[Gelöst]vsftpd mit/ohne TLS - force_local_data_ssl funktioniert nicht

[filliesadmin]

Hallo,
ich habe einen ftp-Server mit vsftpd nach Anleitung auf einem debian 11 eingerichtet. Der funktioniert auch soweit, dass er entweder nur ohne Verschlüsselung oder nur mit TLS-Verschlüsselung funktioniert. Leider benötige ich aber beides gleichzeitig, da noch ältere Clients darauf zugreifen müssen, die TLS nicht beherrschen.

Laut meinem Verständnis sollte der Mischbetrieb über die beiden Parameter
force_local_data_ssl=NO
force_local_login_ssl=NO
eingerichtet werden können.
Leider startet der vsftpd bei mir nicht mehr, sobald eines dieser beiden Parameter gesetzt wird. Egal ob der Parameter mit NO oder YES gesetzt wird.
Meine vsftpd.conf sieht wie folgt aus, die beiden Problemzeilen sind derzeit auskommentiert, so dass er wenigstens im TLS-Modus funktioniert.

# Example config file /etc/vsftpd.conf
listen=NO
listen_ipv6=YES
anonymous_enable=NO
local_enable=YES
write_enable=YES
local_umask=022
dirmessage_enable=YES
use_localtime=YES
xferlog_enable=YES
connect_from_port_20=YES
xferlog_file=/var/log/vsftpd.log
chroot_local_user=YES
secure_chroot_dir=/var/run/vsftpd/empty
pam_service_name=vsftpd
rsa_cert_file=/etc/ssl/private/vsftpd.pem
rsa_private_key_file=/etc/ssl/private/vsftpd.pem
ssl_enable=YES

allow_anon_ssl=NO
#force_local_data_ssl=NO
#force_local_login_ssl=NO
ssl_tlsv1=YES
ssl_sslv2=NO
ssl_sslv3=NO
require_ssl_reuse=NO
ssl_ciphers=HIGH

user_sub_token=$USER
local_root=/home/wbft/ftp_dir
userlist_enable=YES
userlist_file=/etc/vsftpd.userlist
userlist_deny=NO

Hat jemand noch eine Idee, wo der Fehler liegen könnte?
Gruß,
Nils

[schwedenmann]

Hallo


Siehe hier

viewtopic.php?t=135023


Mußt anscheinend 2 Instanzen mit 2 configs starten, jeweils auf unterschiedliche ports.

mfg
schwedenmann

[filliesadmin]

Hallo,
in dem Beispiel wurde aber explizit ein Szenario mit zwei getrennten vsftpd Instanzen, die auch noch auf zwei getrennten Ports lauschen, gesucht. Die weiteren Details dazu sind leider nicht mehr abrufbar.
Wenn ich zwei Instanzen mit zwei getrennten Ports benötigen würde, müssten doch die Clients angepasst werden, da die sonst den zweiten Port nicht kennen. Das wäre sehr unschön.

Was mich aber irritiert ist, dass die Parameter force_local_data/logins_ssl bei mir überhaupt nicht funktionieren. In allen SSL-Beispielkonfigurationen werden die gesetzt. Sobald ich die nutze, funktioniert es nicht mehr. Selbst im reinen SSL-Betrieb.

Gruß,
Nils

[cosinus]

Können die Clients kein SSH? Damit wäre SFTP möglich. Ginge dann auch mit FileZilla vom Client aus.

[filliesadmin]

Habe es gefunden:
der Parameter heisst korrekt "force_local_logins_ssl" mit "s"! Bei mir war er immer ohne "s" drinnen. Wenn man ihn korrekt und dann beides mit "NO" setzt, funktioniert es auch wie erwartet. Dabei war ich gestern erst beim Optiker.
Also gleicher Port, eine Instanz und sowohl mit als auch ohne TLS. Alles wie erwartet.

Vielen Dank an schwedenmann, auf dessen Hinweis ich noch einmal die man-pages gelesen habe.

Gruß,
Nils