VSFTPD übermittelt keinen Verzeichnisinhalt

[lagerschaden]

Server mit Debian 12
Problem: VSFTPD übermittelt keinen Verzeichnisinhalt und antwortet nicht mehr, Upload/Download nicht möglich.

Code: Alles auswählen

Protokoll Filezilla:

Status:	Verbinde mit xxxxx
Status:	Verbindung hergestellt, warte auf Willkommensnachricht...
Status:	Initialisiere TLS...
Status:	TLS-Verbindung hergestellt.
Status:	Angemeldet
Status:	Empfange Verzeichnisinhalt für "/home/xc"...
Befehl:	CWD /home/xc
Antwort:	250 Directory successfully changed.
Befehl:	TYPE I
Antwort:	200 Switching to Binary mode.
Befehl:	PASV
Antwort:	227 Entering Passive Mode (xxxxx).
Befehl:	LIST
Fehler:	Zeitüberschreitung der Verbindung nach 20 Sekunden Inaktivität
Fehler:	Verzeichnisinhalt konnte nicht empfangen werden

Interessanterweise funktioniert exakt die gleiche Konfiguration von VSFTPD auf einem Server mit Ubuntu 22.04 problemlos

Code: Alles auswählen

meine /etc/vsftpd.conf

# Example config file /etc/vsftpd.conf
#
# The default compiled in settings are fairly paranoid. This sample file
# loosens things up a bit, to make the ftp daemon more usable.
# Please see vsftpd.conf.5 for all compiled in defaults.
#
# READ THIS: This example file is NOT an exhaustive list of vsftpd options.
# Please read the vsftpd.conf.5 manual page to get a full idea of vsftpd's
# capabilities.
#
#
# Run standalone?  vsftpd can run either from an inetd or as a standalone
# daemon started from an initscript.
listen=NO
#
# This directive enables listening on IPv6 sockets. By default, listening
# on the IPv6 "any" address (::) will accept connections from both IPv6
# and IPv4 clients. It is not necessary to listen on *both* IPv4 and IPv6
# sockets. If you want that (perhaps because you want to listen on specific
# addresses) then you must run two copies of vsftpd with two configuration
# files.
listen_ipv6=YES
#
# Allow anonymous FTP? (Disabled by default).
anonymous_enable=NO
#
# Uncomment this to allow local users to log in.
local_enable=YES
#
# Uncomment this to enable any form of FTP write command.
write_enable=YES
#
# Default umask for local users is 077. You may wish to change this to 022,
# if your users expect that (022 is used by most other ftpd's)
#local_umask=022
#
# Uncomment this to allow the anonymous FTP user to upload files. This only
# has an effect if the above global write enable is activated. Also, you will
# obviously need to create a directory writable by the FTP user.
#anon_upload_enable=YES
#
# Uncomment this if you want the anonymous FTP user to be able to create
# new directories.
#anon_mkdir_write_enable=YES
#
# Activate directory messages - messages given to remote users when they
# go into a certain directory.
dirmessage_enable=YES
#
# If enabled, vsftpd will display directory listings with the time
# in  your  local  time  zone.  The default is to display GMT. The
# times returned by the MDTM FTP command are also affected by this
# option.
use_localtime=YES
#
# Activate logging of uploads/downloads.
xferlog_enable=YES
#
# Make sure PORT transfer connections originate from port 20 (ftp-data).
connect_from_port_20=YES
#
# If you want, you can arrange for uploaded anonymous files to be owned by
# a different user. Note! Using "root" for uploaded files is not
# recommended!
#chown_uploads=YES
#chown_username=whoever
#
# You may override where the log file goes if you like. The default is shown
# below.
#xferlog_file=/var/log/vsftpd.log
#
# If you want, you can have your log file in standard ftpd xferlog format.
# Note that the default log file location is /var/log/xferlog in this case.
#xferlog_std_format=YES
#
# You may change the default value for timing out an idle session.
#idle_session_timeout=600
#
# You may change the default value for timing out a data connection.
#data_connection_timeout=120
#
# It is recommended that you define on your system a unique user which the
# ftp server can use as a totally isolated and unprivileged user.
#nopriv_user=ftpsecure
#
# Enable this and the server will recognise asynchronous ABOR requests. Not
# recommended for security (the code is non-trivial). Not enabling it,
# however, may confuse older FTP clients.
#async_abor_enable=YES
#
# By default the server will pretend to allow ASCII mode but in fact ignore
# the request. Turn on the below options to have the server actually do ASCII
# mangling on files when in ASCII mode.
# Beware that on some FTP servers, ASCII support allows a denial of service
# attack (DoS) via the command "SIZE /big/file" in ASCII mode. vsftpd
# predicted this attack and has always been safe, reporting the size of the
# raw file.
# ASCII mangling is a horrible feature of the protocol.
#ascii_upload_enable=YES
#ascii_download_enable=YES
#
# You may fully customise the login banner string:
#ftpd_banner=Welcome to blah FTP service.
#
# You may specify a file of disallowed anonymous e-mail addresses. Apparently
# useful for combatting certain DoS attacks.
#deny_email_enable=YES
# (default follows)
#banned_email_file=/etc/vsftpd.banned_emails
#
# You may restrict local users to their home directories.  See the FAQ for
# the possible risks in this before using chroot_local_user or
# chroot_list_enable below.
#chroot_local_user=YES
#
# You may specify an explicit list of local users to chroot() to their home
# directory. If chroot_local_user is YES, then this list becomes a list of
# users to NOT chroot().
# (Warning! chroot'ing can be very dangerous. If using chroot, make sure that
# the user does not have write access to the top level directory within the
# chroot)
#chroot_local_user=YES
#chroot_list_enable=YES
# (default follows)
#chroot_list_file=/etc/vsftpd.chroot_list
#
# You may activate the "-R" option to the builtin ls. This is disabled by
# default to avoid remote users being able to cause excessive I/O on large
# sites. However, some broken FTP clients such as "ncftp" and "mirror" assume
# the presence of the "-R" option, so there is a strong case for enabling it.
#ls_recurse_enable=YES
#
# Customization
#
# Some of vsftpd's settings don't fit the filesystem layout by
# default.
#
# This option should be the name of a directory which is empty.  Also, the
# directory should not be writable by the ftp user. This directory is used
# as a secure chroot() jail at times vsftpd does not require filesystem
# access.
secure_chroot_dir=/var/run/vsftpd/empty
#
# This string is the name of the PAM service vsftpd will use.
pam_service_name=vsftpd
#
# This option specifies the location of the RSA certificate to use for SSL
# encrypted connections.
rsa_cert_file=/etc/ssl/private/vsftpd.pem
rsa_private_key_file=/etc/ssl/private/vsftpd.key
ssl_enable=YES
ssl_sslv2=YES
#
# Uncomment this to indicate that vsftpd use a utf8 filesystem.
utf8_filesystem=YES

force_local_data_ssl=yes
force_local_logins_ssl=yes
local_root=/var/www/html
userlist_deny=NO
userlist_enable=YES
userlist_file=/etc/vsftpd.user_list

Alternativen wie SFTP oder SSHFS kommen leider nicht infrage, da auch andere Clients als ich zugreifen sollen.

[cosinus]

Alternativen wie SFTP oder SSHFS kommen leider nicht infrage, da auch andere Clients als ich zugreifen sollen.

Und was für andere Clients wären das? Irgendwelche Uraltrechner, die schon längst hätten abgelöst werden müssen?
Falls es um Windows geht: mit FileZilla kann man wunderbar auch SFTP machen...

[lagerschaden]

Alternativen wie SFTP oder SSHFS kommen leider nicht infrage, da auch andere Clients als ich zugreifen sollen.

Und was für andere Clients wären das? Irgendwelche Uraltrechner, die schon längst hätten abgelöst werden müssen?
Falls es um Windows geht: mit FileZilla kann man wunderbar auch SFTP machen...

Diese Antwort ist nicht zielführend, da sie meine Frage nicht beantwortet. Es ist so vorgegeben. FTP-Zugang ist motwendig.

Ich habe nochmal das ausführliche Login-Log geholt:

Code: Alles auswählen

Status:	Auflösen der IP-Adresse für xxxxx
Status:	Verbinde mit xxxxx:21...
Status:	Verbindung hergestellt, warte auf Willkommensnachricht...
Antwort:	220 (vsFTPd 3.0.3)
Befehl:	AUTH TLS
Antwort:	234 Proceed with negotiation.
Status:	Initialisiere TLS...
Trace:	TLS Handshake successful
Trace:	Protocol: TLS1.3, Key exchange: ECDHE-SECP256R1-RSA-PSS-RSAE-SHA384, Cipher: AES-256-GCM, MAC: AEAD, ALPN: 
Status:	TLS-Verbindung hergestellt.
Befehl:	USER xxx
Antwort:	331 Please specify the password.
Befehl:	PASS ****
Antwort:	230 Login successful.
Befehl:	OPTS UTF8 ON
Antwort:	200 Always in UTF8 mode.
Befehl:	PBSZ 0
Antwort:	200 PBSZ set to 0.
Befehl:	PROT P
Antwort:	200 PROT now Private.
Status:	Angemeldet
Trace:	Measured latency of 50 ms
Status:	Empfange Verzeichnisinhalt für "/var/www"...
Befehl:	CWD /var/www
Antwort:	250 Directory successfully changed.
Befehl:	TYPE I
Antwort:	200 Switching to Binary mode.
Befehl:	PASV
Antwort:	227 Entering Passive Mode (xxxxx).
Trace:	Binding data connection source IP to control connection source IP 192.168.3.31
Trace:	Trying to resume existing TLS session.
Befehl:	LIST

Es liegt also nicht an den Login-Daten, TLS ist auch ok

[cosinus]

Diese Antwort ist nicht zielführend, da sie meine Frage nicht beantwortet. Es ist so vorgegeben. Punkt.

Gut wenn du Informationen zurückhälst bin ich hier raus. Auch Punkt.
So manch andere Forenteilnehmer hier mögen das Zurückhalten von Infos ebenfalls nicht.

[lagerschaden]

}
Gut wenn du Informationen zurückhälst bin ich hier raus. Auch Punkt.
So manch andere Forenteilnehmer hier mögen das Zurückhalten von Infos ebenfalls nicht.

Bist wohl eine beleidigte Leberwurst, spricht nicht gerade für Dich. Auf Deine nicht-Hilfe kann ich gerne verzichten, macht den Thread übersichtlicher.
Ich halte keine relevante Information zurück, da es hier nicht um die Clients geht, sondern um den Server unter Debian.

vsftpd hat unter Ubuntu einige Jahre mit exakt den gleichen Einstellungen funktioniert.
Ich habe jetzt extra noch einen weiteren Server unter Ubuntu 22.04 neu aufgesetzt: geht.
Und einen weiteren Server unter Debian 12: geht nicht.

Dann mus ich halt weiter mit Ubuntu arbeiten, schade.

[cosinus]

Bist wohl eine beleidigte Leberwurst, spricht nicht gerade für Dich.

Wenn du im Forum fragst ist das üblich, dass auch andere Lösungsvorschläge kommen. Aber daran bist du nicht interessiert und hälst Informationen zurück um nicht Gefahr zu laufen, die viel schlechteren Argumente zu bringen. Spricht auch nicht gerade für dich.

Und beleidigt bin ich nicht, ist ja auch nicht mein Problem sondern deins, du musst dich mit dem besch...eidenen FTP herumquälen, nicht ich

Ich halte keine relevante Information zurück, da es hier nicht um die Clients geht, sondern um den Server unter Debian.

Natürlich tust du das. Ich hab dich gefragt um was es geht. Deine Reaktion: "Diese Antwort ist nicht zielführend, da sie meine Frage nicht beantwortet. Es ist so vorgegeben. Punkt."

[lagerschaden]

Es mag für Dich und mich ein leichtes sein, einen Publickey zu produzieren und zu installieren, für mindestens 2/3 der Nutzer des Servers ist das eine unlösbare Aufgabe. 2023 habe ich versucht auf Nextcloud umzustellen, die Kooperationsquote lag unter 20%. Vorerst bleibe ich mal bei Ubuntu 22.04, das wird ja noch bis 2027 versorgt und man kann snap verhindern

[cosinus]

Ich weiß nicht wo dein Problem liegt. Wenn du als IT vorgibst, den Login per Passwort zu verbieten, dann ist das auch die Aufgabe der IT, also deine Aufgabe, eine entsprechende Anleitung zu schreiben, wie man sich dann per Key ohne Passwort einloggt. Und obendrein müsstest du die publickeys der User ja in den Server pflegen weil sie nicht per Passwort reinkommen. Oder man erlaubt den SSH-Login per Passwort. Machst du doch mit vsftpd doch auch nicht anders oder doch?

die Kooperationsquote lag unter 20%

Das ist aber kein technisches Problem und der einfach User weiß eh nicht was die Unterschiede zwischen SSH, FTP und HTTPS sind. Das kann denen auch egal sein, aber als Admin trägst du die Verantwortung für die gesicherte Verbindung.

[lagerschaden]

Das Problem ist, dass der Verein der den Server betreibt auf seine Mitglieder als Datenlieferanten angewiesen ist und nicht umgekehrt.
Die machen das alle für den Verein und sind mit Keys und Zertifikaten überfordert bzw wollen nichts ändern.

Diese ganze Diskussion um eine Umgehung des FTP-Problems war m.E. völlig unnötig.
Ich werde jetzt noch mal proftpd probieren und wenn das auch schief geht, bleibe ich bei Ubuntu.
(P.S. im dortigen Forum ubuntuusers.de hätte es eine solche Diskussion nicht gegeben).
Ciao!

[cosinus]

Das Problem ist, dass der Verein der den Server betreibt auf seine Mitglieder als Datenlieferanten angewiesen ist und nicht umgekehrt.
Die machen das alle für den Verein und sind mit Keys und Zertifikaten überfordert bzw wollen nichts ändern.

Ich versteh immer noch nicht wo das Problem ist. Wenn die kein Login mit Pubkey wollen, dann möchtest du SSH so konfigurieren, dass sie sich per User/Passwort anmelden. Ist sowieso Standard (nur rootlogin ist nur per Key möglich, kann man alles umstellen wenn man will). Und mit User/Passwort meldet man sich bei bei FTP oder Nextcloud doch auch an. Was soll also das Herumgereite auf die SSH-Keys?

Diese ganze Diskussion um eine Umgehung des FTP-Problems war m.E. völlig unnötig.

Nein. Unnötig ist deine Problemherbeirederei bzgl. der SSH-Keys. Wenn die User sich mit User/Passwort anmelden ist denen völlig latte ob das über SSH, FTP(S) oder HTTPS geht. Die sehen das Protokoll nicht und merken keine Unterschiede.

(P.S. im dortigen Forum ubuntuusers.de hätte es eine solche Diskussion nicht gegeben).

Wahrscheinlich hätte man in diesem Superforum wohl auch nicht auf die Probleme im Uraltprotokoll FTP hingewiesen? FTP ist Dinosaurier, rate mal warum Firefox den integrierten FTP-Client schon vor Jahren rausschmiss.

[heisenberg]

Firewall-Problem?

Das sieht mir nach einem Firewallproblem aus. FTP im aktiven Modus kann man grundsätzlich vergessen, sobald der Client hinter NAT sitzt, d. h. nicht im eigenen LAN. Deswegen verwendest Du vermutlich auch den passiven Modus.

Beim passiven FTP-Modus baut der Client zuerst die Datenverbindung Server auf und der Server antwortet dann auf diese jetzt schon aufgebaute Verbindung.

Firewalltechnisch erfordert das, dass die Clients zum FTP-Server im Bereich des passiven Port Bereiches des Servers durchgelassen werden. Das muss bei Deiner Firewall entweder am FTP-Serverhost oder vor dem FTP-Serverhost noch freigeschaltet werden.

Per Vorgabe verwendet vsftpd einen beliebigen hohen Port (1024-65535). Ich würde das einschränken. Das geht mit den Konfigurationsoptionen von vsftpd:

Code: Alles auswählen

pasv_min_port=50000
pasv_max_port=50999 

In obigem Fall wären also 1000 gleichzeitige Datenverbindungen möglich. Dieser Bereich von Zielports bei neuen Verbindungen der Clients muss an der Firewall in Richtung FTP-Server freigeschaltet werden. Ich würde den Bereich großzügig dimensionieren. Ich meine, manche Clients verwenden schon auch gerne mal mehrere Datenkanäle für parallelen Download.

Hier auch nochmal eine Erklärung von Chat-GPT wie der Passive Modus funktioniert:

https://chatgpt.com/share/66f4079a-6fc4 ... 4396d09afd

WebDAV

Wesentlich firewallfreundlicher ist da z. B. WebDAV. Das geht über http / https. Wenn man irgendwie Internet hat, dann geht das üblicherweise auf jeden Fall - sogar über einen Proxy. Dazu braucht es dann z. B. nur einen Apache Webserver und noch ein Zertifikat, wenn man verschlüsselte Verbindungen haben möchte. Auf der Clientseite geht das unter Windows per "Netzlaufwerk verbinden" auch direkt ins Internet und natürlich gibt es dafür eine Vielzahl von Clientprogrammen (z. B. Cyberduck (=Open Source)).

Sonstige Anmerkungen

• Wenn man merkt, dass das eine Diskussion mit jemandem nicht hilfreich ist: Diskussion mit dieser Person nicht fortführen und warten bis andere Personen sich beteilligen. Oder Alternativ auf ein unerwünschtes Nebenthema nicht weiter eingehen.
• Konfigurationsdateien lassen sich wesentlich einfacher lesen, wenn man die Kommentare entfernt. So sähe das bei Deiner Datei aus:
  

  Code: Alles auswählen

  listen=NO
  listen_ipv6=YES
  anonymous_enable=NO
  local_enable=YES
  write_enable=YES
  dirmessage_enable=YES
  use_localtime=YES
  xferlog_enable=YES
  connect_from_port_20=YES
  secure_chroot_dir=/var/run/vsftpd/empty
  pam_service_name=vsftpd
  rsa_cert_file=/etc/ssl/private/vsftpd.pem
  rsa_private_key_file=/etc/ssl/private/vsftpd.key
  ssl_enable=YES
  ssl_sslv2=YES
  utf8_filesystem=YES
  
  force_local_data_ssl=yes
  force_local_logins_ssl=yes
  local_root=/var/www/html
  userlist_deny=NO
  userlist_enable=YES
  userlist_file=/etc/vsftpd.user_list
  

[cosinus]

Das sieht mir nach einem Firewallproblem aus.

Das müsste er aber wissen, weil unter Ubuntu ja angeblich alles bei ihm klappt.

[heisenberg]

Das sieht mir nach einem Firewallproblem aus.

Das müsste er aber wissen, weil unter Ubuntu ja angeblich alles bei ihm klappt.

Ich weiss über das Netz des TE - Stand jetzt - nicht das Geringste. Die Symptome sprechen für ein Firewallproblem. Und bevor ich - zum Beispiel - die Ausgabe von nmap -p20000 VSFTPD-Server-IP gesehen habe, die nicht filtered anzeigt, gehe ich davon aus, dass dem so ist.

Es wäre vielleicht auch nochmal hilfreich, wenn Du Deine Umgebung, in der das läuft, genauer beschreibst. Ein paar Worte zum Netz des Servers und zu den Clients.

[cosinus]

Ich auch nicht. Aber er hat ja den Ubuntu-Server eingerichtet; und dort hätte er dasselbe Problem (gehabt) wenn es ein Firewallproblem sein sollte. Eben wegen dieser PASV-Ports und active/passive rate ich von FTP ab. Mich nervt dieses Protokoll fast nur noch

[lagerschaden]

Firewall: das war's. sudo ufw allow 50000:50999/tcp
Merkwürdig nur, dass es bei Ubuntu läuft, ohne dass die Firewall so weit aufgemacht werden muss,
da ist der Port 20 offen, habe ich bei Debian aber auch gemacht. Da muss ich nochmal rumspielen

VIELEN DANK!

[heisenberg]

Firewall: das war's. sudo ufw allow 50000:50999/tcp

So wie ich das gelesen habe, hat vsftpd da keine Voreinstellung - oder vielleicht doch und sie ist nur nicht dokumentiert? Ich habe im Code nachgeschaut. vsftpd hat keine Voreinstellung bzgl. pasv_min_port und pasv_max_port. D. h. Deine Firewallregel reicht nicht aus und Du solltest auf jeden Fall pasv_min_port und pasv_max_port in Deiner vsftpd.conf setzen!

Im Übrigen sehe ich nicht, dass ufw per Vorgabe bei Debian installiert wird. Insofern müsstest Du das ja eigentlich selbst installiert haben.

[lagerschaden]

So wie ich das gelesen habe, hat vsftpd da keine Voreinstellung - oder vielleicht doch und sie ist nur nicht dokumentiert? D. h. evtl. reicht das noch nicht aus ...

Im Übrigen sehe ich nicht, dass ufw per Vorgabe bei Debian installiert wird. Insofern müsstest Du das ja eigentlich selbst installiert haben.

Natürlich habe ich ufw installiert, ist viel einfacher als iptables. Ohne Firewall mache ich doch keinen Server.
Ich bin jetzt auch etwas schlauer: der aktive/passive Modus steht bei Filezilla bei mir auf Standard=Automatik,
bei Ubuntu ging Filezilla wohl in den aktiven Mode und bei Debian in den passiven, warum auch immer.

Nochmal Tnx.

[cosinus]

Natürlich habe ich ufw installiert,

Du installierst selbst ufw nach und dann weißt du nichts von einem selbst installierten Paketfilter?

Ohne Firewall mache ich doch keinen Server.

Aber Ubuntu schon, da ist mit aktivem ufw jeder Port erlaubt?

[heisenberg]

Für die anderen, die hier noch mitlesen: Mir fehlt hier die klare Rückmeldung vom TE, was denn nun außer der Firewallregel (Freischaltung Ports 50000 - 50999 / tcp) noch konfiguriert worden ist.

Zusätzlich muss eigentlich noch das von mir Erwähnte bzgl. des Portbereiches für das passive FTP konfiguriert worden sein. Sonst hätte die Firewallregel nichts geholfen:

Code: Alles auswählen

pasv_min_port=50000
pasv_max_port=50999

@lagerschaden: Ist das korrekt?

[lagerschaden]

@lagerschaden: Ist das korrekt?

meine ufw:
Freigabe incoming für Ports 20 - 21 - ssh - 80 - 443 - 50000:50999/tcp

Ergänzung zu /etc/vsftpd.conf
pasv_enable=YES
pasv_min_port=50000
pasv_max_port=50999