Ce site est optimisé pour être consulté depuis un navigateur moderne dans lequel JavaScript est activé.

ProFTPd et TLS

tidom21

Bonjour à tous,

je viens trouver de l'aide car je m'arrache les cheveux et si ça se trouve pour pas grand chose ...

Voilà j'ai mis en place proFTPd, tout fonctionne très bien en mode classique (sans TLS), mais dès que j'active la couche TLS avec le bon paramétrage (j'ai suivi de multiple tutos qui montre tous la même chose), là plus rien, ça coince.
Dans les logs TLS je n'ai rien d'autre comme info que :

2019-04-11 15:45:07,499 mod_tls/2.6[16527]: unable to accept TLS connection: system call error: [2] No such file or directory
2019-04-11 15:45:07,499 mod_tls/2.6[16527]: panic: SSL_ERROR_SSL, line 4540: (1) error:140E0197:SSL routines:SSL_shutdown:shutdown while in init
2019-04-11 15:45:07,499 mod_tls/2.6[16527]: unexpected OpenSSL error, disconnecting

Est-ce que quelqu'un à une idée car je trouve absolument rien ...

Merci à vous

Iamawalrus

Salut,

T'as bien généré ton certificat et indiqué le bon chemin dans ton fichier de configuration sous :

TLSRSACertificateFile

krodelabestiole

modération : déplacement de Autres logiciels et problèmes généraux vers Serveurs

tidom21

Bonjour,

Désolé pour le retour tardif, oui le chemin est correctement indiqué, c'est pourquoi je ne comprend pas ce message.

Iamawalrus a écritSalut,

T'as bien généré ton certificat et indiqué le bon chemin dans ton fichier de configuration sous :

TLSRSACertificateFile

Iamawalrus

Que dit :

systemctl status proftpd.service

Juste les 3 lignes que t'as postées en #1 ?

tidom21

voici ce que dit le status :

proftpd.service - LSB: Starts ProFTPD daemon
   Loaded: loaded (/etc/init.d/proftpd; generated; vendor preset: enabled)
   Active: active (running) since Sun 2019-04-14 06:25:47 CEST; 1 day

J'ai modifé la confi TLS comme ceci :

<IfModule mod_tls.c>
		TLSEngine                       on
		TLSLog                          /var/log/proftpd/tls.log
		TLSRSACertificateFile           /etc/ssl/certs/proftpd.crt
		TLSRSACertificateKeyFile        /etc/ssl/private/proftpd.key
		TLSVerifyClient                 off
	</IfModule>

et j'ai maintenant cette erreur dans les log TLS :

2019-04-15 08:45:14,539 mod_tls/2.6[28339]: TLS/TLS-C requested, starting TLS handshake
2019-04-15 08:45:14,561 mod_tls/2.6[28339]: unable to accept TLS connection: system call error: [104] Connection reset by peer
2019-04-15 08:45:14,561 mod_tls/2.6[28339]: panic: SSL_ERROR_SSL, line 4540: 
  (1) error:140E0197:SSL routines:SSL_shutdown:shutdown while in init
2019-04-15 08:45:14,561 mod_tls/2.6[28339]: unexpected OpenSSL error, disconnecting

Et si j'active les options comme ceci :

<IfModule mod_tls.c>
		TLSEngine                       on
		TLSLog                          /var/log/proftpd/tls.log
		TLSRSACertificateFile           /etc/ssl/certs/proftpd.crt
		TLSRSACertificateKeyFile        /etc/ssl/private/proftpd.key
		TLSOptions                      NoCertRequest EnableDiags AllowClientRenegotiations
		TLSVerifyClient                 off
		RequireValidShell 				no
	</IfModule>

J'ai ces logs :

2019-04-15 08:49:29,484 mod_tls/2.6[31062]: TLSOption EnableDiags enabled, setting diagnostics callback
2019-04-15 08:49:29,649 mod_tls/2.6[31062]: TLS/TLS-C requested, starting TLS handshake
2019-04-15 08:49:29,649 mod_tls/2.6[31062]: [info] accepting: before/accept initialization
2019-04-15 08:49:29,650 mod_tls/2.6[31062]: [info] accepting: SSLv2/v3 read client hello A
2019-04-15 08:49:29,730 mod_tls/2.6[31062]: [info] accepting: SSLv2/v3 read client hello A
2019-04-15 08:49:29,730 mod_tls/2.6[31062]: unable to accept TLS connection: system call error: [2] No such file or directory
2019-04-15 08:49:29,730 mod_tls/2.6[31062]: panic: SSL_ERROR_SSL, line 4540: 
  (1) error:140E0197:SSL routines:SSL_shutdown:shutdown while in init
2019-04-15 08:49:29,731 mod_tls/2.6[31062]: unexpected OpenSSL error, disconnecting
2019-04-15 08:49:29,731 mod_tls/2.6[31062]: [stat]: SSL sessions attempted: 1
2019-04-15 08:49:29,731 mod_tls/2.6[31062]: [stat]: SSL sessions established: 0
2019-04-15 08:49:29,731 mod_tls/2.6[31062]: [stat]: SSL sessions renegotiated: 0
2019-04-15 08:49:29,731 mod_tls/2.6[31062]: [stat]: SSL sessions resumed: 0
2019-04-15 08:49:29,731 mod_tls/2.6[31062]: [stat]: SSL sessions in cache: 0
2019-04-15 08:49:29,731 mod_tls/2.6[31062]: [stat]: SSL session cache hits: 0
2019-04-15 08:49:29,731 mod_tls/2.6[31062]: [stat]: SSL session cache misses: 0
2019-04-15 08:49:29,731 mod_tls/2.6[31062]: [stat]: SSL session cache timeouts: 0
2019-04-15 08:49:29,731 mod_tls/2.6[31062]: [stat]: SSL session cache size exceeded: 0

Les 3 lignes que j'ai postées en #1 sont une partie des logs au moment d'une tentative de connexion avec Filezila.

Iamawalrus a écritQue dit :

systemctl status proftpd.service

Juste les 3 lignes que t'as postées en #1 ?

Iamawalrus

À priori tes problèmes viennent d'OpenSSL, tu installes ton ftp sur quoi, sur Ubuntu ?

bruno

Les problèmes ne viennent pas d'openssl mais d'un ou plusieurs fichiers qui ne sont pas trouvés (ou pas lisibles). Même erreur depuis le début :

unable to accept TLS connection: system call error: [2] No such file or directory

Expliques-nous comment tu as généré ton certificat et retour de

ls -l /etc/ssl/certs/proftpd.crt
ls -l /etc/ssl/private/proftpd.key

Au passage je ne comprends pas l’intérêt de s’embêter avec proftpd+TLS alors que openssh-server fournit nativement SFTP.

krodelabestiole

bruno a écritAu passage je ne comprends pas l’intérêt de s’embêter avec proftpd+TLS alors que openssh-server fournit nativement SFTP.

à ce sujet une discussion similaire là : https://forum.ubuntu-fr.org/viewtopic.php?pid=22082564#p22082564

Iamawalrus

bruno a écritLes problèmes ne viennent pas d'openssl mais d'un ou plusieurs fichiers qui ne sont pas trouvés (ou pas lisibles). Même erreur depuis le début :

unable to accept TLS connection: system call error: [2] No such file or directory

Oui mais :

moi a écritT'as bien généré ton certificat et indiqué le bon chemin dans ton fichier de configuration

tidom21 a écritoui le chemin est correctement indiqué, c'est pourquoi je ne comprend pas ce message.

Puis :

(1) error:140E0197:SSL routines:SSL_shutdown:shutdown while in init

Avec une recherche sur la toile, ça mène vers des bugs liés à OpenSSL. Du coup si les certificats et les chemins sont ok, j'imaginais creuser par là-bas.

tidom21

Le FTP est installé sur une Debian Stretch.

Iamawalrus a écritÀ priori tes problèmes viennent d'OpenSSL, tu installes ton ftp sur quoi, sur Ubuntu ?

tidom21

Bonjour Bruno,

J'ai généré le certificat avec la commande :

openssl req -new -x509 -days 3650 -key /etc/ssl/private/proftpd.key -out /etc/ssl/certs/proftpd.crt

voici ce que donne les retours :

-rw-r--r-- 1 root root 1111 avril 11 15:35 /etc/ssl/certs/proftpd.crt
-rw------- 1 root root 916 avril 11 15:35 /etc/ssl/private/proftpd.key

J'utilise le FTPS car pour l'instant, le service avec lequel j'ai besoin d'un échange de fichiers n'a pas possibilité de migrer vers une solution SFTP.

La raison est purement mise à jour technique du client plus que volontaire.

bruno a écritLes problèmes ne viennent pas d'openssl mais d'un ou plusieurs fichiers qui ne sont pas trouvés (ou pas lisibles). Même erreur depuis le début :

unable to accept TLS connection: system call error: [2] No such file or directory

Expliques-nous comment tu as généré ton certificat et retour de

ls -l /etc/ssl/certs/proftpd.crt
ls -l /etc/ssl/private/proftpd.key

Au passage je ne comprends pas l’intérêt de s’embêter avec proftpd+TLS alors que openssh-server fournit nativement SFTP.

tidom21

Merci lamawalrus, je vais donc jeter un œil par là ... mais pas quel bout commencer :lol:

Iamawalrus a écrit
bruno a écritLes problèmes ne viennent pas d'openssl mais d'un ou plusieurs fichiers qui ne sont pas trouvés (ou pas lisibles). Même erreur depuis le début :
unable to accept TLS connection: system call error: [2] No such file or directory
Oui mais :

moi a écritT'as bien généré ton certificat et indiqué le bon chemin dans ton fichier de configuration

tidom21 a écritoui le chemin est correctement indiqué, c'est pourquoi je ne comprend pas ce message.
Puis :
(1) error:140E0197:SSL routines:SSL_shutdown:shutdown while in init
Avec une recherche sur la toile, ça mène vers des bugs liés à OpenSSL. Du coup si les certificats et les chemins sont ok, j'imaginais creuser par là-bas.

bruno

Cela semble correct.
Autres pistes à vérifier :
- le paquet openssl est bien installé (a priori oui), le paquet proftpd-basic est bien installé (a priori oui aussi) ;
- le fichier /etc/proftpd.conf a bien une ligne dé-commentée pour charger le fichier tls.conf ;
- le fichier /usr/lib/proftpd/mod_tls.so existe et est en lecture pour tous ;
- il n'y a pas de pare-feu susceptible de bloquer les connexions (a priori si le FTP passe le FTPS explicite doit passer aussi).

Je vois un autre problème potentiel dans les logs :

2019-04-15 08:49:29,650 mod_tls/2.6[31062]: [info] accepting: SSLv2/v3 read client hello A
2019-04-15 08:49:29,730 mod_tls/2.6[31062]: [info] accepting: SSLv2/v3 read client hello A

J'ai l'impression que le client essaie d'utiliser les vieux protocoles SSL v2/v3 au lieu d'utiliser TLS. Ce qui, à mon avis, ne peut pas fonctionner avec proftpd (ou alors il faut une version très ancienne). Est-ce que tu as essayer de te connecter avec un client FTP « moderne » ?

tidom21

Les paquets sont bien installé et a jour.
Le tls.conf est bien chargé sinon je n'aurai pas cette erreur justement.
Coté pare-feu c'est ok aussi, j'ai déjà explorer et testé cette piste, car en effet en FTP classique ça passe.

J'ai testé à l'instant en retirant le SSLv2 et v3, j'ai les même ligne dans les logs ...
Qu'appelles-tu client "moderne" ?

Je continue a chercher du coté OpenSSL du coup ...

bruno a écritCela semble correct.
Autres pistes à vérifier :
- le paquet openssl est bien installé (a priori oui), le paquet proftpd-basic est bien installé (a priori oui aussi) ;
- le fichier /etc/proftpd.conf a bien une ligne dé-commentée pour charger le fichier tls.conf ;
- le fichier /usr/lib/proftpd/mod_tls.so existe et est en lecture pour tous ;
- il n'y a pas de pare-feu susceptible de bloquer les connexions (a priori si le FTP passe le FTPS explicite doit passer aussi).

Je vois un autre problème potentiel dans les logs :
2019-04-15 08:49:29,650 mod_tls/2.6[31062]: [info] accepting: SSLv2/v3 read client hello A
2019-04-15 08:49:29,730 mod_tls/2.6[31062]: [info] accepting: SSLv2/v3 read client hello A
J'ai l'impression que le client essaie d'utiliser les vieux protocoles SSL v2/v3 au lieu d'utiliser TLS. Ce qui, à mon avis, ne peut pas fonctionner avec proftpd (ou alors il faut une version très ancienne). Est-ce que tu as essayer de te connecter avec un client FTP « moderne » ?

tidom21

Vous allez pas me croire ...

J'aurai du tester ça dès le début ... foutu Filezilla et son cache ...
Je viens de refaire le certificat et la configuration (comme à l'identique) et je viens de tester depuis un autre poste et miracle ... ça fonctionne ...

Mais toujours pas du premier poste où j'ai fais le test avec Filezilla, je pense qu'il a en mémoire le précédent certificat qui bloque, il ne renouvelle pas le certificat en cache ...

Je crois que je risque pas d'oublier ça ...

bruno

Si je veux bien te croire, parce que c'est bien le genre de chose qui peut arriver à tout le monde 😉
D'où l’intérêt de toujours tester en ligne de commande 😉
Je t'invite à modifier ton premier message et à ajouter [Résolu] devant le titre.

tidom21

Je m'en occupe, par contre, complètement hors sujet, mais hormis supprimer le fichier trustedcerts.xml qui n'a pas l'air de fonctionner (Même une install complète), vous n'avez pas une idée pour vider cette sa!#?!.. de cache ?

Car sur le deuxième poste ça fonctionne mais toujours pas le premier ...

bruno a écritSi je veux bien te croire, parce que c'est bien le genre de chose qui peut arriver à tout le monde 😉
D'où l’intérêt de toujours tester en ligne de commande 😉
Je t'invite à modifier ton premier message et à ajouter [Résolu] devant le titre.

Iamawalrus

C'est barbare, mais peut-être tenter un apt remove --purge et réinstaller ?

tidom21

En fait mon poste 1 et 2 sont sous Windows, le serveur FTP sous Debian

Iamawalrus a écritC'est barbare, mais peut-être tenter un apt remove --purge et réinstaller ?

Page suivante »