Discussion:
[e64] proftpd 0.9.4 Zertifikat
(zu alt für eine Antwort)
Detlef Paschke
2020-03-08 10:46:39 UTC
Permalink
Hallo,

mir ist gerade aufgefallen, das in meiner Konfiguration von proftpd als
PROFTPD_CERTIFICATE_FILE mein Serverzertifikat eingetragen ist.
Soweit so gut.
Nur habe ich, wie es immer wieder empfohlen wird, für alle Dienste einen
Symlink auf das Serverzertifikat in der Art apache.pem, exim.pem und
auch proftpd.pem (hat proftp seinen dazumal nicht auch selbst erstellt?).

In der Auswahlliste mit ECE wird aber keiner dieser Symlinks angezeigt.
Ich habe mal ganz gemein mit einem Editor den Eintrag in proftpd.pem
geändert, die Konfiguration aufgerufen und ohne weitere Änderungen
wieder abgespeichert. Es gab keine Probleme.

Ist ja nur ein optisches Ding aber wenn man schon die Symlinks hat,
können sie auch angezeigt werden.

Viele Grüße
Detlef Paschke
--
registered Fli4l-User #00000209
Das "Zitat des Augenblicks" gibt es nur auf
http://www.schabau.goip.de
Ansgar Püster
2020-03-08 15:39:06 UTC
Permalink
Hallo,
Post by Detlef Paschke
Hallo,
mir ist gerade aufgefallen, das in meiner Konfiguration von proftpd als
PROFTPD_CERTIFICATE_FILE mein Serverzertifikat eingetragen ist.
Soweit so gut.
Nur habe ich, wie es immer wieder empfohlen wird, für alle Dienste einen
Symlink auf das Serverzertifikat in der Art apache.pem, exim.pem und
auch proftpd.pem (hat proftp seinen dazumal nicht auch selbst erstellt?).
In der Auswahlliste mit ECE wird aber keiner dieser Symlinks angezeigt.
Ich habe mal ganz gemein mit einem Editor den Eintrag in proftpd.pem
geändert, die Konfiguration aufgerufen und ohne weitere Änderungen
wieder abgespeichert. Es gab keine Probleme.
Ist ja nur ein optisches Ding aber wenn man schon die Symlinks hat,
können sie auch angezeigt werden.
Meines Wissens soll die Implementierung wie folgt geschehen:

- Nur das certs Paket legt echte Zertifkats-Dateien in
/var/certs/ssl/certs an.
- Alle anderen Pakete legen jeweils für sich einen Link
auf eine Zertifikats-Datei an.
- Diese Pakete zeigen ggf. in der Auswahl nur Zertifikats-Dateien,
nicht aber den eigenen Link oder Links anderer Pakete an.
Dies stellt sicher, dass nicht ein Link auf einen Link
angelegt wird und dann bei Deinstallation des Paketes mit
dem Ziellink der eigene Link plötzlich ins Leere zeigt.

Daraus resultiert dann ein Verzeichnis, wir in folgendem Beispiel:

lrwxrwxrwx 1 root root 41 May 2 2019 apache.pem ->
/usr/local/ssl/certs/xptest.fritz.box.pem
lrwxrwxrwx 1 root root 20 Oct 11 14:59 proftpd.pem ->
xptest.fritz.box.pem
lrwxrwxrwx 1 root root 20 May 2 2019 pure-ftpd.pem ->
xptest.fritz.box.pem
-rw-r--r-- 1 root root 3521 May 2 2019 xptest.fritz.box.pem

Dass hier einmal lokale Links angezeit wwerden, beim apache
aber /usr/local/ssl/certs/xptest.fritz.box.pem verwirrt ein wenig.
/usr/local/ssl ist aber ein Link auf /var/certs/ssl

lrwxrwxrwx 1 root root 14 May 2 2019 /usr/local/ssl -> /var/certs/ssl

In meiner Konfiguration steht daher auch
PROFTPD_CERTIFICATE_FILE='xptest.fritz.box.pem'
xptest.fritz.box.pem ist mein Server-Zertifikat.

Die händische Korrektur in deiner Konfiguration ist also meines
Erachtens O.K.

Welche Ausgabe kommt, wenn du
cert_path='/var/certs/ssl/certs'
find $cert_path -maxdepth 1 -type f -name '*.pem' -printf '%f,\n' | sort
ausführst?

Wird na nicht dein Server-Zertifikat angezeigt?

Sorry: ich werde keine Symlinks bei der Auswahl anzeigen!
Das ist nämlich kein optisches Ding, sondern führt zu Fehlern.

So weit erst mal.
Gruß,
Ansgar
Detlef Paschke
2020-03-08 21:53:15 UTC
Permalink
Post by Detlef Paschke
Hallo,
Hallo Ansgar,
Post by Detlef Paschke
- Alle anderen Pakete legen jeweils für sich einen Link
auf eine Zertifikats-Datei an
Sorry: ich werde keine Symlinks bei der Auswahl anzeigen!
Das ist nämlich kein optisches Ding, sondern führt zu Fehlern.
ja okay, war nur eine Frage. Doch dann ist der obige Punkt mehr oder
weniger überflüssig. Zumindest für die, die nur mit ECE arbeiten wollen
oder können.
Post by Detlef Paschke
So weit erst mal.
Gruß,
Ansgar
Viele Grüße
Detlef Paschke
--
registered Fli4l-User #00000209
Das "Zitat des Augenblicks" gibt es nur auf
http://www.schabau.goip.de
Marcus Röckrath
2020-03-09 05:13:11 UTC
Permalink
Hallo Detlef,
Post by Detlef Paschke
Post by Ansgar Püster
- Alle anderen Pakete legen jeweils für sich einen Link
auf eine Zertifikats-Datei an
Sorry: ich werde keine Symlinks bei der Auswahl anzeigen!
Das ist nämlich kein optisches Ding, sondern führt zu Fehlern.
ja okay, war nur eine Frage. Doch dann ist der obige Punkt mehr oder
weniger überflüssig. Zumindest für die, die nur mit ECE arbeiten wollen
oder können.
Und wenn jemand - aus welchen Gründen auch immer - jeden Service mit einem
eigenen Zertifikat versieht?
--
Gruß Marcus
[eisfair-Team]
Detlef Paschke
2020-03-09 08:49:21 UTC
Permalink
Post by Marcus Röckrath
Hallo Detlef,
Hallo Marcus,
Post by Marcus Röckrath
Post by Detlef Paschke
Post by Ansgar Püster
- Alle anderen Pakete legen jeweils für sich einen Link
auf eine Zertifikats-Datei an
Sorry: ich werde keine Symlinks bei der Auswahl anzeigen!
Das ist nämlich kein optisches Ding, sondern führt zu Fehlern.
ja okay, war nur eine Frage. Doch dann ist der obige Punkt mehr oder
weniger überflüssig. Zumindest für die, die nur mit ECE arbeiten wollen
oder können.
Und wenn jemand - aus welchen Gründen auch immer - jeden Service mit einem
eigenen Zertifikat versieht?
das stellt ja kein Problem dar und ein "echtes" Zertifikat wird ja in
der Auswahlliste ja angezeigt.

Proftpd erstellt soweit ich mich erinnere den Symlink proftpd.pem auf
das Serverzertifikat selbst, Symlinks werden in der Auswahlliste aber
nicht angezeigt und sind somit ohne einen anderen Editor gar nicht
auswählbar.

Ich habe nicht ganz verstanden, warum das anzeigen und somit auch
auswählen von Symlinks bei der Auswahl ein Problem darstellen soll aber
Ansgar meint, er baue das Anzeigen von Symlinks nicht mit ein, "Basta".
Doch dann so meine ich, braucht proftpd den Symlink doch auch gar nicht
erzeugen.

Viele Grüße
Detlef Paschke
--
registered Fli4l-User #00000209
Das "Zitat des Augenblicks" gibt es nur auf
http://www.schabau.goip.de
Holger Bruenjes
2020-03-09 09:32:30 UTC
Permalink
Hallo Detlef
Post by Detlef Paschke
das stellt ja kein Problem dar und ein "echtes" Zertifikat wird ja in
der Auswahlliste ja angezeigt.
Proftpd erstellt soweit ich mich erinnere den Symlink proftpd.pem auf
das Serverzertifikat selbst, Symlinks werden in der Auswahlliste aber
nicht angezeigt und sind somit ohne einen anderen Editor gar nicht
auswählbar.
hmm, also, der Symlink wird vom Paket erzeugt und traegt den Paket
Namen. Um den|einen Symlink erzeugen zu koennen, ist der Namen des
Original.pem erforderlich. Aus diesem Grund ist in der config der
Name des Original.pem anzugeben und die Originale.pem Dateien werden
im Auswahldialog gelistet. Wie der Symlink schlussendlich
heisst, dass ist doch egal und hat auf das funktionieren keinen
Einfluss.
Post by Detlef Paschke
Ich habe nicht ganz verstanden, warum das anzeigen und somit auch
auswählen von Symlinks bei der Auswahl ein Problem darstellen soll aber
Ansgar meint, er baue das Anzeigen von Symlinks nicht mit ein, "Basta".
Doch dann so meine ich, braucht proftpd den Symlink doch auch gar nicht
erzeugen.
Warum muessen|sollen Symlinks angezeigt werden, es hat doch keinen
Einfluss auf das funktionieren.

Das Paket erzeugt den erforderlichen Symlink selbstaendig. Das hat
mit 'Basta' ueberhaupt nichts zu tun.

Das Paket legt den Symlink an und entsorgt ihn auch gegebenenfalls
wieder da er _exclusiv_ fuer _das_ Paket angelegt wurde, also keine
Arbeit fuer den user. Das ist doch Vorteilhaft.

Holger
Detlef Paschke
2020-03-09 11:02:05 UTC
Permalink
Post by Marcus Röckrath
Hallo Detlef
Hallo Holger,
Post by Marcus Röckrath
Post by Detlef Paschke
Ich habe nicht ganz verstanden, warum das anzeigen und somit auch
auswählen von Symlinks bei der Auswahl ein Problem darstellen soll aber
Ansgar meint, er baue das Anzeigen von Symlinks nicht mit ein, "Basta".
Doch dann so meine ich, braucht proftpd den Symlink doch auch gar nicht
erzeugen.
Warum muessen|sollen Symlinks angezeigt werden, es hat doch keinen
Einfluss auf das funktionieren.
ja eben, ich sehe im Moment nicht, warum er dann überhaupt angelegt wird.
Post by Marcus Röckrath
Holger
Viele Grüße
Detlef Paschke
--
registered Fli4l-User #00000209
Das "Zitat des Augenblicks" gibt es nur auf
http://www.schabau.goip.de
Holger Bruenjes
2020-03-09 11:14:38 UTC
Permalink
Hallo Detlef
Post by Detlef Paschke
ja eben, ich sehe im Moment nicht, warum er dann überhaupt angelegt wird.
Wenn Du das Paket deinstallierst, wird der Symlink auch wieder
entfernt. Dein Zertifikat bleibt aber erhalten.

Holöger
Detlef Paschke
2020-03-09 11:55:54 UTC
Permalink
Post by Marcus Röckrath
Hallo Detlef
Hallo Holger,
Post by Marcus Röckrath
Post by Detlef Paschke
ja eben, ich sehe im Moment nicht, warum er dann überhaupt angelegt wird.
Wenn Du das Paket deinstallierst, wird der Symlink auch wieder
entfernt. Dein Zertifikat bleibt aber erhalten.
aber das ist ja nicht der Punkt.
Im aktuellen proftpd Paket ist bereits das erstellen und dann natürlich
auch das löschen beim deinstallieren sinnlos. So sehe ich es.

Man könnte den Symlink proftpd.pem einzig mit einem anderen Editor (joe,
mcedit von mir aus notepad++...) unter PROFTPD_CERTIFICATE_FILE
eintragen, und Sorry, wer das macht erstellt sich den Symlink auf sein
Serverzertifikat auch selbst.

Es ist schon klar, ich muss proftpd sagen, was mein Serverzertifikat
ist, damit es den Symlink darauf erstellen kann, aber ihn dann nicht zu
nutzen.? Dann erspare ich mir doch das erstellen.

Wie wurde oder wird das eigentlich bei pureftpd gemacht. Da hatte ich
doch dazumal auch einen Symlink pureftpd.pem den ich in der Config
ausgewählt habe. Oder, ich weiß es nicht mehr.
Post by Marcus Röckrath
Holöger
Viele Grüße
Detlef Paschke
--
registered Fli4l-User #00000209
Das "Zitat des Augenblicks" gibt es nur auf
http://www.schabau.goip.de
Marcus Röckrath
2020-03-09 14:00:45 UTC
Permalink
Hallo Detlef,
Post by Detlef Paschke
Es ist schon klar, ich muss proftpd sagen, was mein Serverzertifikat
ist, damit es den Symlink darauf erstellen kann, aber ihn dann nicht zu
nutzen.? Dann erspare ich mir doch das erstellen.
Im Gegensatz zu den anderen Paketen, die Zertifikate brauchen/nutzen,
erscheint mir die Behandlung hier nicht ganz klar zu sein.

Wenn proftp dem certs/certs_dehydrated-Paket, wie für exim und Co auch
üblich, bekannt ist, könnten diese auomatisch das Linkziel erneuern, wenn
sich das Serverzertifikat ändert.

Wenn man dann in proftp auch einen Link auswählen kann, könnte man auf das
allen Diensten gemeinsame Zertifikat über den Link proftpd.pem veweisen,
oder ein beliebiges anderes Zertifikat eintragen.
--
Gruß Marcus
[eisfair-Team]
Marcus Röckrath
2020-03-12 17:17:18 UTC
Permalink
Hallo Detlef,
Post by Marcus Röckrath
Post by Detlef Paschke
Es ist schon klar, ich muss proftpd sagen, was mein Serverzertifikat
ist, damit es den Symlink darauf erstellen kann, aber ihn dann nicht zu
nutzen.? Dann erspare ich mir doch das erstellen.
Im Gegensatz zu den anderen Paketen, die Zertifikate brauchen/nutzen,
erscheint mir die Behandlung hier nicht ganz klar zu sein.
Ich habe mal ins Paket (allerdings die kommende neue Version) reingeschaut,
und finde das nun doch so in Ordnung, oder ich habe dein Problem nicht
verstanden.

Sowohl das certs als auch das certs_dehydrated-Paket legen auf Wunsch
proftpd.pem als Link auf das Severzertifikat an.

In proftpd gibts du entweder das gewünschte Zertifikat an, dann legt das
Paket selbst den Link proftpd.pem auf dieses Wunschzertifikat an, oder man
trägt proftpd.pem ein.

Wo ist das wirkliche Problem?
--
Gruß Marcus
[eisfair-Team]
Detlef Paschke
2020-03-12 21:10:25 UTC
Permalink
Post by Marcus Röckrath
Hallo Detlef,
Hallo Marcus,
Post by Marcus Röckrath
In proftpd gibts du entweder das gewünschte Zertifikat an, dann legt das
Paket selbst den Link proftpd.pem auf dieses Wunschzertifikat an, oder man
trägt proftpd.pem ein.
Wo ist das wirkliche Problem?
das man mit dem normalen Konfigeditor ECE den Symlink proftp.pem nicht
auswählen kann, weil er gar nicht angezeigt wird. Es ist gewollt und
soll wohl auch so bleiben, dass Symlinks in der Auswahl von
PROFTPD_CERTIFICATE_FILE nicht angezeigt werden.

Dann macht es aber keinen Sinn, dass proftpd überhaupt den symlink
proftpd.pem auf das Serverzertifikat anlegt.

Viele Grüße
Detlef Paschke
--
registered Fli4l-User #00000209
Das "Zitat des Augenblicks" gibt es nur auf
http://www.schabau.goip.de
Marcus Röckrath
2020-03-12 21:35:52 UTC
Permalink
Hallo Detlef,
Post by Detlef Paschke
Post by Marcus Röckrath
Wo ist das wirkliche Problem?
das man mit dem normalen Konfigeditor ECE den Symlink proftp.pem nicht
auswählen kann, weil er gar nicht angezeigt wird. Es ist gewollt und
soll wohl auch so bleiben, dass Symlinks in der Auswahl von
PROFTPD_CERTIFICATE_FILE nicht angezeigt werden.
Dann macht es aber keinen Sinn, dass proftpd überhaupt den symlink
proftpd.pem auf das Serverzertifikat anlegt.
Es könnte sein, dass proftpd intern immer ein Zertifikat namens proftpd
erwartet; IMHO ist es auch beim exim so. Also kann man proftpd nicht direkt
ein Zertifikat anderen Namens unterjubeln, als über den Link.

Deiner Antwort entnehme ich, dass bei Eingabe der des Zertifikates keine
Eingabezeile erscheint, sondern eine Liste von Zertifikaten angeboten wird
- richtig?

Ich habs selbst nicht installiert.
--
Gruß Marcus
[eisfair-Team]
Detlef Paschke
2020-03-13 08:59:30 UTC
Permalink
Post by Marcus Röckrath
Hallo Detlef,
Hallo Marcus,
Post by Marcus Röckrath
Es könnte sein, dass proftpd intern immer ein Zertifikat namens proftpd
erwartet; IMHO ist es auch beim exim so. Also kann man proftpd nicht direkt
ein Zertifikat anderen Namens unterjubeln, als über den Link.
Deiner Antwort entnehme ich, dass bei Eingabe der des Zertifikates keine
Eingabezeile erscheint, sondern eine Liste von Zertifikaten angeboten wird
- richtig?
ja genau, es ist eine Auswahlliste und ich wollte proftpd auch nichts
anderes unterjubeln sondern eben genau das Zertifikat bzw. den Symlink
proftpd.pem angeben.

Noch mal Schritt für Schritt. Ich habe für das interne Netz, ein
Zertifikat welches eisfair64.home.lan.pem heißt. Das ist nur für
Testzwecke, extern brauche ich nichts.
Es gibt Symlinks Namens apache.pem, exim.pem, imapd.pem, ipop3.pem und
eben proftpd.pem auf das Serverzertifikat eisfair64.home.lan.pem.

Als ich vor ein paar Tagen in der Konfiguration von proftpd gesehen
habe, dass dort unter PROFTPD_CERTIFICATE_FILE eisfair64.home.lan.pem
eingetragen war, wollte ich das in proftpd.pem ändern. Von der Funktion
hätte es ja keinerlei Veränderungen gegeben denn proftpd.pem verweist ja
auf eisfair64.home.lan.pem. Es ist nur eine optische Sache.
Mit dem ECE konnte ich proftpd.pem nicht auswählen, da in der
Auswahlliste wie Ansgar schrieb generell keine Symlinks angezeigt
werden, da das wohl zu Problemen führen kann.
Ich habe nicht richtig verstanden, welche Probleme Auftauchen können
zumal Ansgar schrieb, dass mein händisches ändern der Config so Okay sei
und da muss ich mich fragen, was macht es denn für einen Unterschied ob
ich den Symlink proftpd.pem nun per normalen Editor oder per ECE eintrage.?

Mit einem normalen Editor kann man den Symlink proftpd.pem in der Config
eintragen und es gibt keinerlei Probleme. Mit dem zum semistandard
erhobenen ECE ist die Auswahl nicht möglich.

Nun bin ich der Ansicht, dass es dann doch überhaupt keinen Sinn macht,
dass proftpd überhaupt den Symlink proftpd.pem anlegt wenn er ohnehin
nicht auswählbar ist.

Viele Grüße
Detlef Paschke
--
registered Fli4l-User #00000209
Das "Zitat des Augenblicks" gibt es nur auf
http://www.schabau.goip.de
Marcus Röckrath
2020-03-13 14:30:43 UTC
Permalink
Hallo Detlef,
Post by Detlef Paschke
ja genau, es ist eine Auswahlliste und ich wollte proftpd auch nichts
anderes unterjubeln sondern eben genau das Zertifikat bzw. den Symlink
proftpd.pem angeben.
Ok.
Post by Detlef Paschke
Nun bin ich der Ansicht, dass es dann doch überhaupt keinen Sinn macht,
dass proftpd überhaupt den Symlink proftpd.pem anlegt wenn er ohnehin
nicht auswählbar ist.
Da muss Ansgar was zu sagen, denn im Paket steht, dass die Option "den Namen
des Zertifikates enthält und wenn der nicht proftpd.pem ist, wird ein Link
auf proftpd.pem angelegt".

Es muss also irgendwie auch proftpd.pem möglich sein.
--
Gruß Marcus
[eisfair-Team]
Detlef Paschke
2020-03-13 21:35:48 UTC
Permalink
Post by Marcus Röckrath
Hallo Detlef,
Hallo Holger,
Post by Marcus Röckrath
Da muss Ansgar was zu sagen, denn im Paket steht, dass die Option "den Namen
des Zertifikates enthält und wenn der nicht proftpd.pem ist, wird ein Link
auf proftpd.pem angelegt".
Es muss also irgendwie auch proftpd.pem möglich sein.
wie ich schon schrieb, per Normalen Editor ist es kein Problem den
Symlink proftpd.pem einzutragen.

Viele Grüße
Detlef Paschke
--
registered Fli4l-User #00000209
Das "Zitat des Augenblicks" gibt es nur auf
http://www.schabau.goip.de
Loading...