VSFTP Erweiterung: ftps (ftp mit SSL)

[matze1985]

Hey Leute,

ich habe mich mal etwas mit dem Vsftpd-Server beschäftigt und bin dabei auch mal die Konfigseite durchgegangen. Dabei ist mir aufgefallen, dass der Vsftpd auch ftps (ftp mit SSL) unterstützt, wonach ich eigentlich schon immer mal die Augen offen gehalten hatte für meine Box.

Also habe ich mich mal dran gemacht und den Vsftp mit SSL-Support gebaut.

Dies habe ich auch geschaft

Anbei findet ihr den Patch, der auf den aktuellen trunk angewendet werden kann.

Code:

patch -p0 < vsftpd.patch

Er beinhaltet die notwendigen Patches für den Vsftpd um ihn mit ssl-support zu kompilieren und ein paar Erweiterungen der GUI.
Das Zertifikat für den Server ist auch per WebGui hochladbar.
(siehe Screenshots)

Würde mich freuen, wenn es mal ein paar ausprobieren. (Klar ist natürlich, dass ihr auch nen FTP-Cleint bracht, der ftps unterstützt )

###########################
@An die Leute, die sich mit Freetz auskennen:
Ich konnte das ganze leider nicht optional über das menuconfig machen, da der SSL-Support nicht per make-parameter einstellbar war, sondern ich in der builddefs.c eine Zeile Code ändern musste, dies lasse ich jetzt über einen Patch machen. Gibt es eine Möglichkeit, dass man sh-scripte, ähnlich derer unter freetz\patches, auch für pakete nutzt um solche patches wählbar zu machen?
###########################


Viel Spaß.

update1: Hinweiß von cuma zum & in HTML befolgt
update2: SSL-Support jetzt wahlweise per menuconfig (Danke an MaxMuster für die Idee)
update3: Verstecke SSL-Optionen im WebIf, wenn ssl nicht gewählt.
update4: Option zum statischen kompilieren hinzugefügt. (+ein paar Verbesserungen)
update5: Versionbump 2.0.6 -> 2.0.7

[cuma]

Wow, tolle Arbeit. Bei Gelegenheit muss ich das mal mitbauen. Mir ist noch aufgefallen, dass das "Zertifikat&Key" nicht übersetzt wird. Dies könnte an dem "&" liegen das in html "&" geschrieben wird

[MaxMuster]

Schick!
Wie ist denn die Größe im Vergleich zu der Lösung von sftp mit dropbear?

Danke!

Jörg

EDIT Zu deine Frage:
Wenn ich das richtig gelesen habe, wird nur eine Variable VSF_BUILD_SSL "fest gesetzt". Würde es nicht ausreichen, die entsprechende "UNDEFINE" Zeile komplett zu löschen (dann wäre es ja nicht gesetzt, oser?) und das Define über das configure oder make zu machen mit einem -DVSF_BUILD_SSL im Aufruf?

[henfri]

Hallo,

super Arbeit. Werde ich ausprobieren.
Was hältst du davon den SSL-Zertifikatsteil zu verallgemeinern. Denn auch für WebDav werden Zertifikate benötigt.
Ich würde deine Zertifikatsseite einfach allgemein halten (und nicht 'VSFTP...' nennen) und die Datei statt nach /mod/etc/vsftp (o.ä.) nach /mod/etc/cert/ (o.ä.) packen.

Dann könnten WebDav und VSFTP die gleichen Zertifikate von zentraler Stelle nutzen.

Siehe auch http://www.freetz.org/ticket/268

Viele Grüße und Danke für die tolle Arbeit,
Hendrik

[matze1985]

@henfri:
ob man alle Zerfifikate an einer Stelle sammeln sollte weiß ich nicht, denn wenn man das macht, sollte man es auch komplett tun, z.B. auch bei stunnel.
Dort verwendet ich z.B. auch das Zertifikat, weil es schon auf die Domain unterschrieben ist, aber es wird dort in 2 Datein gespeichert (Key+Crt in unterschiedlichen Datein).
Außerdem gibt es aber die Möglichkeit, dass man die Zertifikate für unterschiedliche Server auch unterschiedlich ausstellen will.

Ist das Webdav-Zertifikat denn ein Server-Zertifikat mit Key? Es das nicht ne Clientanwendung?

@MaxMuster:
Danke für den Hinweis, werde ich mir anschauen.

Code:

ls -lah `which vsftpd`
-rwxr-xr-x    1 root     root       145.0k Nov 18 23:46 /usr/sbin/vsftpd

@cuma:Auch dir Danke für den Hinweiß, werde es ausbessern

[Darkyputz]

bor ihr seit ja helden...
kann der dann ssl und auch ohne ssl?
je nach haken?
wie geil...
das MUSS ich haben...werde das gleich heute bauen und berichten...vsftpd wird ja zum super ftp server...da iss ja der bftpd nen shit gegen...

ne zentrale certifcate stelle wäre schon geil...vor allem würde das echt einges vereinfachen...denn ich brauche wirklich nicht 5 certifikate für 1 box...
bzw man könnte ja auch das ssl certifcate der box gleich kidnappen...die bringt ja schon eins mit...und sicherer aus plain text iss das ALLE male auch wen ab und an jemand weint es hätte den avm bug und wäre nicht 2048 bitig
die grösse zum dropbear sftpd iss nicht tragisch da den ohne webinterface eh keiner nimmt und man da auch nicht wieß ob er generell so verlässlig iss wie der erprobte vsftpd
und mal ehrlich...die 16 mb keirgt ihr doch eh nicht voll die die box hat...ich komme ja schon mit meinem mist kaum auf 10 mb ;-9

[henfri]

Hallo,

jetzt wo das ganze zuverlässig zu laufen scheint:
Kann der Patch (http://www.ip-phone-forum.de/attachm...d=1228240556)* nicht in Freetz integriert werden?

*das ist der patch für das Hup-en, um die Konfiguration neu einzulesen.

Gruß,
Hendrik

[matze1985]

Mal warten ob ein SVN-Schreibberechtigter das macht,
allerdings sollte der Patch von hier dazu vielleicht auch dauerhaft ins Freetz übernommen werden, damit alle Boxen das ohne Umwege nutzten können.

Dass teste ich gerade und reporte dann an Oliver, der mich gefragt hat, ob das läuft.

[olistudent]

Genau deswegen.

MfG Oliver

[henfri]

Das geht ja schlag auf schlag hier...

Wie ist das eigentlich:

Wenn ich jetzt einen Patch manuell anwende und dieser es später in den SVN findet.
Kommt er dann bei einem svn up durcheinander?

Wie gehe ich da sinnvoll vor?

Gruß,
Hendrik

[hermann72pb]

das ist das leidige Thema... svn-gurus kennen da wahrscheinlich ein paar tricks, ich aber nicht... hilft nur die betreffende Datei mit "rm" zu löschen und danach nochmal "svn up" und auf meldungen von svn achten. Wenn er die Datei nicht ändern kann, dann meckert er...

MfG