010-03-01 01:54:50 212 2 Fehler: Verbindungsversuch durch Benutzer unterbrochen

Kann man die Ports wo festlegen ?

Sodele hat jemand eine Idee.

Servior · 1. März 2010

Du kannst die Ports sowohl auf dem Server, als auch im Client einschränken (sollte zumindest möglich sein).

Allerdings musst du dann alle Ports in der Firewall einzeln freigeben. Schränkst du die Ports aber zu sehr ein hast du ggf. das Problem dass deine Verbindung abbricht.

Ich würde allerdings die Ports nicht einschränken, sondern die Standardkonfiguration belassen. In der Firewall dann die Ports sperren auf die kein Zugriff erfolgen soll.

Schulz · 1. März 2010

Ich würde gerne FTPS - FTP über implizites TLS/SSL nutzen.

Wo kann ich festlegen ob ich "FTPES - FTP über explizites TLS/SSL" oder
"FTPS - FTP über implizites TLS/SSL" nutzen will ?

Habe folgende Standartports für FTPS im Internet gefunden:

Code

989+990	FTPS	File Transfer Protocol over TLS/SSL




ftps-data	989/tcp    ftp protocol, data, over TLS/SSL
ftps-data	989/udp    ftp protocol, data, over TLS/SSL
ftps		990/tcp    ftp protocol, control, over TLS/SSL
ftps		990/udp    ftp protocol, control, over TLS/SSL

So komme vor heute Nacht nicht mehr zum testen, aber vielleicht kommen noch ein paar Tips.

Schulz · 2. März 2010

Dachte eigentlich man sollte grundsätzlich alle Ports,die nicht gebraucht werden, in der Firewall schließen.

Wenn ich jetzt grundsätzlich alle wieder aufmache habe ich ja ein gewisses Risiko. (Beim verbieten der einzelnen Ports kann man ja leicht was übersehen)

Kann man in OpenVCP keine Port bereiche einstallen ?
also wie z.B. iptables -A INPUT --dport 1024:65535 -j ACCEPT

Danke mal im vorraus.

Servior · 2. März 2010

Port Bereiche sind nicht möglich, man muss jeden Port einzeln eintragen.

Schulz · 2. März 2010

OK, wenn ich nun die Firewall grundsätzlich öffnen würde.

Über netstat -nl bekomme ich ja die Aktive Internetverbindungen (Nur Server) heraus.

Muß ich dann nur die Ports sperren die da angezeigt werden, oder wie bekomme ich heraus welche Ports ich alle sperren muß.

Servior · 2. März 2010

Das hängt davon ab was du für Software drauf laufen hast, sowie welche überhaupt von draussen erreichbar sein soll.

Mysql welches nur von Software benutzt wird die eh aufm Server liegt, da kann man den Mysql Port (Standard 3306) sperren.

KB19 · 2. März 2010

Zitat von Servior;14583

Mysql welches nur von Software benutzt wird die eh aufm Server liegt, da kann man den Mysql Port (Standard 3306) sperren.

Oder gleich nur auf 127.0.0.1 lauschen lassen

MfG Christian

Schulz · 4. März 2010

Sodele Proftp läuft nun sauber.

Jetzt will ich noch den Postfix vom Debian Lenny SysCP Image mit SSL absichern. Da in der Standartkonfiguration die Passwörter im Klartxt übertragen werde.

Des weiteren möchte ich noch chrootkit, rkhunter und ClamAV noch installieren.

Dann müßte ich das meiste aus http://forum.netcup.de/showthread.php?t=775&highlight=vserver+absichern erledigt haben.

Gibts für die genannten Sachen noch eine HowTo für Debian ?

ProFTP SSL/TLS FTPS

Ähnliche Themen

FTP macht Weihnachtsurlaub