Re: vsftpd + ssl + utilisateurs virtuels
Possum a écrit :
> Bonjour, ou plutôt bonsoir la liste.
Bonjour,
>
> Premier post, et déjà un problème.
>
> Je me permet de soumettre à votre sagacité ce petit problème.
>
> Je m'explique. Je voudrais utiliser des connexions sécurisées sur mon
> serveur vsftp. Donc, je lis les docs, les How-to et tout le tintouin, je
> génère le certificat, avec la comande suivante:
>
> openssl req -x509 -nodes -days 7300 -newkey rsa:2048 -keyout \
> /etc/ssl/certs/vsftpd.pem -out /etc/ssl/certs/vsftpd.pem
>
> Je configure vsftpd (enfin, visiblement pas cvomme il faut sinon je
> serais pas là à poser des questions) et je tente d eme connecter sur le
> serveur. Et là, poum, un message qui tue:
>
> Recherche de marsupial-power.org
> Essai avec marsupial-power.org:21
> Connecté sur marsupial-power.org:21
> 220 Marsupial's Home FTP Server
> AUTH TLS
> 234 Proceed with negotiation.
> Erreur avec le certificat à la profondeur : 0
> Expéditeur = /C=FR/ST=Midi-Pyr\xE9n\xE9es/L=Toulouse/O=Marsupial's
> Home/CN=Possum/emailAddress=possum@marsupial-power.org
> Sujet = /C=FR/ST=Midi-Pyr\xE9n\xE9es/L=Toulouse/O=Marsupial's
> Home/CN=Possum/emailAddress=possum@marsupial-power.org
> Erreur 18:self signed certificate
> Déconnexion de l'hôte marsupial-power.org
A priori, gftp ne supporte pas les certificats autosignés pour
authentifier les session TLS. Soit tu trouve l'option de gftp qui permet
d'utiliser des certificats autosignés, soit tu crées une autorité de
certification que tu declare ensuite dans gftp et tu genere ensuite un
certificat pour ton serveur avec.
>
> Bon, ai-je merdouillé ma config de gftp, c'est possible. pour vérifier,
> je lance un bon vieux ftp en ligne de commande:
>
> possum@opossum ~ $ ftp marsupial-power.org
> Connected to marsupial-power.org.
> 220 Marsupial's Home FTP Server
> Name (marsupial-power.org:possum):
> 234 Proceed with negotiation.
> [SSL Cipher DES-CBC3-SHA]
> 331 Please specify the password.
> Password:
> 230 Login successful.
> Remote system type is UNIX.
> Using binary mode to transfer files.
> ftp> quit
> 221 Goodbye.
>
> Et là, ça marche !
>
> Je comprend pas du tout.
>
> Donc, autre test, mais avec mozilla cette fois-ci.
>
> et là, j'ai:
>
> 530 Non-anonymous sessions must use encryption (mozilla doit donc pas
> essayer de faire du crypté là)
Je dirais plutot le contraire, mozilla doit essayer de s'authentitifier
sans demander le cryptage de la session, et le serveur lui repond cette
erreur car dans ta config, tu exige que les session non anonyme soient
encryptées.
>
> Je vous mets mon fichier de conf vsftpd:
>
> anonymous_enable=NO
> local_enable=YES
> write_enable=YES
> local_umask=022
> async_abor_enable=YES
> anon_world_readable_only=NO
> anon_upload_enable=YES
> anon_mkdir_write_enable=YES
> anon_other_write_enable=YES
> chroot_local_user=YES
> guest_enable=YES
> guest_username=virtuelftp
> listen=YES
> listen_port=10021
> pasv_min_port=30000
> pasv_max_port=30999
> pam_service_name=vsftpd
> hide_ids=YES
> max_clients=10
> max_per_ip=4
> #anon_max_rate=50000
> chown_uploads=YES
> chown_username=possum
> data_connection_timeout=300
> idle_session_timeout=120
> accept_timeout=120
> connect_timeout=120
> xferlog_enable=YES
> ftpd_banner=Marsupial's Home FTP Server
>
> ls_recurse_enable=YES
> pasv_address=82.230.26.66
>
> ssl_enable=YES
> allow_anon_ssl=YES
> *force_local_logins_ssl=YES* -> c'est cette ligne qui oblige l'usage
> de session cryptées
> force_anon_logins_ssl=YES
> ssl_tlsv1=YES
> ssl_sslv2=YES
> ssl_sslv3=YES
> rsa_cert_file=/etc/ssl/certs/vsftpd.pem
>
> Voilà, si quelqu'un a une idée pour répondre à mon petit problème.
>
> Librement votre.
>
> Possum
>
> --
> Sauvez un arbre, mangez un castor !
>
> Ce mail est signé numériquement,
> Clef publique GnuPG: http://marsupial-power.org/Perso/down/possum-gpg.asc
> http://marsupial-power.org
Reply to: