VSFTP über TLS - keine Verbindung möglich

  • Hey Leute, ich hatte das schon mal gefragt und tolle Hilfe bekommen. Aber irgendwie habe ich jetzt ein Wurm drinnen. Ggf. hat sich was geändert?


    Ich habe mir ein kleines Bash Script geschrieben, welches mir einen VSFTPd installiert.


    Ausgangssituation:
    Ich habe einen Webserver (nginx) mit dem Webroot "/etc/nginx/html"
    Da wurschtelt also der nginx rum.


    Ich will einen FTP Account (nur für mich) mit dem ich ebenso auf dem Server Arbeiten kann. Lesen, Schreiben Löschen. Der soll über tls laufen. Wenigstens etwas ^^


    Nun habe ich mir damals den vsftpd eingerichtet aber dann ist einiges dazwischen gekommen und irgendwann hatte ich es aus den Augen verloren.
    Nun ein neuer und letztmaliger "Versuch"


    Ich habe mir ein Bash Script gebastelt, welches mir die Arbeit abnimmt. Leider aber bekomme ich keine Verbindung zum Server.


    Das starten und stoppen ist kein Problem:

    Code
    root@mail:~# service vsftpd start
    root@mail:~# service vsftpd stop
    root@mail:~# service vsftpd start
    root@mail:~# service vsftpd stop
    root@mail:~# service vsftpd start


    Ein reload klappt leider nicht:

    Code
    root@mail:~# service vsftpd reload
    Job for vsftpd.service failed. See 'systemctl status vsftpd.service' and 'journalctl -xn' for details.


    systemctl status vsftpd.service



    journalctl -xn



    Verbinden will ich per FileZilla, Protokoll SFTP
    Verbindungsart: Normal


    Ergebnis:
    Verbindungsversuch fehlgeschlagen mit "ECONNREFUSED - Verbindung durch Server verweigert".

    Der oben geschriebene Beitrag ist meine persönliche Meinung/Interpretation!
    Im übrigen verweise ich auf §675 Abs. 2 BGB .

  • Hier meine Installation, vielleicht erkennt ja jemand den Fehler.


    Der oben geschriebene Beitrag ist meine persönliche Meinung/Interpretation!
    Im übrigen verweise ich auf §675 Abs. 2 BGB .

  • Sorry, passt nicht mehr in den oberen Beitrag:
    Habe im Script noch was vergessen:

    Code
    sed -i 's/$FTP_USERNAME:x:1001:5001:,,,:\/etc\/nginx\/html:\/bin\/bash/$FTP_USERNAME:x:1001:5001:,,,:\/etc\/nginx\/html:\/bin\/false/' /etc/passwd


    Damit er den Eintrag in der passwd setzt.


    Allerdings ist es immer das gleiche Ergebnis:/


    Port 21 ist auch freigegeben. Ich nutze Arno Iptabels:

    Code
    # Put in the following variables which ports or IP protocols you want to leave
    # open to the whole world.
    # ------------------------------------------------------------------------------
    OPEN_TCP="12000:12500, 21,..."
    OPEN_UDP=""
    OPEN_IP=""


    Habe mal meine offenen anderen Ports raus genommen. Keine Ahnung ob es Sinn macht aber sicher ist sicher :)

    Der oben geschriebene Beitrag ist meine persönliche Meinung/Interpretation!
    Im übrigen verweise ich auf §675 Abs. 2 BGB .


  • Verbinden will ich per FileZilla, Protokoll SFTP
    Verbindungsart: Normal


    Ergebnis:
    Verbindungsversuch fehlgeschlagen mit "ECONNREFUSED - Verbindung durch Server verweigert".

    SFTP oder FTPS?
    SFTP basiert auf SSH bzw. SCP
    FTPS ist FTP mit zusätzlicher Verschlüsselung

    Current Servers

    morpheus: Root-Server M SSD v6a2
    apoc: VPS 50 G7
    link: Storage-Server S 1000 G7

  • Ich meinte FTPs, habe mich Verschrieben.


    Danke für den Hinweis. Hat noch jemand eine Lösung oder einen Fehler im Script gefunden?


    Danke :)

    Der oben geschriebene Beitrag ist meine persönliche Meinung/Interpretation!
    Im übrigen verweise ich auf §675 Abs. 2 BGB .

  • Aus dem selben Grund, wieso man https verwendet.
    Ich möchte die Daten vom Server zu mir nach hause was ich mache verschlüsseln. Muss nicht aber schaden kann es prinzipiell auch nicht.


    SFTP mit chroot ist doch einfacher oder gibt es da etwas was ich übersehe?


    Falls ich aber z.B. einem dritten einen FTP Zugang bereitstellen muss oder möchte ist mir das lieber per FTP zu tun.


    Ich bin euch dankbar, für Tipps und Ratschläge. Aber leider hat sich keiner der Beiträge bisher auf meine Frage oder mein Problem bezogen was ich etwas schade finde.
    Ich kann den Fehler zumindest derzeit nicht finden.

    Der oben geschriebene Beitrag ist meine persönliche Meinung/Interpretation!
    Im übrigen verweise ich auf §675 Abs. 2 BGB .

  • Also du möchtest es lieber Kompliziert als einfach? Du musst doch nicht mehr machen als den Benutzer anlegen was du bei FTP so oder so machen musst und sein Ordner anlegen und verknüpfen fertig. Da hast du kein Zertifikat das dir Probleme machen kann oder Clients die FTP nicht auf die Kette bekommen. SFTP läuft einfach überall und mit chroot nicht schwer abzusichern. Wenn es ganz sichern sein soll machste sshkey noch drauf..




    Was mir in deiner Konfig spontan ins Auge springt ist, dass deine Cert als auch Key file vsftpd.pem ist, weiß nicht ob sich das so gehört. Normalerweise generierst du key und crt und fügst diese mit "cat x.crt x.key >> x.pem" dann zusammen aber in deinem fall will er ja cert un key file einzeln haben. Bist du dir auch ganz sicher FTPS im FileZilla eingestellt zu haben? Prüf das bitte!
    .

  • Danke für den Beitrag. die key und pem file ist in einer Datei, deswegen wird beides angegeben.


    sshkey habe ich ja. Der Server ist schon ziemlich sicher. Da kommt, wenn nicht gezielt angegriffen, keiner rein*. Selbst bei einem gezielten Angriff wird es schon schwer :)




    Nachtrag:
    * Damit sind 0815 Bots gemeint. Ja, ihr habt Recht: Nichts ist 100% Sicher und nichts ist Perfekt außer einer sache: -273,15 °C

    Der oben geschriebene Beitrag ist meine persönliche Meinung/Interpretation!
    Im übrigen verweise ich auf §675 Abs. 2 BGB .

    Einmal editiert, zuletzt von Real-DD-2 ()

  • Ach, verdammt. Ja.

    Code
    listen_ipv6=YES


    Das bringt mich weiter.



    Danke für den Hinweis!


    Verbindung ist FTP
    Explizites FTP über TLS anfordern


    Übertragungsmodus: Standard / Aktiv / Passiv

    Der oben geschriebene Beitrag ist meine persönliche Meinung/Interpretation!
    Im übrigen verweise ich auf §675 Abs. 2 BGB .

    Einmal editiert, zuletzt von Real-DD-2 ()

  • Hallo,


    ja, das habe ich auch schon gelesen und verinnerlicht. Nun kommt der letzte Schritt:




    Ich hab keine Ahnung wo da der Fehler liegen kann. Dienst läuft, ports sind offen Verzeichnis steht

    Der oben geschriebene Beitrag ist meine persönliche Meinung/Interpretation!
    Im übrigen verweise ich auf §675 Abs. 2 BGB .

  • Ach mensch, danke.


    Ich hab in der Config den Port ja gar nicht zugewiesen:

    Code
    pasv_min_port=12000
    pasv_max_port=12500


    Jetzt klappt es! Vielen vielen Dank!

    Der oben geschriebene Beitrag ist meine persönliche Meinung/Interpretation!
    Im übrigen verweise ich auf §675 Abs. 2 BGB .

  • Moin
    Du musst bei FTP und TLS entweder active-FTP (Konfiguration auf deinem Client erforderlich) oder einen festen IP-Bereich für passive-FTP auf deinem Server einrichten und in der Firewall freigeben.


    Mordor

  • Ich kann den Einen Beitrag leider nicht bearbeiten. Daher hier nochmal das fertige Script.

    Der oben geschriebene Beitrag ist meine persönliche Meinung/Interpretation!
    Im übrigen verweise ich auf §675 Abs. 2 BGB .

  • Verbesserungsvorschläge nehme ich gerne an! Danke euch allen vielmals.
    Das hat leider in den oberen Beitrag nicht mehr hin gepasst :/

    Der oben geschriebene Beitrag ist meine persönliche Meinung/Interpretation!
    Im übrigen verweise ich auf §675 Abs. 2 BGB .