问题[pureftpd](server)

我已经在使用链的iptables默认DROP策略运行的 Debian 10 机器上安装了 Pure-FTPd。链设置为INPUT。OUTPUTACCEPT

问题：如果我尝试连接 FTP 客户端，它有时只能工作。似乎可以随机列出文件夹或失败。通常重试新连接会起作用。

我的Pure-FTPd 配置了以下端口：

$ cat /etc/pure-ftpd/conf/Bind
85.xxx.xxx.xxx,57419

$ cat /etc/pure-ftpd/pure-ftpd.conf | grep Port
# Port range for passive connections - keep it as broad as possible.
PassivePortRange             30000 50000

要打开我使用的防火墙上的端口：

iptables -A INPUT -p tcp --dport 57419 -j ACCEPT
iptables -A INPUT -p tcp --dport 30000:50000 -j ACCEPT

服务器上的日志：

pure-ftpd]: ([email protected]) [INFO] New connection from 176.x.x.x
pure-ftpd]: ([email protected]) [INFO] TLS: Enabled TLSv1.2 with ECDHE-RSA-AES256-GCM-SHA384, 256 secret bits cipher
pure-ftpd]: ([email protected]) [INFO] testuser is now logged in
// no more output until the client retries a new connection

现在 FTP 客户端会说它正在列出一段时间，然后：

现在，如果我将 iptablesINPUT链设置为ACCEPT一切正常，那么 Pure-FTPd 随机尝试使用的某些端口似乎仍然被阻塞，我该如何调试/修复它？

谢谢你。

我正在寻找纯 ftpd 中的 SNI 支持。我在这里找到了一些文档：https ://download.pureftpd.org/pub/pure-ftpd/doc/README.TLS

请阅读以上链接中的自定义证书处理程序部分。它指定了服务 pure-certd 的使用。但我找不到安装此服务的方法。

请帮助我找到安装它的方法。使用的操作系统是 Centos 7。 Pure-ftpd 版本：pure-ftpd v1.0.47 [privsep]

我可以在 Ubuntu 机器上向 PureFtpD 添加多个绑定端口吗？我可以更改绑定端口，编辑 /etc/pure-ftpd/Bind 文件。但我不明白如何设置额外的端口。我试图在 Bind 文件中添加一个新行，但它不起作用。

我正在使用纯 ftpd 和 mysql 来验证用户。

这是我的 mysql.conf

MYSQLServer     localhost
MYSQLPort       3306
MYSQLSocket     /var/run/mysqld/mysqld.sock
MYSQLUser       user
MYSQLPassword   pwd
MYSQLDatabase   my_db
MYSQLCrypt      crypt()
MYSQLGetPW      SELECT password FROM ftp_users WHERE login="\L"
MYSQLGetUID     SELECT u_id FROM ftp_users WHERE login="\L"
MYSQLGetGID     SELECT g_id FROM ftp_users WHERE login="\L"
MYSQLGetDir     SELECT dir FROM ftp_users WHERE login="\L"
MySQLGetQTAFS   SELECT quota_files FROM ftp_users WHERE login="\L"
MySQLGetQTASZ  SELECT quota_size FROM ftp_users WHERE login="\L"
MySQLGetRatioUL SELECT ul_ratio FROM ftp_users WHERE login="\L"
MySQLGetRatioDL SELECT dl_ratio FROM ftp_users WHERE login="\L"
MySQLGetBandwidthUL SELECT ul_bandwidth FROM ftp_users WHERE login="\L"
MySQLGetBandwidthDL SELECT dl_bandwidth FROM ftp_users WHERE login="\L"

然后我尝试重新启动 pure-ftpd-mysql 和 pure-ftpd

我的表有一个字段，密码为

password    varchar(255)

当我使用明文密码插入用户时，我可以使用登录名和密码登录。当我插入带有“lol”的哈希时，例如 SHA512 或 BCrypt 哈希。它不允许我使用密码“lol”登录。

BCrypt $2a$06$JrvxpMAvi6MnRSIvZQMMxOffIDLtEP7lrKNe0k0CTsK51v4zujfpS
SHA512 3DD28C5A23F780659D83DD99981E2DCB82BD4C4BDC8D97A7DA50AE84C7A7229A6DC0AE8AE4748640A4CC07CCC2D55DBDC023A99B3EF72BC6CE49E30B84253DAE

但是，如果我粘贴到哈希中，它会成功登录，因为我认为它将它作为纯文本值。

我尝试将 mysql.conf 更改为

MYSQLCrypt      crypt

但这完全打破了它。有很多网站说要使用 crypt，但我的配置文件中的注释将 crypt() 列为选项之一。

我已经阅读了很多帖子和论坛，但我发现最接近的是这个，它根本不起作用。

https://serverfault.com/a/630806/302696

这是 pure-ftpd 的开头

Starting ftp server: Running: /usr/sbin/pure-ftpd-mysql -l mysql:/etc/pure-ftpd/db/mysql.conf -l puredb:/etc/pure-ftpd/pureftpd.pdb -l puredb:/etc/pure-ftpd/pureftpd.pdb -E -F /etc/pure-ftpd/fortunes.txt -j -H -J ALL:!aNULL:!SSLv3 -u 1000 -8 UTF-8 -A -O clf:/var/log/pure-ftpd/transfer.log -B

所以基本上它没有使用 crypt 或者我没有正确使用它。我虽然它可以用 mysql 本机处理 SHA512，但它不能。我能想到的其他事情是我需要带有配置的代码，但我不明白为什么它需要任何东西。

我收到了来自 GoDaddy 的新 SSL 证书，旧的来自 Comodo。

内容/etc/ssl/private/pure-ftpd.pem如下：

 -----BEGIN PRIVATE KEY-----     
 PRIVATE KEY USED TO CREATE THE CSR
 -----END PRIVATE KEY-----
 -----BEGIN CERTIFICATE-----
 CONTENTS OF CRT FILE RECEIVED BY GODADDY
 -----END CERTIFICATE-----

更新文件内容后，我重新启动pure-ftpd然后检查状态：

 /etc/init.d/pure-ftpd restart
 /etc/init.d/pure-ftpd status

 [ ok ] pure-ftpd is running.

一切似乎都很好。现在我尝试验证新证书：

编辑CRT：我将GoDaddy 提供的“捆绑”文件添加到 中，现在我得到了这个输出（但由于下面显示的错误，/etc/ssl/certs我仍然无法重新启动）apache2

 openssl verify -CApath /etc/ssl/certs /etc/ssl/private/pure-ftpd.pem

 pure-ftpd.pem: OK

然后我尝试重新启动apache2（假设这会告诉系统使用新证书）：

 apache2ctl graceful

 httpd not running, trying to start
 Action 'graceful' failed.
 The Apache error log may have more information.

阿帕奇错误日志：

 [error] Unable to configure RSA server private key
 [error] SSL Library Error: 185073780 error:0B080074:x509 certificate routines:X509_check_private_key:key values mismatch

看似相关的部分/etc/apache2/sites-available/default-ssl： 如果我生成了新的私钥，是否需要以某种方式更新PEM声明为的文件？SSLCertificateFile（如果是这样，它究竟需要什么，以及如何实现这一点？）

 SSLCertificateFile    /etc/ssl/certs/my.server.net.pem
 SSLCertificateKeyFile /etc/ssl/private/my.server.net.key

我还尝试使用这些命令来比较每个文件的模数，它们是相同的：

 openssl x509 -noout -modulus -in /etc/ssl/private/pure-ftpd.pem | openssl md5
 openssl rsa -noout -modulus -in /etc/ssl/private/my.server.net.key | openssl md5

谁能指出我正确的方向？

另一个编辑：当我通过 FileZilla 等客户端访问 FTP 服务器时，我收到了新 GoDaddy 证书的凭据。太好了，但是这个问题让我发疯了！

我从防火墙端口 21 打开 Google Cloud Engine 上的 FTP，但我只能通过活动模块连接到 FTP。我也想用被动模式。

根据https://stackoverflow.com/questions/24566692/filezilla-ftp-server-fails-to-retrieve-directory-listing端口 50000-55000 必须打开，但我试过了。这个答案不适用于我的情况。当我打开 TCP 的所有端口时，我可以通过被动模式连接，但我不想打开所有端口（或者我需要打开所有端口吗？？）

在这里我找到了所有端口的东西：

被动模式

在被动模式下，客户端无法控制服务器为数据连接选择的端口。因此，为了使用被动模式，您必须允许到防火墙中所有端口的传出连接。

我的问题是我需要为被动模式打开所有端口还是可以做其他事情？

系统

操作系统：带有最新软件包的 CentOS 7

FTP服务：PureFTPd

更新

当我尝试使用被动模式时，在卡在检索文件列表之后，日志显示已登录（我无法发布日志，因为我的日志文件不是英文的）

感谢和问候

我在 docker 容器中以非 root 用户身份运行 pureftp file_app。

这是我分配的权限

chown -R file_app:file_app /etc/pure-ftpd
chown -R file_app:file_app /etc/ssl/private
chown -R file_app:file_app /var/log/pure-ftp
chown -R file_app:file_app /usr/share/lintian/overrides/pure-ftpd
chown -R file_app:file_app /usr/share/nginx # FTP HOME DIR

当我尝试以/usr/sbin/pure-ftpd用户身份启动时file_app，出现此错误

无法启动独立服务器：权限被拒绝

当我以 root 身份启动时，一切正常

如何以非 root 用户身份运行 pure-ftpd？

我在 Ubuntu Server 12.04 上全新安装了 pure-ftpd，但我终其一生都找不到任何类型的中央配置文件。我需要做的就是设置一个被动端口范围。在这一点上，我会知道它的默认被动端口范围（假设它有一个），这样我就可以更改防火墙以匹配它。有任何想法吗？