FTP-Server Berechtigungen umziehen

[TiCar]

Hi,

ich betreibe bei uns in der Firma einen kleinen Kunden FTP-Server den ich jetzt erneuern muss.
Dh aktuell habe eine neue VM mit Bullseye (Version 11) aufgesetzt. Der alte FTP-Server hat noch Squeeze (6.0.10)

Ich habe alle Benutzer mit den Passwörtern umgezogen:

Code: Alles auswählen

awk -F: '($3>=1000) && ($3!=65534)' /etc/passwd >/root/passwd.add
awk -F: '($3>=1000) && ($3!=65534)' /etc/group >/root/group.add
awk -F: '($3>=1000) && ($3!=65534) {print $1}' /etc/passwd | grep -f - /etc/shadow >/root/shadow.add
awk -F: '($3>=1000) && ($3!=65534) {print $1}' /etc/group | grep -f - /etc/gshadow >/root/gshadow.add

dann habe ich die FTP-Daten umgezogen:
vom alten Server zum Neuen per

Code: Alles auswählen

rsync -avRHAX --progress /ftp root@192.168.1.13:/

oder vom neuen Server geholt mit

Code: Alles auswählen

rsync -avRHAX --progress root@192.168.1.10:/ftp /ftp

Ich habe auch schon andere Befehle versucht zB per scp -pr ... aber leider wurden nie die Berechtigungen mit übertragen.
Gibt es eine andere Möglichkeit noch zu den ursprünglichen Berechtigungen zu kommen?
Der Aufwand diese per Hand wieder einzurichten wäre heftig.

[debilian]

Hallo,
wieviele FTP-Benutzerinnen sind es denn?
Wenn ich rsynce nimmt er mit den veralteten Optionen:

Code: Alles auswählen

rsync -av --numeric-ids

alle Berechtigungen mit.....

gruss

[MSfree]

Dh aktuell habe eine neue VM mit Bullseye (Version 11) aufgesetzt.

Abgesehen von deinen Berechtigungsproblemen, die mit --numeric-ids behebbar sein könnten, ist seit Samstag Debian 12 (Bookworm) die offizielle stable Version. Bullseye ist also inzwischen veraltet und du solltest, wenn du sowieso gerade alles neu aufsetzt, gleich ein dist-upgrade auf Bookworm machen.

[uname]

Vielleicht magst du etwas von deinem FTP-Server inkl. Verwendung und Anzahl Benutzer schreiben. Vielleicht macht es Sinn den FTP-Server zu ersetzen. Meine Anwender haben alle gar keinen FTP-Client wie z. B. Filezilla mehr.

[TiCar]

Hi,

danke schonmal für die schnellen Antworten.
in der passwd Datei sind 64 Einträge, was ca. die Anzahl der Benutzer entspricht.

Danke für den Hinweis mit dem Dist-upgrade -> werde ich gleich mal durchführen. Der Tipp mit --numeric-ids hat übrigens geholfen

Und man darf sich nicht ins Boxhorn jagen lassen, dass man ein ls -lisa macht bevor nicht alles fertig ist, da er im Step 1 wohl erstmal alle Verzeichnisse mit "root:root" anlegen und erst im Nachgang dann die Berechtigungen überträgt, wenn er ein Verzeichnis komplett fertig übertragen hat. (macht aber ja auch Sinn das vorgehen)

Gruß,
Lars

[KP97]

wieviele FTP-Benutzerinnen sind es denn?

Ach was wäre das schön, wenn man dieses schwachsinnige Gendern nicht auch noch hier im Forum lesen müßte...

[TiCar]

Hi,

FTP-Server läuft, dist-upgrade ist gemacht *freu*

Habe von extern aber ein Problem, dass ich keine Verbindung auf den neuen FTP-Server bekomme.

Code: Alles auswählen

2023-06-13 08:17:02 1768 1 Status: Auflösen der IP-Adresse für ftp.***********.de
2023-06-13 08:17:02 1768 1 Status: Verbinde mit 37.***.***.***:21...
2023-06-13 08:17:02 1768 1 Status: Verbindung hergestellt, warte auf Willkommensnachricht...
2023-06-13 08:17:04 1768 1 Antwort: 220 ProFTPD Server (Debian) [::ffff:192.168.1.10]
2023-06-13 08:17:04 1768 1 Befehl: AUTH TLS
2023-06-13 08:17:04 1768 1 Antwort: 234 AUTH TLS successful
2023-06-13 08:17:04 1768 1 Status: Initialisiere TLS...
2023-06-13 08:17:04 1768 1 Status: TLS-Verbindung hergestellt.
2023-06-13 08:17:04 1768 1 Befehl: USER test
2023-06-13 08:17:04 1768 1 Antwort: 331 Password required for test
2023-06-13 08:17:04 1768 1 Befehl: PASS ********
2023-06-13 08:17:04 1768 1 Antwort: 230 User test logged in
2023-06-13 08:17:04 1768 1 Befehl: SYST
2023-06-13 08:17:04 1768 1 Antwort: 215 UNIX Type: L8
2023-06-13 08:17:04 1768 1 Befehl: FEAT
2023-06-13 08:17:04 1768 1 Antwort: 211-Features:
2023-06-13 08:17:04 1768 1 Antwort:  AUTH TLS
2023-06-13 08:17:04 1768 1 Antwort:  CCC
2023-06-13 08:17:04 1768 1 Antwort:  CLNT
2023-06-13 08:17:04 1768 1 Antwort:  EPRT
2023-06-13 08:17:04 1768 1 Antwort:  EPSV
2023-06-13 08:17:04 1768 1 Antwort:  HOST
2023-06-13 08:17:04 1768 1 Antwort:  LANG de-DE.UTF-8*
2023-06-13 08:17:04 1768 1 Antwort:  MDTM
2023-06-13 08:17:04 1768 1 Antwort:  MFF modify;UNIX.group;UNIX.mode;
2023-06-13 08:17:04 1768 1 Antwort:  MFMT
2023-06-13 08:17:04 1768 1 Antwort:  MLST modify*;perm*;size*;type*;unique*;UNIX.group*;UNIX.groupname*;UNIX.mode*;UNIX.owner*;UNIX.ownername*;
2023-06-13 08:17:04 1768 1 Antwort:  PBSZ
2023-06-13 08:17:04 1768 1 Antwort:  PROT
2023-06-13 08:17:04 1768 1 Antwort:  RANG STREAM
2023-06-13 08:17:04 1768 1 Antwort:  REST STREAM
2023-06-13 08:17:04 1768 1 Antwort:  SITE COPY
2023-06-13 08:17:04 1768 1 Antwort:  SITE MKDIR
2023-06-13 08:17:04 1768 1 Antwort:  SITE RMDIR
2023-06-13 08:17:04 1768 1 Antwort:  SITE SYMLINK
2023-06-13 08:17:04 1768 1 Antwort:  SITE UTIME
2023-06-13 08:17:04 1768 1 Antwort:  SIZE
2023-06-13 08:17:04 1768 1 Antwort:  SSCN
2023-06-13 08:17:04 1768 1 Antwort:  TVFS
2023-06-13 08:17:04 1768 1 Antwort:  UTF8
2023-06-13 08:17:04 1768 1 Antwort: 211 End
2023-06-13 08:17:04 1768 1 Befehl: CLNT FileZilla
2023-06-13 08:17:04 1768 1 Antwort: 200 OK
2023-06-13 08:17:04 1768 1 Befehl: OPTS UTF8 ON
2023-06-13 08:17:04 1768 1 Antwort: 200 UTF8 set to on
2023-06-13 08:17:04 1768 1 Befehl: PBSZ 0
2023-06-13 08:17:04 1768 1 Antwort: 200 PBSZ 0 successful
2023-06-13 08:17:04 1768 1 Befehl: PROT P
2023-06-13 08:17:04 1768 1 Antwort: 200 Protection set to Private
2023-06-13 08:17:04 1768 1 Status: Angemeldet
2023-06-13 08:17:04 1768 1 Status: Empfange Verzeichnisinhalt...
2023-06-13 08:17:04 1768 1 Befehl: PWD
2023-06-13 08:17:04 1768 1 Antwort: 257 "/" is the current directory
2023-06-13 08:17:04 1768 1 Befehl: TYPE I
2023-06-13 08:17:04 1768 1 Antwort: 200 Type set to I
2023-06-13 08:17:04 1768 1 Befehl: PASV
2023-06-13 08:17:04 1768 1 Antwort: 227 Entering Passive Mode (192,168,1,10,251,51).
2023-06-13 08:17:04 1768 1 Status: Vom Server gesendete Adresse für den Passiv-Modus ist nicht routingfähig. Benutze stattdessen die Serveradresse.
2023-06-13 08:17:04 1768 1 Befehl: MLSD
2023-06-13 08:17:24 1768 1 Fehler: Zeitüberschreitung der Verbindung nach 20 Sekunden Inaktivität
2023-06-13 08:17:24 1768 1 Fehler: Verzeichnisinhalt konnte nicht empfangen werden
2023-06-13 08:17:24 1768 1 Status: Verbindung zum Server getrennt

Am Router (Port 21 Forward auf die interne IP Port 21) kann es ja nicht liegen, da es mit dem alten FTP-Server klappt (habe beide auf die gleiche IP eingestellt und boote entweder alten oder neuen FTP-Server).

Intern klappt die kommunikation schnell und problemlos.

Könnte das an der Firewall des Debian liegen, aber wieso klappt es dann intern und nach extern nicht?

[cosinus]

Am Router (Port 21 Forward auf die interne IP Port 21) kann es ja nicht liegen, da es mit dem alten FTP-Server klappt (habe beide auf die gleiche IP eingestellt und boote entweder alten oder neuen FTP-Server).

Intern klappt die kommunikation schnell und problemlos.

Könnte das an der Firewall des Debian liegen, aber wieso klappt es dann intern und nach extern nicht?

FTP braucht nicht nur Port 21 sondern einige andere: 20 und die PASV-Ports. Das macht hinter einem NAT-Router sehr oft Probleme.
Diesen gehst du aus dem Weg wenn du statt FTP oder FTPS sowas wie SFTP nutzt. SFTP ist Dateiübertragung per SSH und braucht dann nur einen Port.
Oder du umgehst das NAT indem du den Server von außen über IPv6 ansprichst. Aber leider hat anno 2023 auch noch nicht jeder externes IPv6 und wenn doch kann man bei einfach DSL-Routern oft keine Firewallregeln dafür defininieren.

[uname]

@TiCar
Auf dem alten Server hat es doch funktioniert? Schau mal, wie es dort vor allen bzgl. des Ports 20 eingerichtet ist (siehe Post von @cosinus).
Vielleicht wäre es auch sinnvoll erst mal IPv6 zu deaktivieren, um dadurch beeinflusste Fehler auszuschlißen.

Wenn deine Kunden von Firmen kommen, die wiederum z. B. Proxy-Systeme verwenden (müssen), so können diese unter Umständen sowieso nur per IPv4 zugreifen.

Schon interessant, dass du noch FTP nutzt und deine Kunde das auch noch verwenden wollen oder müssen.
Kann man Kunden in 2023 noch FTP-Clients wie Filezilla zumuten? Oder womit greift man heutzutage per FTP zu?
Magst du mehr darüber berichten. Würde mich wirklich interessieren.

[cosinus]

Kann man Kunden in 2023 noch FTP-Clients wie Filezilla zumuten? Oder womit greift man heutzutage per FTP zu?

Verinezelt wird hier bei uns auch noch FileZilla genutzt. Aber dann für irgendwelche Externe und denen die Konfig zu erklären ist manchmal schon extrem zeitaufwändig.
Jedenfalls was die PASV-Ports angeht: die muss man ebenfalls wie Port 20 und 21 freischalten und am besten auch sauber im FTP-Server definieren, damit da nicht irgendwelche random Ports genutzt werden.

Wie gesagt ich kann nur von FTP abraten und würde Dateiübertragung per SFTP empfehlen.Das macht hinter NAT viel weniger Probleme ist verschlüsselt ist auch.