vsftpd+ssl+libpam-pgsql

 ( norel | 2008. június 25., szerda - 15:02 )

Udv!

Erdekes problemaba utkoztem, es sajnos messze nem vagyok olyan penge, hogy ki tudjam bogozni. Hatha probalt mar valaki hasonlo felallast, es jutott valamire.
Az alap szitu, hogy van egy vsftpd kiszolgalo, ami egy postgres 8.2-bol authentikal-na. Mind az adat mind a control kapcsolatnak titkositottnak kell lennie a kliens fele, es ez a problema.
Ha a vstfpd nem koveteli meg a titkositast, akkor gyonyoruen megy az azonositas - nem a config fajljaimmal van baj, bar ha valaki gondolja h segithet, beidezem en a jovo hetet is ide..
A gond akkor kezdodik, ha az ssl opciokat bekapcsolom.

ssl_enable=YES
debug_ssl=YES
rsa_cert_file=/etc/ssl/certs/vsftpd.pem
rsa_private_key_file=/etc/ssl/certs/vsftpd.pem.key
force_anon_data_ssl=YES
force_anon_logins_ssl=YES

Probaltam mar egyenkent az osszes protokollt:
ssl_tlsv1=YES || ssl_sslv2=YES || ssl_sslv3=YES
meg egyszerre is, meg mindent mindenfele kombinacioban..
Az eredmeny az, hogy bejelentkezni be tudok, de az adatkapcsolat elszall.
lftp-t hasznalok a teszthez, ami ugyan encrypted modban feltolteni nem tud, de altalaban a bejelentkezes es egy directory listing mar eleg szokott lenni ahhoz, hogy azt tudjam mondani, mukodik a dolog (van ugyanilyen felallas, csak ldap cimtarral es libpam-ldap-al, es az teljesen jol megy.).
Az lftp debugja (infokat eltuntettem, sry, amugy a certificate is jo, csak nem verified):

---- Connecting to csodas.kiszolgalo (x.x.x.x) port 21
<--- 220 (vsFTPd 2.0.6)
---> FEAT
<--- 211-Features:
<--- AUTH SSL
<--- AUTH TLS
<--- EPRT
<--- EPSV
<--- MDTM
<--- PASV
<--- PBSZ
<--- PROT
<--- REST STREAM
<--- SIZE
<--- TVFS
<--- UTF8
<--- 211 End
---> AUTH TLS
<--- 234 Proceed with negotiation.
---> OPTS UTF8 ON
Certificate: C=,ST=,L=,O=.,CN=,EMAIL=
Issued by: C=,ST=,L=,O=,CN=,EMAIL=
WARNING: Certificate verification: Not trusted

<--- 200 Always in UTF8 mode.
---> USER teszt
<--- 331 Please specify the password.
---> PASS XXXX
<--- 230 Login successful.
---> PBSZ 0
<--- 200 PBSZ set to 0.
---> CWD /proba
<--- 250 Directory successfully changed.
---> PROT P
<--- 200 PROT now Private.
---> PASV
<--- 227 Entering Passive Mode (x,x,x,x,x,x)
---- Connecting data socket to (x.x.x.x) port x
---- Data connection established
---> LIST
<--- 150 Here comes the directory listing.
**** gnutls_record_recv: A record packet with illegal version was received.
---> ABOR
---- Closing aborted data socket
---- Closing control socket
ls: Fatal error: gnutls_record_recv: A record packet with illegal version was received.

Az azonositas jo, ha elirom a felhasznalot vagy jelszot, elkuld ahova kell, plusz auth logokban is latszik szepen minden.

Kiprobaltam debian etch-en es 8.04-es ubuntu szerveren, elozon ujraforgattam mindenbol a frissebbet, utobbin az alapokat hasznaltam (igy volt nagyjabol egalban a ketfele verzio).
etch | ubuntu
vsftpd - 2.0.6 | 2.0.6
libpam-pgsql - 0.6.4 | 0.6.3

A hibauzenet amit kapok a vegen, a libgnutls hibauzenete. De hogy mire fel.. Es foleg, hogy full ugyanez libpam-ldap-al mukodik, megmondom oszinten, nem ertem. Azt sem tudom eldonteni, hogy a felallas melyik reszenek van epp baja..
A pam azonositasanak mi koze van a vsftpd es a kliens kozotti kommunikaciohoz, amikor a kliens csak a vsftpd-vel kommunikal, a vsftpd meg a pammal. Ha ez tenylegesen igy lenne, nem szabadna szamitania, hogy a pam ldap vagy pgsql forrasbol azonosit, vagy mindkettonel jonak kene lennie, vagy egyiknel sem. Marmint szerintem..

Barmi otletet vagy megfelelo manualra mutato rtfm-et, egyeb infot szivesen varok.
Ha'la's koszonetem elore is, szep napot!

N

Hozzászólás megjelenítési lehetőségek

A választott hozzászólás megjelenítési mód a „Beállítás” gombbal rögzíthető.

Csak egy gyenge ötlet, merthogy hasonló gondom volt nekem is nemrég...
De teljesen más rendszer, és FTP szerver. Sajnos.

/mazursky

Sajna nem tuzfal, passziv portokkal megy a vsftpd, es az ldap-os resznel mukodik a titkositott kapcsolat is. Plusz az ubuntu szerver virtualis gepen van, arra meg tuzfalat sem allitottam be :)

Nah, update. Kiprobaltam libpam-mysql-el, az is csodasan megy, akarcsak az ldap. Teljesen biztos, hogy a libpam-pgsql a hibas, csak arra nezvest nincs otletem, hogy miben, Bugreport lesz a vege, azt hiszem.
Szep napot!