VSFTP Erweiterung: ftps (ftp mit SSL)

[Darkyputz]

....bei einem IP-Change VSFTPD neugestartet wird (um die config neu zu generieren).
iss das bei inetd denn nötig oder nur bei fest laufenden diensten??

klasse...dann werde ich mir den patch auch mal zu gemühte führen...
mal gucken was du verbrecher da hinterlassen hast ,-)

 

[matze1985]

Ich benutzte kein inet, deswegen musst du das wohl ausprobieren.
Würde aber sagen, ja, da ja auch dort die IP neu eingetragen werden muss in der Config, oder?

Ich ich vorhin bei dir ohne pasv_address connect habe, wollte er mir halt auch die 169.254.2.1 als Ziel IP verkaufen, nachdem du dein aktuelle eintragen hattest ging es.
Es macht natürlich wenig sinn, wenn dort ne alte steht.
Wenn du allerdings den inet Modus nutzt, dann wird ja VSFTPD selber nicht gestartet, denn er läuft ja nicht, sondern nur die Config neu generiert.

 

[McNetic]

Wo nix läuft, kann man auch nix neu starten. Im inetd-Modus wird die Konfig bei jedem Connect neu eingelesen, weil der Daemon ja bei jedem Connect erst neu gestartet wird.

 

[matze1985]

Sagte ich ja, also wird nur die Config neu generiert beim rc.vsftpd restart.
Mehr brauch man ja auch nciht.

 

[cuma]

Noch eine Idee: Den vsftpd im Standalone-Modus mit killall anHUPen. Es müsste nur noch jemand prüfen ob der darauf reagiert.
Das würde dann mit und ohne Inetd funktionieren

 

[Darkyputz]

soo..ich bau das jetzt mal eben

 

[matze1985]

@cuma: Aber das hat doch nur nen Neustart zu folge, oder?
Es geht ja eher darum, das bei einem IP-change, die neue IP in die Config eingetragen wird, und das passiert nur mit aufruf des rc.vsftpd-scriptes

Oder sehe ich das falsch?

 

[cuma]

Das HUP Signal wird oft dazu verwendet die Konfiguration neu einzulesen ohne den Dienst zu beenden. Also kein "restart" sondern "reload". Das rc-Skript müsste dann wohl angepasst werden

 

[matze1985]

aso, du meinst, man sollte die config neu restellen, und dann den vsftpd HUP, damit er neu einliest. Ja das könnte man machen.
also ein art /etc/init.d/rc.vsftpd reload_config aufrufen.

edit: also ein

killall -HUP vsftpd

bringt den vsftpd dazu die Config neu einzulesen.
werde mich mal die Tage ransetzten und das script und den Patch anpassen.
Danke für den Tipp, das ist sicher die hübschere Variante.

 

[cuma]

Hab mir die rc.vsftpd mal angeschaut. Eigentlich ist das ganz einfach umzusetzen:

Am Ende in den "case $1 in" Block kommt eine neue Abzweigung rein

reload)
config
killall -HUP vsftpd
;;

In der onlinechanged (oder wo auch immer) braucht dann nur ein "/etc/init.d/rc.vsftpd reload" eingetragen zu werden.

Und in /mod/etc/default.vsftpd/vsftpd_conf dann noch die Logik um die externe IP zu ermitteln, zB so

VARIABLEMITIP=`wget  http://checkip.dyndns.com/ -O - -q |sed 's/^.*: //;s/<\/body.*$//'`

 

[matze1985]

hey,

ich hatte es mir auch schonmal angeschaut, und letztlich ist es oben ja auch schon realisiert, halt nur mit restart.

Ich nutzte aber für die IP das Tool "get_ip -e", macht aber genau das gleiche.
Dachte mir aber den Parameter nicht nur reload zu nennen, weil man da vielleicht mir load und unload, von Webif durcheinander kommen könnte. Ein reload_config wäre da eindeutiger.
Man bräuchte garnicht config aufzurufen, welches die config schreibt, aber auch dann das Logfile, einmal aus dem Webif unreged und dann wieder modreg macht, ein einfaches write_config würde auch reichen, schließlich ändert sich die Config der Webpage ja nicht.

 

[cuma]

Ja, hab mich verschrieben, "write_config" reicht, das meinte ich auch. Wie man den Parameter genau nennt, ist egal. "get_ip" ist wohl auch besser

 

[Darkyputz]

soo...alles druff...nen kleiner fehler noch im einstellungsteil...der punkt heißt noch immer

Zertifikat&Schlüssel

aber...ich komme nciht mehr auf den ftp...er sagt mir immer 425 Security: Bad IP connecting.
habe den pasv_promiscuous mal auf YES gesetzt aber hilft nix...die aktuelle ip stimmt mit der aud der vsftpd.conf überein...
einzige was hilft iss:

pasv_promiscuous=YES
dirlist_enable=YES
download_enable=YES
write_enable=YES

in den Zusätzliche Konfigurationsoptionen dialog einzufügen...macht das für euch sinn??

auch nett beim testen iss das hier :

pasv_address=Error: 4 requests received from your IP address in the last 60 seconds (current max is 3 but automated agents should not query more often than once every 10 minutes)

heut iss da echt der wurm drin...

500 OOPS: child died

 

[matze1985]

tritt das auf, wenn du von intern, oder extern connectest?

den pasv_promiscuous=YES kannst du über das webif setzten, indem du FXP aktivierst, dahin seckt pasv_promiscuous, dass müsste eigentlich reichen.

 

[Darkyputz]

extern...vonner arbeit...aber mit den schaltren unten dann geht es...fxp allein reicht nicht...

 

[matze1985]

hmm, komisch, kannst du mir nochmal dein config schicken, dann kann ich mal versuchen das nachzustellen.

PS:zu dem Schreibfehlern hab ich schon nen patch im Trac hinterlassen

 

[matze1985]

So nachdem mit r2823 auch ein paar Korrekturen eingechecktz wurden, habe ich den patch von oben nochmal überarbeitet mit den Ideen von cuma.

Anbei also eine neuer Patch, dieser benötigt kein mini-fo mehr, da das Script zum reload der config unter /etc/onlinechanged/, dauerhaft gespeichert ist nach dem fw packen. Damit es aber aufgerufen wird muss eine Labor-fw benutzt werden, denn nur diese führt alle scripte unter /etc/onlinechanged/ aus. (Falls es eine einigung hier gibt, kann das Verhalten vielleicht bald auf allen Boxen zu finden sein.)

Man kann also wie oben anhacken in der WebGUI, ob man die aktuelle IP als pasv_address in die config eintragen will, und ob man das script /etc/onlinechanged/reload_config_vsftpd aktivieren möchte um bei einem IP-Change die Config neu zu generieren. diese wird dann automatisch durch ein killall -HUP neu eingelesen.

Da ganze läuft bei mir jetzt seit 2 Tagen sehr gut.


@Darkyputz: Tritt der Fehler bei dir noch auf? Ich konnte ihn leider nicht nachstellen, bei mir geht es ohne die Parameter.

 

[cuma]

Cool dass das HUPen funktioniert. Nicht-Labor Nutzer könnten vorerst /etc/onlinechanged/reload_config_vsftpd durch /var/tmp/onlinechanged aufrufen lassen

 

[matze1985]

das stimmt natürlich, halt nur nciht über die GUI

 

[Darkyputz]

hiho...
bei mir rennt es mit der sonderconfig...werde aber mal deine trunkversion auschecken und testen...laborversionen stehen ja sicher noch ewig zur verfügung ;-)