Twitter iPhone pliant OnePlus 11 PS5 Disney+ Orange Livebox Windows 11

vsftpd + ssl + utilisateurs virtuels

2 réponses
Avatar
Possum
-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1

Bonjour, ou plutôt bonsoir la liste.

Premier post, et déjà un problème.

Je me permet de soumettre à votre sagacité ce petit problème.

Je m'explique. Je voudrais utiliser des connexions sécurisées sur mon
serveur vsftp. Donc, je lis les docs, les How-to et tout le tintouin, je
génère le certificat, avec la comande suivante:

openssl req -x509 -nodes -days 7300 -newkey rsa:2048 -keyout \
/etc/ssl/certs/vsftpd.pem -out /etc/ssl/certs/vsftpd.pem

Je configure vsftpd (enfin, visiblement pas cvomme il faut sinon je
serais pas là à poser des questions) et je tente d eme connecter sur le
serveur. Et là, poum, un message qui tue:

Recherche de marsupial-power.org
Essai avec marsupial-power.org:21
Connecté sur marsupial-power.org:21
220 Marsupial's Home FTP Server
AUTH TLS
234 Proceed with negotiation.
Erreur avec le certificat à la profondeur : 0
Expéditeur = /C=FR/ST=Midi-Pyr\xE9n\xE9es/L=Toulouse/O=Marsupial's
Home/CN=Possum/emailAddress=possum@marsupial-power.org
Sujet = /C=FR/ST=Midi-Pyr\xE9n\xE9es/L=Toulouse/O=Marsupial's
Home/CN=Possum/emailAddress=possum@marsupial-power.org
Erreur 18:self signed certificate
Déconnexion de l'hôte marsupial-power.org

Bon, ai-je merdouillé ma config de gftp, c'est possible. pour vérifier,
je lance un bon vieux ftp en ligne de commande:

possum@opossum ~ $ ftp marsupial-power.org
Connected to marsupial-power.org.
220 Marsupial's Home FTP Server
Name (marsupial-power.org:possum):
234 Proceed with negotiation.
[SSL Cipher DES-CBC3-SHA]
331 Please specify the password.
Password:
230 Login successful.
Remote system type is UNIX.
Using binary mode to transfer files.
ftp> quit
221 Goodbye.

Et là, ça marche !

Je comprend pas du tout.

Donc, autre test, mais avec mozilla cette fois-ci.

et là, j'ai:

530 Non-anonymous sessions must use encryption (mozilla doit donc pas
essayer de faire du crypté là)

Je vous mets mon fichier de conf vsftpd:

anonymous_enable=NO
local_enable=YES
write_enable=YES
local_umask=022
async_abor_enable=YES
anon_world_readable_only=NO
anon_upload_enable=YES
anon_mkdir_write_enable=YES
anon_other_write_enable=YES
chroot_local_user=YES
guest_enable=YES
guest_username=virtuelftp
listen=YES
listen_port=10021
pasv_min_port=30000
pasv_max_port=30999
pam_service_name=vsftpd
hide_ids=YES
max_clients=10
max_per_ip=4
#anon_max_rate=50000
chown_uploads=YES
chown_username=possum
data_connection_timeout=300
idle_session_timeout=120
accept_timeout=120
connect_timeout=120
xferlog_enable=YES
ftpd_banner=Marsupial's Home FTP Server

ls_recurse_enable=YES
pasv_address=82.230.26.66

ssl_enable=YES
allow_anon_ssl=YES
force_local_logins_ssl=YES
force_anon_logins_ssl=YES
ssl_tlsv1=YES
ssl_sslv2=YES
ssl_sslv3=YES
rsa_cert_file=/etc/ssl/certs/vsftpd.pem

Voilà, si quelqu'un a une idée pour répondre à mon petit problème.

Librement votre.

Possum

- --
Sauvez un arbre, mangez un castor !

Ce mail est signé numériquement,
Clef publique GnuPG: http://marsupial-power.org/Perso/down/possum-gpg.asc
http://marsupial-power.org
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.4.1 (GNU/Linux)
Comment: Using GnuPG with Thunderbird - http://enigmail.mozdev.org

iD8DBQFDe7ON7shKAOv6mmYRAr9pAJ0f8ZD5LKooTJGyg/MhZ2M/QxzStQCfXyv9
7+IE7KJI8BY8MiQunwRwrug=
=AY3f
-----END PGP SIGNATURE-----


--
Pensez à lire la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench

Pensez à rajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"

To UNSUBSCRIBE, email to debian-user-french-REQUEST@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org

2 réponses

Avatar
Marc PERRUDIN
Possum a écrit :

Bonjour, ou plutôt bonsoir la liste.



Bonjour,


Premier post, et déjà un problème.

Je me permet de soumettre à votre sagacité ce petit problème.

Je m'explique. Je voudrais utiliser des connexions sécurisées sur mon
serveur vsftp. Donc, je lis les docs, les How-to et tout le tintouin, je
génère le certificat, avec la comande suivante:

openssl req -x509 -nodes -days 7300 -newkey rsa:2048 -keyout
/etc/ssl/certs/vsftpd.pem -out /etc/ssl/certs/vsftpd.pem

Je configure vsftpd (enfin, visiblement pas cvomme il faut sinon je
serais pas là à poser des questions) et je tente d eme connecter sur le
serveur. Et là, poum, un message qui tue:

Recherche de marsupial-power.org
Essai avec marsupial-power.org:21
Connecté sur marsupial-power.org:21
220 Marsupial's Home FTP Server
AUTH TLS
234 Proceed with negotiation.
Erreur avec le certificat à la profondeur : 0
Expéditeur = /C=FR/ST=Midi-PyrxE9nxE9es/L=Toulouse/O=Marsupial's
Home/CN=Possum/emailAddress=
Sujet = /C=FR/ST=Midi-PyrxE9nxE9es/L=Toulouse/O=Marsupial's
Home/CN=Possum/emailAddress=
Erreur 18:self signed certificate
Déconnexion de l'hôte marsupial-power.org



A priori, gftp ne supporte pas les certificats autosignés pour
authentifier les session TLS. Soit tu trouve l'option de gftp qui permet
d'utiliser des certificats autosignés, soit tu crées une autorité de
certification que tu declare ensuite dans gftp et tu genere ensuite un
certificat pour ton serveur avec.


Bon, ai-je merdouillé ma config de gftp, c'est possible. pour vérifier,
je lance un bon vieux ftp en ligne de commande:

~ $ ftp marsupial-power.org
Connected to marsupial-power.org.
220 Marsupial's Home FTP Server
Name (marsupial-power.org:possum):
234 Proceed with negotiation.
[SSL Cipher DES-CBC3-SHA]
331 Please specify the password.
Password:
230 Login successful.
Remote system type is UNIX.
Using binary mode to transfer files.
ftp> quit
221 Goodbye.

Et là, ça marche !

Je comprend pas du tout.

Donc, autre test, mais avec mozilla cette fois-ci.

et là, j'ai:

530 Non-anonymous sessions must use encryption (mozilla doit donc pas
essayer de faire du crypté là)



Je dirais plutot le contraire, mozilla doit essayer de s'authentitifier
sans demander le cryptage de la session, et le serveur lui repond cette
erreur car dans ta config, tu exige que les session non anonyme soient
encryptées.


Je vous mets mon fichier de conf vsftpd:

anonymous_enable=NO
local_enable=YES
write_enable=YES
local_umask2
async_abor_enable=YES
anon_world_readable_only=NO
anon_upload_enable=YES
anon_mkdir_write_enable=YES
anon_other_write_enable=YES
chroot_local_user=YES
guest_enable=YES
guest_username=virtuelftp
listen=YES
listen_port021
pasv_min_port0000
pasv_max_port0999
pam_service_name=vsftpd
hide_ids=YES
max_clients
max_per_ip=4
#anon_max_rateP000
chown_uploads=YES
chown_username=possum
data_connection_timeout00
idle_session_timeout0
accept_timeout0
connect_timeout0
xferlog_enable=YES
ftpd_banner=Marsupial's Home FTP Server

ls_recurse_enable=YES
pasv_address‚.230.26.66

ssl_enable=YES
allow_anon_ssl=YES
*force_local_logins_ssl=YES* -> c'est cette ligne qui oblige l'usage
de session cryptées
force_anon_logins_ssl=YES
ssl_tlsv1=YES
ssl_sslv2=YES
ssl_sslv3=YES
rsa_cert_file=/etc/ssl/certs/vsftpd.pem

Voilà, si quelqu'un a une idée pour répondre à mon petit problème.

Librement votre.

Possum

--
Sauvez un arbre, mangez un castor !

Ce mail est signé numériquement,
Clef publique GnuPG: http://marsupial-power.org/Perso/down/possum-gpg.asc" target="_blank" class="text-blue hover:opacity-90 " style="word-break: break-all;" rel="noopener nofollow">http://marsupial-power.org/Perso/down/possum-gpg.asc
http://marsupial-power.org




--
Pensez à lire la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench

Pensez à rajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"

To UNSUBSCRIBE, email to
with a subject of "unsubscribe". Trouble? Contact
Avatar
Possum
-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1

Yop yop :)

Marc PERRUDIN a écrit :
Possum a écrit :


Bonjour, ou plutôt bonsoir la liste.




Bonjour,


[...]

A priori, gftp ne supporte pas les certificats autosignés pour
authentifier les session TLS. Soit tu trouve l'option de gftp qui permet
d'utiliser des certificats autosignés, soit tu crées une autorité de
certification que tu declare ensuite dans gftp et tu genere ensuite un
certificat pour ton serveur avec.




Oulah, je commence juste avec openssl :) Va falloir que je me documente.
Donc, je pars en quête de toutes ces infos.




[...]

Donc, autre test, mais avec mozilla cette fois-ci.

et là, j'ai:

530 Non-anonymous sessions must use encryption (mozilla doit donc pas
essayer de faire du crypté là)




Je dirais plutot le contraire, mozilla doit essayer de s'authentitifier
sans demander le cryptage de la session, et le serveur lui repond cette
erreur car dans ta config, tu exige que les session non anonyme soient
encryptées.




Ok, de tt manière, je m'en tape un poil que moz puisse pas accèder au
serveur :) Le principal, c'est qu'on puisse l'utiliser avec un client
correct.

[...]

Merci pour ces infos. je teste et je donnerais le résultats :)

- --
Sauvez un arbre, mangez un castor !

Ce mail est signé numériquement,
Clef publique GnuPG: http://marsupial-power.org/Perso/down/possum-gpg.asc" target="_blank" class="text-blue hover:opacity-90 " style="word-break: break-all;" rel="noopener nofollow">http://marsupial-power.org/Perso/down/possum-gpg.asc
http://marsupial-power.org
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.4.1 (GNU/Linux)
Comment: Using GnuPG with Thunderbird - http://enigmail.mozdev.org

iD8DBQFDfODR7shKAOv6mmYRAo02AKCLtbfo8xVf8T/YhtHRzxvqBYytzACgnV5v
/7MgJ12GYxF19vdHasubp8M =tX10
-----END PGP SIGNATURE-----


--
Pensez à lire la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench

Pensez à rajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"

To UNSUBSCRIBE, email to
with a subject of "unsubscribe". Trouble? Contact