Vsftpd + ssl => problème de chroot


#1

bonjour,

j’avais déjà fait un post à ce sujet, mais sans trouver de réponses… je retrouve plus mon post j’en refais un.

voilà, j’ai essayer d’activer le support SSL pour vsftpd, mais ça ne marche pas, impossible de me loguer.

Voici le fichier de conf de l’utilisateur sur lequel j’essaye d’appliquer le
ssl :

[code]ftpd_banner=Microsoft FTP Service
chroot_local_user=YES
chroot_list_enable=YES
chroot_list_file=/etc/vsftpd.chroot_list
secure_chroot_dir=/var/run/vsftpd
pam_service_name=vsftpd

ssl_enable=YES
ssl_sslv2=YES
ssl_sslv3=YES
ssl_tlsv1=YES
rsa_cert_file=/etc/ssl/certs/vsftpd.pem
chmod_enable=NO
log_ftp_protocol=YES[/code]
Et voici mon fichier principal de configuration :

ftpd_banner=Microsoft FTP Service chroot_local_user=YES chroot_list_enable=YES chroot_list_file=/etc/vsftpd.chroot_list ls_recurse_enable=NO secure_chroot_dir=/var/run/vsftpd pam_service_name=vsftpd rsa_cert_file=/etc/ssl/certs/vsftpd.pem user_config_dir=/etc/vsftpd_user_conf log_ftp_protocol=YES

J’ai généré mon certificat avec :

Sans rajouter SSL avec mon utilisateur stockage, je peux me loguer sans
problème, en revanche, quand j’essaye de me loguer en ajoutant le support
SSL à mon utilisateur, c’est impossible :astonished:\

Pourriez vous me dire ce qui ne va pas ?

Merci à vous,

J.


#2

slt,

As tu des messages d’erreurs lors de la connexion ?


#3

A noter qu’en local je peux me loguer avec sftp, mais depuis une autre machine (en dehors de linux), je ne vois pas comment faire, il est fort probable que ce soit ma procédure de login qui soit mauvaise (un comble)…

A vrai dire, avec le client IE ça ne marche pas, avec filezilla non plus… à moins qu’il y est quelquechose de particulier à faire du coté client ?


#4

A vrai dire, en local ça semble marcher (depuis sftp), mais à distance, avec
filezilla par exemple, j’ai ceci en erreur , et je ne vois pas d’où ça peu
venir :

Etat : Connexion à 192.168.0.4 …

Etat : Connecté à 192.168.0.4. Attente du message d’accueil…

Réponse : 220 Microsoft FTP Service

Commande : USER stockage

Réponse : 331 Please specify the password.

Commande : PASS ********

Réponse : 500 OOPS: close

Réponse : 500 OOPS: close

Erreur : Déconnecté du serveur

Erreur : Impossible de se connecter !


#5

Bon je passe à un client comme WinCP3 et ça marche. En revanche, je me trouve confronté à un autre problème. Voilà la source de mon fichier de config actuel, à savoir que le SSL est désactivé (passé en commentaire) :

[code]listen=YES

anonymous_enable=NO

local_enable=YES

write_enable=YES

local_umask=022

dirmessage_enable=YES

xferlog_enable=YES

connect_from_port_20=YES

nopriv_user=ftp

async_abor_enable=YES

ftpd_banner=Big brother is watching you :wink:

chroot_local_user=YES

chroot_list_enable=NO

secure_chroot_dir=/var/run/vsftpd

pam_service_name=vsftpd

#ssl_enable=YES
#ssl_sslv2=YES
#ssl_sslv3=YES
#ssl_tlsv1=YES
#rsa_cert_file=/etc/ssl/certs/vsftpd.pem
chmod_enable=NO
log_ftp_protocol=YES[/code]

Là le chroot fonctionne, je suis bloqué dans mon répertoire et ne peut pas en remonter. C’est ce que je veux.

A partir du moment ou je décommente mes lignes, et active donc le support du SSL, là quand je me connecte via WinCP3 (le fameux client ftp supportant le SSL), je peux me promener partout dans l’arborescence de mon serveur… Pas très secure tout ça, bien entendu je n’ai que les droits de mon utilisateur, mais quand même.

Bref, d’une je n’arrive pas à m’expliquer pourquoi quand j’active le support ssl sur ce compte, ça me fait sauter le chroot, et de deux, je ne vois pas comment réactiver le chroot :\


#6

J’y comprends plus rien là je sens que vsftpd va dégager de mon serveur pour un truc plus classique…

Quand je me connecte avec filezilla sur un compte ftp normal (non ssl donc), je suis chrooté. Quand je me connecte avec un logiciel comme sftp ou WinSCP, d’une part on me propose d’ajouter la clef (alors que le compte n’est pas ssl, trouvez l’erreur) et deuxio, je peux naviguer dans l’intégralité de mon server.

Quand j’essaye de me connecter avec mon compte ftp sécurisé (donc la dernière source plus haut mais avec toutes les lignes décommentés), sous filezilla, je me fait éjecté, normal, sous WinSCP et SFTP, je peux me loguer, en ajoutant la clef. PAreil je peux me balader dans toute l’arborescence de mon serveur…

Donc d’une part, pourquoi quand j’essaye de me connecter avec un compte non ssl, on me propose quand même d’ajouter une clef ? ensuite pourquoi quand je me connecte avec Filzilla je suis bien chrooté, mais quand je passe à SFTP ou WinSCP le chroot dégage et j’ai accès à toute l’arbo de mon serveur.

Franchement, je commence à perdre patience avec ce soft…

Des fois que vous voyiez quelquechose que je n’ai pas remarqué :

la source de mon fichier de config général dans /etc/vsftpd.conf :

[quote]listen=YES

anonymous_enable=NO
local_enable=YES

write_enable=YES

local_umask=022

dirmessage_enable=YES

xferlog_enable=YES

connect_from_port_20=YES

nopriv_user=ftp

async_abor_enable=YES

ftpd_banner=Microsoft FTP Service
chroot_local_user=YES
chroot_list_enable=YES

chroot_list_file=/etc/vsftpd.chroot_list

ls_recurse_enable=NO

secure_chroot_dir=/var/run/vsftpd

pam_service_name=vsftpd

user_config_dir=/etc/vsftpd_user_conf
log_ftp_protocol=YES[/quote]

et voilà le fichier de configuration de mon utilisateur chrooté, dans /etc/vsftpd_user_conf :

[quote]listen=YES

anonymous_enable=NO

local_enable=YES

write_enable=YES

local_umask=022

dirmessage_enable=YES

xferlog_enable=YES

connect_from_port_20=YES

nopriv_user=ftp

async_abor_enable=YES

ftpd_banner=Big brother is watching you :wink:

chroot_local_user=YES

chroot_list_enable=NO

secure_chroot_dir=/var/run/vsftpd

pam_service_name=vsftpd

ssl_enable=YES
ssl_sslv2=YES
ssl_sslv3=YES
ssl_tlsv1=YES
rsa_cert_file=/etc/ssl/certs/vsftpd.pem
chmod_enable=NO
log_ftp_protocol=YES[/quote]

Le clef rsa se trouve bien à cet endroit /etc/ssl/certs/vsftpd.pem .

Bref là je suis en train de peter une pile et j’aurais bien besoin de l’aide de quelqu’un…