Portál AbcLinuxu, 16. července 2025 07:00
/etc/vsftpd.conf:
listen=YES anonymous_enable=NO local_enable=YES write_enable=YES dirmessage_enable=YES use_localtime= xferlog_enable=YES connect_from_port_20=YES xferlog_file=/var/log/vsftpd.log xferlog_std_format=YES dual_log_enable=YES chroot_local_user=YES pam_service_name=vsftpd ssl_enable=YES allow_anon_ssl=YES force_anon_data_ssl=YES force_anon_logins_ssl=YES ssl_tlsv1=YES ssl_sslv2=YES ssl_sslv3=YES require_ssl_reuse=NO ssl_ciphers=HIGH rsa_cert_file=/etc/ssl/certs/ssl-cert-snakeoil.pem rsa_private_key_file=/etc/ssl/private/ssl-cert-snakeoil.key implicit_ssl=NO pasv_enable=yes pasv_max_port=60000 pasv_min_port=60014 pasv_address=muj.server.czFirewall mam nastaveny dobre:
modprobe ip_conntrack_ftp iptables -A INPUT -p tcp --dport 20 -j ACCEPT iptables -A INPUT -p tcp --dport 21 -j ACCEPT iptables -A INPUT -p tcp --dport 60000:60014 -j ACCEPTKlient vzdy pri pripojeni vrati chybu. WinSCP:
SSL3 alert write: fatal: protocol version Odpojeno od serveru Nepodařilo se stáhnout výpis adresáře Chyba při zjišťování obsahu adresáře '/'.FileZilla:
Stav: Zjišťování adresy muj.server.cz Stav: Připojování k 1.2.3.4:21... Stav: Připojení navázáno, čekání na uvítací zprávu... Stav: Inicializace TLS... Stav: Ověřování certifikátu... Stav: TLS connection established. Stav: Server nepodporuje znaky, které nepatří do ASCII. Stav: Připojen Stav: Načítání výpisu složky... Příkaz: PWD Odpověď: 257 "/" Příkaz: TYPE I Odpověď: 200 Switching to Binary mode. Příkaz: PASV Chyba: GnuTLS error -15: An unexpected TLS packet was received. Chyba: Odpojen od serveru: ECONNABORTED - Connection aborted Chyba: Nezdařilo se získat výpis složky Stav: Odpojen od serveru Stav: Zjišťování adresy muj.server.cz Stav: Připojování k 1.2.3.4:21... Stav: Připojení navázáno, čekání na uvítací zprávu... Stav: Inicializace TLS... Stav: Ověřování certifikátu... Stav: TLS connection established. Stav: Server nepodporuje znaky, které nepatří do ASCII. Stav: Připojen Stav: Načítání výpisu složky... Příkaz: PWD Odpověď: 257 "/" Příkaz: TYPE I Odpověď: 200 Switching to Binary mode. Příkaz: PASV Chyba: GnuTLS error -15: An unexpected TLS packet was received. Chyba: Odpojen od serveru: ECONNABORTED - Connection aborted Chyba: Nezdařilo se získat výpis složky Stav: Odpojen od serveru Stav: Zjišťování adresy muj.server.cz Stav: Připojování k 1.2.3.4:21... Stav: Připojení navázáno, čekání na uvítací zprávu... Chyba: Connection timed out after 20 seconds of inactivity Chyba: Nelze se připojit k serveru Stav: Čekání na opakování... Stav: Zjišťování adresy muj.server.cz Stav: Připojování k 1.2.3.4:21... Stav: Připojení navázáno, čekání na uvítací zprávu... Chyba: Connection timed out after 20 seconds of inactivity Chyba: Nelze se připojit k serveru Stav: Odpojen od serveru Stav: Zjišťování adresy muj.server.cz Stav: Připojování k 1.2.3.4:21... Stav: Připojení navázáno, čekání na uvítací zprávu... Stav: Inicializace TLS... Stav: Ověřování certifikátu... Stav: TLS connection established. Stav: Server nepodporuje znaky, které nepatří do ASCII. Stav: Připojen Stav: Načítání výpisu složky... Příkaz: PWD Odpověď: 257 "/" Příkaz: TYPE I Odpověď: 200 Switching to Binary mode. Příkaz: PASV Odpověď: 227 Entering Passive Mode (1,2,3,4,239,254). Příkaz: LIST Chyba: Nelze navázat datové připojení: ECONNREFUSED - Connection refused by server Chyba: GnuTLS error -15: An unexpected TLS packet was received. Chyba: Odpojen od serveru: ECONNABORTED - Connection aborted Chyba: Nezdařilo se získat výpis složky Stav: Odpojen od serveru Stav: Zjišťování adresy muj.server.cz Stav: Připojování k 1.2.3.4:21... Stav: Připojení navázáno, čekání na uvítací zprávu... Stav: Inicializace TLS... Stav: Ověřování certifikátu... Stav: TLS connection established. Stav: Server nepodporuje znaky, které nepatří do ASCII. Stav: Připojen Stav: Načítání výpisu složky... Stav: Server poslal pasivní odpověď s nedostupnou adresou. Použije se raději adresa serveru. Příkaz: LIST Chyba: Nelze navázat datové připojení: ECONNREFUSED - Connection refused by server Chyba: Výpis složky přerušen uživatelem Stav: Odpojen od serveru Stav: Zjišťování adresy muj.server.cz Stav: Připojování k 1.2.3.4:21... Stav: Připojení navázáno, čekání na uvítací zprávu... Stav: Inicializace TLS... Stav: Ověřování certifikátu... Stav: TLS connection established. Stav: Server nepodporuje znaky, které nepatří do ASCII. Stav: Připojen Stav: Načítání výpisu složky... Stav: Server poslal pasivní odpověď s nedostupnou adresou. Použije se raději adresa serveru. Příkaz: LIST Chyba: Nelze navázat datové připojení: ECONNREFUSED - Connection refused by server Chyba: Connection timed out after 20 seconds of inactivity Chyba: Nezdařilo se získat výpis složky Stav: Odpojen od serveru Stav: Zjišťování adresy muj.server.cz Stav: Připojování k 1.2.3.4:21... Stav: Připojení navázáno, čekání na uvítací zprávu... Stav: Inicializace TLS... Stav: Ověřování certifikátu... Stav: TLS connection established. Stav: Server nepodporuje znaky, které nepatří do ASCII. Stav: Připojen Stav: Načítání výpisu složky... Stav: Server poslal pasivní odpověď s nedostupnou adresou. Použije se raději adresa serveru. Příkaz: LIST Chyba: GnuTLS error -15: An unexpected TLS packet was received. Chyba: Odpojen od serveru: ECONNABORTED - Connection aborted Chyba: Nezdařilo se získat výpis složky Stav: Odpojen od serveru Stav: Zjišťování adresy muj.server.cz Stav: Připojování k 1.2.3.4:21... Stav: Připojení navázáno, čekání na uvítací zprávu... Stav: Inicializace TLS... Stav: Ověřování certifikátu... Stav: TLS connection established. Stav: Server nepodporuje znaky, které nepatří do ASCII. Stav: Připojen Stav: Načítání výpisu složky... Příkaz: PWD Odpověď: 257 "/" Příkaz: TYPE I Odpověď: 200 Switching to Binary mode. Příkaz: PASV Chyba: GnuTLS error -15: An unexpected TLS packet was received. Chyba: Odpojen od serveru: ECONNABORTED - Connection aborted Chyba: Nezdařilo se získat výpis složky Stav: Odpojen od serveru Stav: Zjišťování adresy muj.server.cz Stav: Připojování k 1.2.3.4:21... Stav: Připojení navázáno, čekání na uvítací zprávu... Stav: Inicializace TLS... Stav: Ověřování certifikátu... Stav: TLS connection established. Stav: Server nepodporuje znaky, které nepatří do ASCII. Stav: Připojen Stav: Načítání výpisu složky... Příkaz: PWD Odpověď: 257 "/" Příkaz: TYPE I Odpověď: 200 Switching to Binary mode. Příkaz: PASV Chyba: GnuTLS error -15: An unexpected TLS packet was received. Chyba: Odpojen od serveru: ECONNABORTED - Connection aborted Chyba: Nezdařilo se získat výpis složky Stav: Odpojen od serveru Stav: Zjišťování adresy muj.server.cz Stav: Připojování k 1.2.3.4:21... Stav: Připojení navázáno, čekání na uvítací zprávu... Stav: Inicializace TLS... Stav: Ověřování certifikátu... Stav: TLS connection established. Stav: Server nepodporuje znaky, které nepatří do ASCII. Stav: Připojen Stav: Načítání výpisu složky... Příkaz: PWD Odpověď: 257 "/" Příkaz: TYPE I Odpověď: 200 Switching to Binary mode. Příkaz: PASV Chyba: GnuTLS error -15: An unexpected TLS packet was received. Chyba: Odpojen od serveru: ECONNABORTED - Connection aborted Chyba: Nezdařilo se získat výpis složky Stav: Odpojen od serveru Stav: Zjišťování adresy muj.server.cz Stav: Připojování k 1.2.3.4:21... Stav: Připojení navázáno, čekání na uvítací zprávu... Stav: Inicializace TLS... Stav: Ověřování certifikátu... Stav: TLS connection established. Stav: Server nepodporuje znaky, které nepatří do ASCII. Stav: Připojen Stav: Načítání výpisu složky... Příkaz: PWD Odpověď: 257 "/" Příkaz: TYPE I Odpověď: 200 Switching to Binary mode. Příkaz: PASV Chyba: GnuTLS error -15: An unexpected TLS packet was received. Chyba: Odpojen od serveru: ECONNABORTED - Connection aborted Chyba: Nezdařilo se získat výpis složkyPokud SSL vypnu, vse funguje spravne:
listen=YES anonymous_enable=NO local_enable=YES write_enable=YES dirmessage_enable=YES use_localtime= xferlog_enable=YES connect_from_port_20=YES xferlog_file=/var/log/vsftpd.log xferlog_std_format=YES dual_log_enable=YES chroot_local_user=YES pam_service_name=vsftpd ssl_enable=NO implicit_ssl=NO pasv_enable=yes pasv_max_port=60000 pasv_min_port=60014 pasv_address=muj.server.czTusite nekdo, co delam spatne?
Ahoj.
Porovnal som Tvoj vsftpd.conf s mojim na CentOS-e. Mne forced ssl funguje. Mám vsftpd-2.2.2-14.el6.i686.
Tu je zopár postrehov:
Skús zmeniť označené - (!?) - hodnoty, možno to pomôže.
listen=YES anonymous_enable=NO local_enable=YES write_enable=YES dirmessage_enable=YES use_localtime=YES xferlog_enable=YES connect_from_port_20=YES xferlog_file=/var/log/vsftpd.log xferlog_std_format=YES chroot_local_user=YES secure_chroot_dir=/var/run/vsftpd/empty pam_service_name=vsftpd ssl_enable=YES force_local_data_ssl=YES force_local_logins_ssl=YES ssl_tlsv1=YES ssl_sslv2=NO ssl_sslv3=NO require_ssl_reuse=YES rsa_cert_file=/etc/ssl/certs/ssl-cert-snakeoil.pem implicit_ssl=NO pasv_enable=yes pasv_max_port=60000 pasv_min_port=60014A pro zmenu to vzdy spadne na:
Stav: Připojení navázáno, čekání na uvítací zprávu... Odpověď: 220 (vsFTPd 3.0.2) Příkaz: AUTH TLS Odpověď: 530 Please login with USER and PASS. Příkaz: AUTH SSL Odpověď: 530 Please login with USER and PASS. Chyba: Critical error: Nelze se připojit k serveruMuzes sem prosim dat svuj config?
Hm, u mňa po Command: AUTH TLS nasleduje Response: 234 Proceed with negotiation.
Navrhujem preskúmať log-y na linuxe.
Môj config:
anonymous_enable=NO chroot_local_user=YES connect_from_port_20=YES dirlist_enable=YES dirmessage_enable=YES force_local_data_ssl=YES force_local_logins_ssl=YES ftpd_banner=Welcome ***** listen=YES local_enable=YES local_max_rate=250000 local_umask=002 log_ftp_protocol=NO pam_service_name=vsftpd passwd_chroot_enable=YES pasv_address=***** pasv_enable=YES pasv_max_port=***** pasv_min_port=***** rsa_cert_file=/etc/*****.pem secure_chroot_dir=/var/run/vsftpd ssl_ciphers=HIGH ssl_enable=YES tcp_wrappers=YES userlist_enable=YES userlist_file=/etc/***** use_localtime=YES write_enable=YES xferlog_enable=YES xferlog_file=/var/log/vsftpd.log xferlog_std_format=NO
openssl x509 -in /etc/ssl/certs/ssl-cert-snakeoil.pem -text | grep -iE 'bit|algo|after'Môj je 2048 bitový, rsaEncryption, sha1WithRSAEncryption a je platný (dátumy).
# openssl x509 -in /etc/ssl/private/vsftpd.pem -text | grep -iE 'bit|algo|after'
Signature Algorithm: sha256WithRSAEncryption
Not After : Jan 26 00:21:01 2026 GMT
Public Key Algorithm: rsaEncryption
Public-Key: (2048 bit)
Signature Algorithm: sha256WithRSAEncryption
Je to spravne?
Áno, Tvoj certifikát je "modernejší" než môj, čiže nie je dôvod, aby sa TLS nerozbehlo z dôvodu zastaralých kryptografických prvkov.
Čo ma mýli, že si urobil výpis iného súboru, než máš vo sftpd.conf 
.
Status: Resolving address of ***** Status: Connecting to *****:21... Status: Connection established, waiting for welcome message... Trace: CFtpControlSocket::OnReceive() Response: 220 Welcome ***** Trace: CFtpControlSocket::SendNextCommand() Command: AUTH TLS Trace: CFtpControlSocket::OnReceive() Response: 234 Proceed with negotiation. Status: Initializing TLS... Trace: CTlsSocket::Handshake() Trace: CTlsSocket::ContinueHandshake() Trace: CTlsSocket::ContinueHandshake() Trace: CTlsSocket::ContinueHandshake() Trace: CTlsSocket::ContinueHandshake() Trace: TLS Handshake successful Trace: Protocol: TLS1.2, Key exchange: RSA, Cipher: AES-256-GCM, MAC: AEAD Status: Verifying certificate... Status: TLS connection established. Trace: CFtpControlSocket::SendNextCommand() Command: USER ***** Trace: CFtpControlSocket::OnReceive() Response: 331 Please specify the password. Trace: CFtpControlSocket::SendNextCommand() Command: PASS ************* Trace: CFtpControlSocket::OnReceive() Response: 230 Login successful.
Tiskni
Sdílej:
ISSN 1214-1267, (c) 1999-2007 Stickfish s.r.o.