vsftpd bricht nach Einloggen ab

[Plenz]

Ich habe auf meinem Bullseye-Server vsftpd installiert nach den Anleitungen https://www.howtoforge.com/how-to-insta ... debian-11/ und https://www.liquidweb.com/kb/configure-vsftpd-ssl/
Als lokalen Client benutze ich den TotalCommander.
Ganz kurz blitzt dieses Bild auf (ich konnte es nur mit einer Videokamera festhalten:

Dort ist von TLSv1.2 die Rede.
Wenn ich in vsftpd.conf die Zeile "ssl_tlsv1_2=YES" einfüge, lässt sich vsftpd nicht starten: Status Active=failed, status=2/INVALIDARGUMENT
Nur mit "ssl_tlsv1=YES" lässt sich vsftpd starten. Aber der Verbindungsversuch bricht ab. Kurioserweise steht im vsftpd.log jedoch "OK LOGIN".
In auth.log steht allerdings überhaupt nichts von diesem Versuch. Ist das nicht widersinnig?
An welcher Stelle könnte es noch haken?

PS.: In der ersten Quelle ist mir aufgefallen, dass unter cert_file und pricate_key_file zweimal die selbe .pem-Datei eingetragen ist, kann das überhaupt stimmen? Ich habe mich mit dem Zertifikat deshalb nach der zweiten Quelle gerichtet.

[blunix]

Ich hatte früher viel mit vsftpd zu tun, kann aber anhand deiner Infos erstmal nicht erkennen, woran das liegen könnte.

Wenn Du nur Ordner auf deine Workstation mounten willst, würde ich dir SSHFS empfehlen. Gibt es einen Grund, warum Du FTP verwendest? Ich finde FTP ein bisschen outdated.

[Plenz]

Ich möchte ganz einfach Dateien bzw. ganze Verzeichnisse zwischen meinem PC und meiner Homepage auf einem Mietserver hin und her kopieren. Gibt es dafür etwas besseres als FTP?

[MSfree]

Gibt es dafür etwas besseres als FTP?

Ja. SCP, also secure copy und alle Derivate, wie z.B. sshfs.

[debilian]

ftp wurde eigentlich von sftp (ftps) abgelöst....

[blunix]

Nimm SSHFS oder rsync.

```
sshfs user@example.de:/var/www/www.example.com ~/lokaler-mount-ordner
cp -r diverses ~/lokaler-mount-ordner/
```

Ist viel einfacher. Mach Dir noch ssh key authentication (frag wenn Du nicht weisst wie das geht), dann sparst Du dir auch das Passwort jedesmal.

Für ganz faule kannst Du sshfs auch in die /etc/fstab deiner Workstation schreiben.

[Plenz]

Das Passwort war nie ein Problem, das ist im TotalCommander gespeichert.

Für den TotalCommander gibt es ein Plugin namens SFTP, das erlaubt den Zugriff auf Server via sicheres FTP (FTP via SSH). Benötigt SSH2 auf dem Server. Unterstützt nun auch SSH+SCP ohne SFTP!

Würde das mit SSHFS zusammenarbeiten?

[Livingston]

sshfs wird in ein Verzeichnis auf Deinem Arbeitsrechner gemountet:

Code: Alles auswählen

sshfs server:/Verzeichnis/auf/dem/Server /lokales/Verzeichnis

oder

Code: Alles auswählen

sshfs user@server:/Verzeichnis/auf/dem/Server /lokales/Verzeichnis

Danach kannst Du es mit mc auf Deinem eigenen Rechner erreichen.

[Plenz]

Sorry, bei mir zu Hause läuft Windows10. Aber wenn ich die Sache richtig verstanden habe, muss ich auf meinem Mietserver und auf meinem PC die passende Software installieren, und dann wird ein Verzeichnis meines Servers so verfügbar gemacht, als ob es ein lokales Laufwerk wäre, und dann ist es auch egal, mit welchem Dateimanager ich darauf zugreife. Stimmt das so?

[Livingston]

Von Windows hab ich mich schon vor Jahren verabschiedet.
Mit etwas -Suche stolpert man für Windows 10 über sshfs-win. Kannst es ja mal damit versuchen.

[MSfree]

Sorry, bei mir zu Hause läuft Windows10.

Dann würde ich WinSCP emfpehlen.

[Plenz]

Von Windows hab ich mich schon vor Jahren verabschiedet.

Schön für dich. Mein Webserver läuft unter Debian, auf dem Notebook meiner Frau habe ich Mint installiert, und bei mir läuft Windows. Aus Gründen.

Mit etwas -Suche stolpert man für Windows 10 über sshfs-win. Kannst es ja mal damit versuchen.

Habe ich, aber bisher erfolglos. Vermutlich weil auf dem Webserver etwas fehlt oder nicht korrekt konfiguriert ist.
Beim Googeln finde ich immer nur Anleitungen, wie man sshfs auf dem lokalen Debian-Computer installiert.
Was muss ich auf dem Webserver installieren, um über sshfs auf ihn zugreifen zu können?

[MSfree]

Was muss ich auf dem Webserver installieren, um über sshfs auf ihn zugreifen zu können?

Nichts.

Es reicht, wenn du den Server über SSH kontaktieren kannst. sshfs und scp werden über eine SSH-Verbindung getunnelt und sind Bestandteil von SSH.

[Plenz]

Es reicht, wenn du den Server über SSH kontaktieren kannst. sshfs und scp werden über eine SSH-Verbindung getunnelt und sind Bestandteil von SSH.

Ah, danke für diesen Hinweis! Für die SSH-Verbindung per Konsole muss ich nämlich den Port 2202 benutzen. Damit klappt es, nachdem ich herausgefunden hatte, dass der Syntax nicht IP:PORT lautet, sondern IP!PORT.

[Plenz]

Zu früh gefreut. Verbindung aufbauen klappt, aber damit komme ich nur in das home-Verzeichnis des jeweiligen Users.
Was muss ich tun, um z.B. in /var/www/html zu kommen?
Über einen symbolischen Link im home-Verzeichnis klappt es leider nicht.

PS.: OK, ich könnte natürlich alle Dateien erst mal ins home-Verzeichnis laden und dann per Konsole an den gewünschten Ort verschieben, aber so bequem wie mit FTP ist das nicht.

[MSfree]

Zu früh gefreut.

Meine Glaskugel ist gerade zur Inspektion und ich kann leider nicht sehen, was du da gerade für ein Programm und mi welchen Parametern aufgerufen hast.

[Plenz]

Zu früh gefreut.

Meine Glaskugel ist gerade zur Inspektion und ich kann leider nicht sehen, was du da gerade für ein Programm und mi welchen Parametern aufgerufen hast.

Die Frage ist erst mal, ob das überhaupt möglich ist. Vermutlich ist es wegen der Sicherheit gar nicht gestattet, auf Verzeichnisse zuzugreifen, die nicht unter /home/user liegen.

[MSfree]

Die Frage ist erst mal, ob das überhaupt möglich ist.

Ja, es ist möglich, man muß aber das richtige Programm mit den richtigen Parametern aufrufen.

Welches Programm hast du benutzt?

[Plenz]

Die Frage ist erst mal, ob das überhaupt möglich ist.

Ja, es ist möglich, man muß aber das richtige Programm mit den richtigen Parametern aufrufen.

Welches Programm hast du benutzt?

Ich verstehe die Frage nicht. Es ist immer der selbe Syntax, egal mit welchem Programm ich das Netzlaufwerk verbinde:
\\sshfs\USERNAME@MEINE_IP!2202
Das verbundene Netzlaufwerk hat dann den Buchstaben Y:, egal mit welchem Programm ich darauf zugreife.

[michaa7]

Installiere dir filezilla.

Das ist in den offiziellen Debian Repos. Zudem gibt es das auch für Windows (OS, kostenlos). Ob das dann klappt hängt aber von der ssh variante des Servers ab. (FZ unterstützt sftp, nicht scp).

Alternativ:

"man sshfs"
Ich hab es nur überflogen. Aber mit welchen Rechten man per sshfs unterwegs ist hängt eben davon ab welche Parameter man setzt, nicht zuletzt von den Rechten des mountpoints. Trivial ist das nicht ...

[MSfree]

Das ist in den offiziellen Debian Repos. Zudem gibt es das auch für Windows (OS, kostenlos). Ob das dann klappt hängt aber von der ssh variante des Servers ab. (FZ unterstützt sftp, nicht scp).

Filezilla für Windows ist sehr oft mit Schadsoftware verseucht. Und da es kein SCP kann, ist es sowieso nutzlos für diesen Zweck-

[michaa7]

..
Filezilla für Windows ist sehr oft mit Schadsoftware verseucht.

Wieso sollte das original von https://filezilla-project.org verseucht sein?

Und da es kein SCP kann, ist es sowieso nutzlos für diesen Zweck-

sshfs nutzt doch auch nur sftp, kein scp.

[Plenz]

"man sshfs"
Ich hab es nur überflogen. Aber mit welchen Rechten man per sshfs unterwegs ist hängt eben davon ab welche Parameter man setzt, nicht zuletzt von den Rechten des mountpoints. Trivial ist das nicht ...

Generell denke ich, dass es nicht angehen kann, wenn Benutzer A einfach durch ".." in das home-Verzeichnis von Benutzer B spazieren könnte.
Ich habe aber auch versuchsweise mal eine Verbindung als root eingerichtet. Das Laufwerk Y: ist jetzt tatsächlich das Verzeichnis /root.
Dann auf der Konsole eingeloggt und einen Symlink nach /var/www/html eingerichtet. Der Symlink funktioniert auf der Konsole.
Nun wieder in den Dateimanager und Laufwerk Y: angeklickt. Der Symlink ist zu sehen, aber wenn ich darauf doppelklicke, kommt "dieser Speicherort ist nicht verfügbar".

Es kann ja durchaus sein, dass man mit irgendwelchen Parametern und Rechten Zugriffe auf beliebige Verzeichnisse erlauben kann, aber ich befürchte, dass ich damit das Sicherheitskonzept von Linux aufweichen könnte.

[michaa7]

Was heißt Sicherheitskonzept von linux aufweichen? Da das beides *deine* Dateien sind gibt es da nichts aufzuweichen. Bedenklicher ist da schon de root-login.

Lies wirklich mal "man sshfs" durch und versuche das zu verstehen bevor du aufs grade Wohl hin Annahmen machst und blind experimentierst. Nein, ich bin mit sshfs keine hilfe und habe man sshfs nicht durchblickt.

Code: Alles auswählen

       By default, file permissions are ignored by SSHFS. Any user that can ac‐
       cess the filesystem will be able to perform any operation that  the  re‐
       mote server permits - based on the credentials that were used to connect
       to  the  server.  If this is undesired, local permission checking can be
       enabled with -o default_permissions.

Offen gestanden, ich verstehe nicht welche Auswirkungen im Detail das hat, aber mir scheint das *und einiges mehr* ist was *du* durchkauen müßtest bis du es verstehst.

[Plenz]

Keine Sorge, die root-Verbindung habe ich nach wenigen Minuten wieder gelöscht. Ich experimentiere auch nicht blind herum. Ich lasse es einfach, wie es jetzt ist, das ist gut genug.