ProFTPD und TLS

  • Hallo,
    ich versuch mich mal, so nachdem ich den ProFTPD auf TLS (FTPS) umgestellt habe, war ich eigendlich recht zufrieden. Jetzt kamen einige User und berichteten das die verschlüsselte Verbindung wohl etwas zu langsam währe.


    Gut habe ich auch bemerkt, also den Haken wieder raus und ohweia, keine Verbindungen mehr möglich zum FTP Server! Seit ich den FTP Server einmal auf TLS mit verschlüsselung eingestellt habe, will er perdu keine normalen (nicht TLS) Verbindungen mehr haben!


    Ja er connectet, dann Berüßung, Server gefunden IP etc und nach Auth User vnXXX kommt nur noch ein Timeout, das wars!?!? Keinerlei Client Einstellungen helfen zum Connect (FileZilla und WinSCP) nichts geht mehr! Erst wenn ich in Liveconfig bei ProFTPD den TLS aktiv schalte kann man wieder Connecten!


    Was ist da los? Was hat Liveconfig evtl. noch verstellt was ich nicht mehr richten kann?


    Evtl. hat ja einer auch solche Erfahrung gemacht?


    Mng. thopoh

  • Wurde der ProFTPd-Server schon mal über LiveConfig "neu konfiguriert"?
    Was sagt das Proftpd-Log?


    Ja erst heute habe ich die Konfig neuschreiben lassen, sie lief jetzt Monate ohne Propleme, erst als ich anfing mir mehr über die Sicherheit Gedanken zu machen und den TLS aktivirte begannen die Probleme. Im Log keine Hinweise auf irgendwelche Fehler weder im Xfer noch im Proftp log, lediglich der normale Quatsch wie User vnXXX eingeloggt etc. aber keine Fehler.


    Wenn ich den Hacken wieder raus nehme ist kein Login mehr möglich, nur mit TLS, dabei spielt es auch keine Rolle ob mit oder ohne verschlüsselung eins tiefer angehakt ist. Mach ich den Hacken wieder rein bekomme ich ein Connect. U


    Und ja im Prinzip ist das ja auch gut so, aber das ich den ProFTPD Server via Liveconfig nun nicht mehr als Standart ohne dem ganzen einsetzen kann macht mich schon traurig, da ich nun auf die Geschwindigkeit verzichten muss. Und , nun ja, einige User mekkern halt weils nicht mehr wie gewohnt ist.


    Mng thopoh

  • Also jetzt gehts auch mit TLS nicht mehr, einfach so über Nacht! Gestern abend ging es noch und heute Morgen dann so:


    Status: Verbindung zum Server getrennt
    Status: Auflösen der IP-Adresse für domain.de
    Status: Verbinde mit 78.46.88.XXX:21...
    Status: Verbindung hergestellt, warte auf Willkommensnachricht...
    Status: Initialisiere TLS...
    Status: Überprüfe Zertifikat...
    Status: TLS-Verbindung hergestellt.
    Status: Angemeldet
    Status: Empfange Verzeichnisinhalt...
    Befehl: PWD
    Antwort: 257 "/" is the current directory
    Befehl: TYPE I
    Antwort: 200 Type set to I
    Befehl: PASV
    Antwort: 227 Entering Passive Mode (78,46,88,16,169,155).
    Befehl: LIST
    Antwort: 150 Opening BINARY mode data connection for file list
    Fehler: Zeitüberschreitung der Verbindung nach 10 Sekunden Inaktivität
    Fehler: Verzeichnisinhalt konnte nicht empfangen werden
    Status: Verbindung zum Server getrennt
    Status: Auflösen der IP-Adresse für domain.de
    Status: Verbinde mit 78.46.88.XXX:21...
    Status: Verbindung hergestellt, warte auf Willkommensnachricht...
    Status: Initialisiere TLS...
    Status: Überprüfe Zertifikat...
    Status: TLS-Verbindung hergestellt.
    Status: Angemeldet
    Status: Empfange Verzeichnisinhalt...
    Befehl: PWD
    Antwort: 257 "/" is the current directory
    Befehl: TYPE I
    Antwort: 200 Type set to I
    Befehl: PASV
    Antwort: 227 Entering Passive Mode (78,46,88,16,219,34).
    Befehl: LIST
    Antwort: 150 Opening BINARY mode data connection for file list
    Fehler: Zeitüberschreitung der Verbindung nach 10 Sekunden Inaktivität
    Fehler: Verzeichnisinhalt konnte nicht empfangen werden


    Das passiert wenn ich TLS wieder abschalte:


    Status: Verbindung zum Server getrennt
    Status: Auflösen der IP-Adresse für domain.de
    Status: Verbinde mit 78.46.88.XXX:21...
    Status: Verbindung hergestellt, warte auf Willkommensnachricht...
    Antwort: 220 ::ffff:78.46.88.XXX FTP server ready
    Befehl: USER vnXXXX
    Fehler: Zeitüberschreitung der Verbindung nach 10 Sekunden Inaktivität
    Fehler: Herstellen der Verbindung zum Server fehlgeschlagen
    Status: Nächsten Versuch abwarten...
    Status: Auflösen der IP-Adresse für domain.de
    Status: Verbinde mit 78.46.88.1XXX:21...
    Status: Verbindung hergestellt, warte auf Willkommensnachricht...
    Antwort: 220 ::ffff:78.46.88.XXX FTP server ready
    Befehl: USER vnXXXX
    Fehler: Zeitüberschreitung der Verbindung nach 10 Sekunden Inaktivität
    Fehler: Herstellen der Verbindung zum Server fehlgeschlagen


    Hat einer eine Idee? Mir kommt es vor als würden Teile in der ProFDPD.conf fehlen oder falsch sein! Die wurde seit dem letzten Update ja nicht neu geschrieben bis ich das vor ein paar Tage auf TLS umgestellt habe, seit dem habe ich jetzt nur noch sporadischen FTP Zugang!


    Der root Zugang läuft daneben unproblematisch wie immer :)


    Mng thopoh


  • So weit klappt ja alles. Das heißt, die FTP-Anmeldung funktioniert einwandfrei. Das Problem liegt woanders:


    "Passive mode" bedeutet, dass der FTP-Server darauf wartet dass Sie eine separate Datenverbindung dorthin aufbauen. Alle weiteren Details dazu finden Sie z.B. hier: http://www.proftpd.org/docs/howto/NAT.html
    So wie es aussieht, geht genau das schief. Ob das nun auf dem Zielserver nicht klappt (z.B. aufgrund von Firewall-Regeln!) oder vom lokalen Netzwerk aus (Virenscanner der die FTP-Verbindung "kapert" und untersucht) kann man von hier aus nicht sagen.


    Dass das "plötzlich" nicht mehr geht, kann ich mir nicht vorstellen - irgendetwas muss sich geändert haben. Am häufigsten sind es eigentlich Firewall-Einstellungen, die da was stören. Wenn es sich um einen vServer handelt, prüfen Sie, ob auf dem Host vielleicht gefiltert wird.



    Was wird denn in den "üblichen" Logdateien (/var/log/messages|syslog|auth.log, proftpd.log etc.) protokolliert, wenn so eine Anmeldung stattfindet?
    Vielleicht stört hier eine lokale Firewall die Verbindung wenn sie sieht, dass da eine unverschlüsselte FTP-Verbindung aufgebaut werden soll?


    Viele Grüße


    -Klaus Keppler

  • Also,nachdem ich den Server nach (210 Tagen) neu gestartet habe (was ich eigendlich nie mache), scheint
    das Problem im Moment behoben zu sein (ganz Vorsichtig ausgedrückt)!


    Zwei Dinge sind mir aufgefallen:
    Zum 1ten sind mir unter Webmin System Start / Stop in der Liste der Dienste ca. 200 Einträge aufgefallen die da sclices.user 1004 etc. alle hießen und gestartet waren aber nicht bei Systemstart.
    So viele Einträge von diesen dingern habe ich noch nie in den Start / Stop Einstellungen gesehen! Deshalb auch der Neustart. Nach dem Neustart waren die alle weg, Liste der Dienste sah wieder aus wie immer.


    zum 2ten habe ich in der Auth.log diese Einträge gefunden:


    Mar 9 14:51:11 thopoh3 proftpd: pam_unix(proftpd:session): session opened for user vn50804 by (uid=0)
    Mar 9 14:51:18 thopoh3 proftpd: pam_unix(proftpd:session): session closed for user vn50804
    Mar 9 14:51:18 thopoh3 proftpd: pam_systemd(proftpd:session): Failed to connect to system bus: Datei oder Verzeichnis nicht gefunden
    Mar 9 14:51:26 thopoh3 proftpd: pam_unix(proftpd:session): session opened for user vn50804 by (uid=0)
    Mar 9 15:01:26 thopoh3 proftpd: pam_unix(proftpd:session): session closed for user vn50804
    Mar 9 15:01:26 thopoh3 proftpd: pam_systemd(proftpd:session): Failed to connect to system bus: Datei oder Verzeichnis nicht gefunden
    Mar 9 15:06:08 thopoh3 proftpd: pam_unix(proftpd:session): session opened for user vn50803 by (uid=0)
    Mar 9 15:09:42 thopoh3 proftpd: pam_unix(proftpd:session): session closed for user vn50803
    Mar 9 15:09:42 thopoh3 proftpd: pam_systemd(proftpd:session): Failed to connect to system bus: Datei oder Verzeichnis nicht gefunden


    und zwar ziehmlich genau an dem Tag fangen die an seit ich TLS auf dem ProFTPD eingeschaltet habe, also ab dem 05.03.2017. Ob das damit alles zusammenhängt weiß ich nicht. Ich beobachte das jetzt mal wie lange der FTP jetzt läuft und ob diese slice Dinger wieder auftauchen.


    Firewal hatte ich auch abgeschaltet und nein auch ohne Firewall konnte ich mich nicht einloggen. Jetzt läuft es erst einmal mal sehen wie lange und evtl. hat der eine oder ander ja noch eine Idde warum ausgerechnet seit ich TLS im FTP aktiv habe, ich diese Probleme bekommen konnte.


    Und Danke allen die mir hier Antworten.


    Mng
    thopoh

  • Was schlecht ist, weil Sie dann auch keine Kernel-Updates gemacht haben...


    Die Updates die Regelmäßig kommen mache ich schon alle mit, das heißt aber doch nicht, das ich jedesmal den Server komplett neu starten muss? In den Updates sind ja auch die Kernel-Updates mit dabei.


    Ich denke doch das braucht man bei einem Linux System nur ganz selten. Jedenfalls was ich von Systemadministratoren so gesagt bekomme (Hetzner,Antagus,Host Europe, etc.). Bin ganz stolz das ein Server von mir schon 732 Tage läuft ohne Mukken und immer alle Updates mitgemacht :)


    Hoffe ich bring jetzt nichts durcheinander?


    MnG
    thopoh

  • Die Updates die Regelmäßig kommen mache ich schon alle mit, das heißt aber doch nicht, das ich jedesmal den Server komplett neu starten muss? In den Updates sind ja auch die Kernel-Updates mit dabei.


    Und genau die werden nur dann aktiviert, wenn neu gebootet wird. Kexec außen vor gelassen.


    Zitat

    Ich denke doch das braucht man bei einem Linux System nur ganz selten. Jedenfalls was ich von Systemadministratoren so gesagt bekomme (Hetzner,Antagus,Host Europe, etc.). Bin ganz stolz das ein Server von mir schon 732 Tage läuft ohne Mukken und immer alle Updates mitgemacht :)


    Herzlichen Glückwunsch. Aus dem Stegreif liegen mir zwei Local Root Exploits dafür vor.



    Zum Rest:


    - die proftpd.delay liegt auf einer Ramdisk. Natürlich ist die nach einem Reboot wieder weg.
    - die Slices sind normal.
    - Webmin nicht.


  • im grunde hast du die updates heruntergeladen und installiert, diese sind aber nicht immer direkt aktiv
    z.b. bei einem kernel update empfiehlt es sich neuzustarten um ganz sicher den neuen kernel zu benutzen


    hässlich wirds wenn libc geupdated wird, ich denke nicht dass du nach einem update alles auf dem server manuell neustartest damit es die neu installierte libc version nutzt ;)

  • Und genau die werden nur dann aktiviert, wenn neu gebootet wird. Kexec außen vor gelassen.


    Ok Ok, ab jetzt nach jedem Kernel Update auch ein Neustart. Man lernt nie aus :) Ich bin nicht als Meister vom Himmel gefallen :)


    Aber da gehen auch viele Meinungen auseinander, man ist ständig im Zwiespalt was die Experten sagen, wem soll man glauben, wem nicht, wem eher..........


    Ich versuche mal demnächst zwischen den vielen Inputs der sogenannten Experten ab zu schätzen was richtig und falsch sein könnte, aber egal jetzt, er läuft erst mal wieder und noch mals Danke an die tollen Antworten und Ratschläge.


    Mit netten Grüßen
    thopoh

  • nun hast du hier schon 3 "Experten" die zu häufigeren Neustarts raten.
    Niemand hat was von "Angeberei" mit hoher Uptime ;)


    zum Thema zurück:
    wir haben derzeit auch ziemliche Probleme auf manchen Servern mit proftpd und TLS... Verzögerungen ohne Ende oder gar keine Verbindung möglich.
    Meist nicht einmal reproduzierbar :(

  • Das Problem liegt nach langem suchen direkt an ProFTP.
    Und zwar ist in der stable von Debian die Version 1.3.5.
    Diese beinhaltet aber einen SSL Bug der erst in der 1.3.5a behoben wurde.
    Die einzige Möglichkeit die ich gefunden habe, das lahme ssl zu umgehen ist ProFTP selber zu kompilieren.
    Habe nun die 1.3.5e kompiliert und ProFTP rennt wieder wie sau. :)
    Schade das Debian nicht mal eine neuere Version ins stable aufnimmt. :(


    Gruß WU

    >> Manchen gab Gott die Kraft Dinge zu verändern, mir gab er die Kraft zu ertragen was ich nicht ändern kann! <<


  • Dann muss nur noch sichergestellt sein das LiveConfig Debian 9 Kompatibel ist.


    sofern das dort stimmt & noch aktuell ist, dürfte Debian 9 Stretch schon von der LC-Lab-Version supported sein:
    https://www.liveconfig.com/de/…4027&viewfull=1#post14027


    ich hoffe mal, dass die Version bald kommt und wirklich stabil mit Debian 9 zusammenarbeitet, damit wir nicht noch neue Server mit Jessie aufsetzen müssen nach dem Stretch-Release :D

Jetzt mitmachen!

Sie haben noch kein Benutzerkonto auf unserer Seite? Registrieren Sie sich kostenlos und nehmen Sie an unserer Community teil!