Swisslinux.org

− Le carrefour GNU/Linux en Suisse −

 

Recherche

Menu

Accueil Association Documentation SLo Blog Projets Galerie

Forum

Langue

 

Le Forum

Vous n'êtes pas identifié.

Pages: 1

 

#1 04 Dec 2006 17:44:03

Didier100
Prêcheu(r|se) du libre
 
Date d'inscription: 11 Aug 2005
Messages: 138

vsftpd : problème ssl

J'ai installé recament "Debian etch" sur mon pc pour y monter un petit server web / mysql / postgres / ftp .

Quand j'essayé d'accèder au serveur vsftp via un autre PC (windows xp) et via un (secure) client ftp (core ftp lite) je n'ai pas de problème quand je passe par le port 21 (non sécurisé).  Par contre je reçoit le message d'erreur suivant quand j'active les options de sécurisation :
Auth SSL
SSL Listings
SSL TRANSFERTS

message d'erreur:

C'ant establish connection --> mon_mom_de_domaine.net:22 @ Mon Dec 04 17:10:57 2006 (O-5)

J'ai ne connaît rien dans SSH, mais je l'impression que le problème viens de ce coté.
Quand j'execute la comande "ssh localhost" (sans les double guillemets) je reçoit le message d'erreur "Connection refused"

Copie d'écran:
*************

debian:/home/dieter# ssh localhost
ssh: connect to host localhost port 22: Connection refused
debian:/home/dieter#

J'ai généré le certificat de sécurité par l'instruction suivante:

openssl req -x509 -nodes -days 7300 -newkey rsa:1024   -keyout /etc/ssl/certs/vsftpd.pem -out /etc/ssl/certs/vsftpd.pem

Voici le contenu du fichier vsftpd.conf

# (ou adoptons la debian attitude) #
####################################
# Some of vsftpd's settings don't fit the Debian filesystem layout by
# default.  These settings are more Debian-friendly.
#
# This option should be the name of a directory which is empty.  Also, the
# directory should not be writable by the ftp user. This directory is used
# as a secure chroot() jail at times vsftpd does not require filesystem
# access.
secure_chroot_dir=/var/run/vsftpd
#
# This string is the name of the PAM service vsftpd will use.
pam_service_name=vsftpd
#
###################################################################
# This option specifies the location of the RSA certificate to use for SSL
# encrypted connections.
# rsa_cert_file=/etc/ssl/certs/vsftpd.pem

#this is important
ssl_enable=YES                         

#choose what you like, if you accept anon-connections
# you may want to enable this
# allow_anon_ssl=NO                     

#choose what you like,                                         
# it's a matter of performance i guess
# force_local_data_ssl=NO               

#choose what you like           
# force_local_logins_ssl=YES             

#you should at least enable this if you enable ssl...
ssl_tlsv1=YES                           
#choose what you like
ssl_sslv2=YES                           
#choose what you like
ssl_sslv3=YES                           
#give the correct path to your currently generated *.pem file
rsa_cert_file=/etc/ssl/certs/vsftpd.pem


################################################################


#Activer la configuration per-user
#La configuration 'per-user' est une option très puissante de vsFTPd puisqu'elle permet d'étendre l'usage de n'importe #quelle option de la page de manuel à un utilisateur en particulier. Qui plus est, elle permet également de contrer la #politique du 'vsftpd.conf' qui joue alors le rôle d'une politique par défaut.
user_config_dir=/etc/vsftpd/vsftpd_user_conf

# You can allow *only* certain users to log in with vsftpd
userlist_deny=NO

Est-que je doit changer la configuration par defaut SSL?
Quel sont les fichiers de configuration à modifier?

Merci d'avance pour votre aide.

Dernière modification par Didier100 (04 Dec 2006 17:48:50)

Hors ligne

 

#2 05 Dec 2006 08:48:28

gbo
Citoyen(ne)
Lieu: Lausanne
Date d'inscription: 03 May 2006
Messages: 21
Site web

Re: vsftpd : problème ssl

Didier100 a écrit:

Quand j'essayé d'accèder au serveur vsftp via un autre PC (windows xp) et via un (secure) client ftp (core ftp lite) je n'ai pas de problème quand je passe par le port 21 (non sécurisé).  Par contre je reçoit le message d'erreur suivant quand j'active les options de sécurisation :
Auth SSL
SSL Listings
SSL TRANSFERTS

message d'erreur:

C'ant establish connection --> mon_mom_de_domaine.net:22 @ Mon Dec 04 17:10:57 2006 (O-5)

J'ai ne connaît rien dans SSH, mais je l'impression que le problème viens de ce coté.
Quand j'execute la comande "ssh localhost" (sans les double guillemets) je reçoit le message d'erreur "Connection refused"

A première vue il semblerait que le problème vienne de la confusion entre SSH et SFTP (FTP over SSL). En effet  il semblerait que ton client FTP essaie de se connecter sur le port 22 (SSH) mais tu n'as pas installé SSH côté serveur mais FTP over SSL ce qui est différent. FTP over SSL doit normalement être accessible à travers le port 443 enfin je crois je n'ai jamais testé FTP over SSL mais seulement SSH. Je ne connais pas ton client FTP mais je pense que tu dois pouvoir le configurer pour qu'il puisse se connecter sur ton FTP over SSL serveur.

Une autre option serait d'installer SSH côte serveur (sudo apt-get install ssh) si tu en as la possibilité.

Bonne chance

Gil

Hors ligne

 

#3 05 Dec 2006 09:16:40

BOFH
Admin
Lieu: Ecublens, VD
Date d'inscription: 03 Feb 2005
Messages: 862
Site web

Re: vsftpd : problème ssl

Oui, tu confonds sftp (protocole de transfert de fichiers utilisant SSH) et ftps (FTP sécurisé par TLS). Le port 22 est caracteristique de SSH, et les clefs ssh sont générées par la ommande ssh-keygen. Les certificats SSL utilisés par vsftpd concernent eux le ftps.

L'avantage de sftp est de marcher out-of-the box avec SSH, les clefs sont plus faciles à gérer pour un petit nombre d'utilisateurs. Le fonctionnement par dessus SSH peut être un avantage ou un inconvénient, selon que tes utilisateurs FTP doivent également avoir un accès shell ou pas. Si c'est le cas, utiliser sftp te permettra de n'avoir a te soucier que d'un seul service, dans le cas contraire tu devras prendre des mesures pour interdire aux clients sftp d'accéder au shell.

ftps utilise TLS, et utilise donc le même port que le ftp standard: 21 (le client demande le chiffrement de la session via une commande STARTTLS). Le problème de ftps est que ftp utilise historiquement deux connexions séparées. le TLS s'applique à la connexion de contrôle, ce qui protège ton login/pass, mais le chiffrement des données passe par un mécanisme séparé, qui peut être activé ou pas en fonction du client, et je ne connais qu'un seul serveur ftp qui soit capable de chiffrer les connexions de données fxp.

Hors ligne

 

#4 05 Dec 2006 14:59:49

Didier100
Prêcheu(r|se) du libre
 
Date d'inscription: 11 Aug 2005
Messages: 138

Re: vsftpd : problème ssl

MERCI pour votre aide gbo et BOFH

Effectivement il y avait confusion pour moi entre sftp et ftps.  Je viens d'installer le server ssh et depuis je peut accèder au serveur FTP via mon client ftp (windows) . Pour y accèder je doit y cocher la case " SSH/SFTP"..... et le tout passe par le port 22.

Par contre la connection AUTH SSL (OpenSSL) ne fonctionne toujours pas!

Citation BOFH:

ftps utilise TLS, et utilise donc le même port que le ftp standard: 21 (le client demande le chiffrement de la session via une commande STARTTLS). Le problème de ftps est que ftp utilise historiquement deux connexions séparées. le TLS s'applique à la connexion de contrôle, ce qui protège ton login/pass, mais le chiffrement des données passe par un mécanisme séparé, qui peut être activé ou pas en fonction du client, et je ne connais qu'un seul serveur ftp qui soit capable de chiffrer les connexions de données fxp.

Quand j'eassye (via le client fxp) à me connecter a mon serveur ftp je reçoit le message d'erreur suivant:

AUTH SSL
530 Please Login wiyh user and Pass
Failed SSL/TLS negociation, disconnected

??? Pourqui la négociation SSL/TLS echoue elle?

Hors ligne

 

#5 05 Dec 2006 16:58:03

BOFH
Admin
Lieu: Ecublens, VD
Date d'inscription: 03 Feb 2005
Messages: 862
Site web

Re: vsftpd : problème ssl

Alors, au pif, comme j'interprète la configuration de ton client:

SSL Listings -> connexion de contrôle en TLS. C'est ce que tu veux.
SSL Transfers -> connexion de données en TLS: si ca marche c'est bien, sinon go sftp
SSL Auth -> probablement authentification par un certificat client SSL. Ce qui veut dire que tu dois te générer un certificat pour ton client en plus du certificat serveur, et qu'il doit être signé
par une autorité de certification reconnue par le serveur (ce que je ne vois pas dans ta config). Le username est codé en dur dans le certificat client, et le mot de passe n'est plus utilisé (sauf si tu as mis un mot de passe, optionnel, pour crypter ton certificat client).

le "530 Please login with user and pass" semble en effet indiquer que ton serveur ne supporte pas l'authentification par certificats clients, donc je te suggère de désactiver "SSL Auth", de cette manière tu auras une authentification classique par user/mot de passe mais protégé par une connexion SSL. Le seul désavantage est que si le serveur est malicieux, il peut intercepter le mot de passe et le réutiliser ailleurs, alors qu'avec un certificat client un serveur malicieux ne peut en aucun cas usurper l'identité d'un client qui se connecte à lui.

Hors ligne

 

#6 11 Dec 2006 12:24:12

Didier100
Prêcheu(r|se) du libre
 
Date d'inscription: 11 Aug 2005
Messages: 138

Re: vsftpd : problème ssl

.... je reprend après un moment d'absence .....

donc je te suggère de désactiver "SSL Auth"

J'ai désactive "SSL Auth" .Le logiciel FlashFTP me renvoi le message d'erreur suivant :
ERREUR SSL : protocole inconnu
.....

En tous cas merci à BOFH pour tous les informations détaillé

Je vais voire côte certificats ....

Dernière modification par Didier100 (11 Dec 2006 12:29:23)

Hors ligne

 

 

Pages: 1

Pied de page des forums

Powered by FluxBB