Hallo zusammen,

ich habe bei mir ProFTPd als FTP-Server eingerichtet, was ja nicht weiter schwer ist. Das Wiki hier hilft dabei gut...

Zusätzlich benötige ich eine Verschlüsselung der Verbindung. Da die Tunnelung via SSH wegen einem Datenaustauschpartner nicht möglich ist, sehe ich nur eine Möglichkeit: Verwendung von TLS. Lt. Wiki gibt es zwei Pakete ProFTPd mit einigen Zusatzmodulen und ProFTPd-Basic ohne. Die ProFTPd-Variante hat das TLS-Zusatzmodul einkompiliert, bei der Basic-Variante fehlt sie.

Leider scheint es die "große" Variante aber in den Repositories nicht zu geben. Auch die Source-Pakete scheinen zu fehlen.

Weiß jemand etwas darüber?

Viele Grüße

Roland

PS: Nein, ich habe nicht vor, die Server-Software zu wechseln...

Öhm, der SSH-Server kann doch bereits SecureFTP. Warum dafür einen proftp einrichten?

Nützt mir aber nichts - damit geht der Datenaustausch nicht überall. Es gibt Firmen - und um Datenaustausch mit denen geht es - da ist der Port zu. Auch nach außen...

Du könntest den auf 21 legen, aber das wird richtig albern. Zur Sache: Laut http://packages.ubuntu.com/precise/amd64/proftpd-basic/filelist enthält proftpd-basic das Modul mod_tls.so Demzufolge hast Du eigentlich alles da, was du für FTP(s) brauchst.

RGaenssler schrieb:

PS: Nein, ich habe nicht vor, die Server-Software zu wechseln...

BTW: Hat jemand versucht dich zu überreden/überzeugen, eine andere/alternative Server-Software zu benutzen? Wenn ja, welche?

mickydoutza schrieb:

RGaenssler schrieb:

PS: Nein, ich habe nicht vor, die Server-Software zu wechseln...

BTW: Hat jemand versucht dich zu überreden/überzeugen, eine andere/alternative Server-Software zu benutzen? Wenn ja, welche?

Ich mache nicht erst seit kurzem Linux - ich kenn solche Antworten zur Genüge...

redknight schrieb:

Du könntest den auf 21 legen, aber das wird richtig albern. Zur Sache: Laut http://packages.ubuntu.com/precise/amd64/proftpd-basic/filelist enthält proftpd-basic das Modul mod_tls.so Demzufolge hast Du eigentlich alles da, was du für FTP(s) brauchst.

Wieso albern? Was man machen könnte - so als Idee - wäre, ftp und sftp parallel laufen zu lassen. Muß ich prüfen.

Ich hatte nach einem Versuch, TLS einzubinden, mit "proftpd -l" geprüft, welche Module einkompiliert sind. Die Ausgabe:

mod_core.c mod_xfer.c mod_auth_unix.c mod_auth_file.c mod_auth.c mod_ls.c mod_log.c mod_site.c mod_delay.c mod_facts.c mod_dso.c mod_ident.c mod_auth_pam.c mod_readme.c mod_cap.c mod_ctrls.c mod_lang.c

hat mich dann wohl auf's falsche Geleis geführt.

Dann muß ich da weiter schauen...

RGaenssler schrieb:

Wieso albern? Was man machen könnte - so als Idee - wäre, ftp und sftp parallel laufen zu lassen. Muß ich prüfen.

Naja, zwe Dienste auf dem selben Port ist nicht möglich, demnach müsste dann der PlainFTP weg. Außerdem übersteht es keine Packet Inspection, sondern nur das Sortieren nach Port. Sowas ist fehleranfällig und kann sich jederzeit ändern. Daher bestenfalls albern

Ich hatte nach einem Versuch, TLS einzubinden, mit "proftpd -l" geprüft, welche Module einkompiliert sind. Die Ausgabe:

mod_core.c mod_xfer.c mod_auth_unix.c mod_auth_file.c mod_auth.c mod_ls.c mod_log.c mod_site.c mod_delay.c mod_facts.c mod_dso.c mod_ident.c mod_auth_pam.c mod_readme.c mod_cap.c mod_ctrls.c mod_lang.c

hat mich dann wohl auf's falsche Geleis geführt.

Das konnte ich von daheim nicht prüfen, ich musste mich auf die Angabe von packages.ubuntu.com verlassen

RGaenssler schrieb:

Es gibt Firmen - und um Datenaustausch mit denen geht es - da ist der Port zu. Auch nach außen...

I. d. R. ist der Port 443 nach außen offen und dann könnte man sslh benutzen:

sslh accepts HTTPS, SSH and OpenVPN connections on the same port. This
makes it possible to connect to an SSH server or an OpenVPN on port 443
(e.g. from inside a corporate firewall, which almost never block port
443) while still serving HTTPS on that port.

redknight schrieb:

RGaenssler schrieb:

Wieso albern? Was man machen könnte - so als Idee - wäre, ftp und sftp parallel laufen zu lassen. Muß ich prüfen.

Naja, zwe Dienste auf dem selben Port ist nicht möglich, demnach müsste dann der PlainFTP weg. Außerdem übersteht es keine Packet Inspection, sondern nur das Sortieren nach Port. Sowas ist fehleranfällig und kann sich jederzeit ändern. Daher bestenfalls albern

Ich hatte nach einem Versuch, TLS einzubinden, mit "proftpd -l" geprüft, welche Module einkompiliert sind. Die Ausgabe:

mod_core.c mod_xfer.c mod_auth_unix.c mod_auth_file.c mod_auth.c mod_ls.c mod_log.c mod_site.c mod_delay.c mod_facts.c mod_dso.c mod_ident.c mod_auth_pam.c mod_readme.c mod_cap.c mod_ctrls.c mod_lang.c

hat mich dann wohl auf's falsche Geleis geführt.

Das konnte ich von daheim nicht prüfen, ich musste mich auf die Angabe von packages.ubuntu.com verlassen

Das paßt schon... Es hat mir weiter geholfen, sodaß ich etwas weiter bin.

Im Augenblick scheint es ein Berechtigungsproblem zu sein...

Was SFTP mit dem SFTP-Server aus dem OpenSSH-Paket anstelle von Tunneln eines FTP-Servers angeht, so giubt es da einen kleinen Unterschied: In der Standard-Konfiguration liefert dir der FTP-Server (zumindest ProFTPd) eine einfache chroot-Möglichkeit. Das heißt, jeder sieht nur sein Verzeichnis... Was von Vorteil sein kann.

mickydoutza schrieb:

RGaenssler schrieb:

Es gibt Firmen - und um Datenaustausch mit denen geht es - da ist der Port zu. Auch nach außen...

I. d. R. ist der Port 443 nach außen offen und dann könnte man sslh benutzen:

sslh accepts HTTPS, SSH and OpenVPN connections on the same port. This
makes it possible to connect to an SSH server or an OpenVPN on port 443
(e.g. from inside a corporate firewall, which almost never block port
443) while still serving HTTPS on that port.

Das scheint mir eher eine schräge Idee zu geben, die dann interessant wird, wenn alles andere nicht geht.

RGaenssler schrieb:

In der Standard-Konfiguration liefert dir der FTP-Server (zumindest ProFTPd) eine einfache chroot-Möglichkeit. Das heißt, jeder sieht nur sein Verzeichnis...

Das geht auch mit dem SFTP-Server (OpenSSH).

mickydoutza schrieb:

RGaenssler schrieb:

In der Standard-Konfiguration liefert dir der FTP-Server (zumindest ProFTPd) eine einfache chroot-Möglichkeit. Das heißt, jeder sieht nur sein Verzeichnis...

Das geht auch mit dem SFTP-Server (OpenSSH).

Interessant. Muß ich mir genauer anschauen - da brauche ich auch noch sowas wie ein Transfer-Logging. Aber das ist eine andere Baustelle, um die ich mich danach kümmern kann.

RGaenssler schrieb:

Interessant. Muß ich mir genauer anschauen - ...

Evtl. musst Du bei SFTP, Abstriche bei der Übertragungsgeschwindigkeit in Kauf nehmen. Bei mir sieht es im LAN, mit Filezilla als Client so aus:

SFTP: Dateitransfer erfolgreich, 512.000.000 Bytes in 163 Sekunden übertragen (ca. 3,1 MB/s)

FTPS: Dateitransfer erfolgreich, 512.000.000 Bytes in 96 Sekunden übertragen (ca. 5,3 MB/s)

EDIT:

Nur zur Info: Mit nuttcp wird zwischen dem Server-PC und dem Client-PC, eine Geschwindigkeit von 250 MB/s gemessen.