# ssl sprechenden ftp mounten

## pieter_parker

hallo, viel konnte ich ueber google nicht finden zu dem thema....

weiss von euch jemmand wie man einen ftp der ssl spricht im system mounten kann?

ist das generel ueberhaupt moeglich?

----------

## manuels

fuse (http://fuse.sourceforge.net/) kann ftp mounten, ob es auch mit ssl funktioniert weiss ich nich

----------

## think4urs11

http://curlftpfs.sourceforge.net/

----------

## l3u

ssh-Zugang --> sshfs (sys-fs/sshfs-fuse)

----------

## b3cks

Kannst es mal mit sys-fs/sshfs-fuse oder net-fs/shfs versuchen, auch wenn die eigentlich für SFTP (SSH File Transfer Protocol) gedacht sind.

----------

## think4urs11

... nur so als allgemeiner Einwand da es hier öfter zu Verwirrungen kommt...

SFTP (hier S=SSH, nicht S=Simple und auch nicht S=Secure) und SecureFTP|FTP/SSL|FTPoSSL|FTPS (alle Namen meinen mehr oder minder das gleiche) sind zwei grundverschiedene Baustellen - letzteres ist im Redmond-lastigen Umfeld anscheinend deutlich weiter verbreitet.

Ersteres ist ein von FTP komplett verschiedenes Protokoll basierend auf SSH, letzteres ist eine ganz normale FTP-Verbindung mit Verschlüsselung, entweder des Steuerkanales, des Datenkanals oder beider Kanäle mittels SSLv2/v3/TLS - und damit es nicht allzu langweilig und übersichtlich bleibt können Teile davon auch über SSH und/oder Socks getunnelt sein/werden. Anders gesagt 17 Leute hatten ähnliche Ideen aber jeder setzt es etwas anders um.

Leider sind im Internet viele Quellen zu finden die alles munter durcheinander mixen   :Evil or Very Mad: 

und nein S(imple)FTP und T(rivial)FTP haben auch nicht viel miteinander zu tun wobei ich nicht wüßte das SimpleFTP überhaupt irgendwo in Verwendung ist, kam mir bisher noch nie unter, alle anderen schon.

----------

## pieter_parker

curlftpfs sieht gut aus, wuerde es mir gerne angucken und ausprobieren....

in /etc/portage/package.keywords habe ich net-fs/curlftpfs ~x86 eingetragen

emerge -av curlftpfs

```

These are the packages that would be merged, in order:

Calculating dependencies \

!!! All ebuilds that could satisfy "curlftpfs" have been masked.

!!! One of the following masked packages is required to complete your request:

- net-fs/curlftpfs-0.9 (masked by: package.mask)

# Daniel Black <dragonheart@gentoo.org> (09 Dec 2006)

# needs more compatibilty testing - bug #157718 for incompatibilites

# masked because of the above mask

For more information, see MASKED PACKAGES section in the emerge man page or

refer to the Gentoo Handbook.

```

mache ich etwas falsch oder was koennte der grund sein das es sich nicht installieren lassen moechteLast edited by pieter_parker on Tue Mar 06, 2007 4:12 pm; edited 1 time in total

----------

## Finswimmer

 *Quote:*   

> masked by: package.mask

 

Du musst es auch in /etc/portage/package.unmask eintragen.

Tobi

----------

## pieter_parker

hey tobi.. na

frueher hab ich nie eine masked sache in 2 dateien eintragen muessen... naja

net-fs/curlftpfs ~x86 hab ich in  /etc/portage/package.unmask reingeschrieben

aber es kommt die gleiche meldung wenn ich dann emerge -av curlftpfs versuche zumachen

..verstehe das nicht

warum

----------

## think4urs11

so sollte es gehen (analog natürlich mit evtl. abhängigen Paketen wie curl):

 */etc/portage/package.unmask wrote:*   

> =net-fs/curlftpfs-0.9

 

 */etc/portage/package.keywords wrote:*   

> net-fs/curlftpfs

 

----------

## pieter_parker

/etc/portage/package.unmask

=net-misc/curl-7.16.1

=net-fs/curlftpfs-0.9

/etc/portage/package.keywords

net-misc/curl

net-fs/curlftpfs

so funktioniert es nun....

----------

## pieter_parker

mit dem windows client "flashfxp" kommt beim verbinden eine meldung das der hostname nicht zu der ip passt, ich akzeptiere dann und er loggt sich auf dem ftp server ein

bei curlftpfs sieht das etwas anders aus....

```

curlftpfs -o user="abcde:1234",ssl ftp://123.123.123.123:21 /mnt/ftp-server/

Error connecting to ftp: SSL certificate problem, verify that the CA cert is OK. Details:

error:14090086:SSL routines:SSL3_GET_SERVER_CERTIFICATE:certificate verify failed

```

falls es jemmanden hilft... das zeigt der windows ftp client flashfxp beim einloggen an

```

[01:57:31] [R] Connecting to 123.123.123.123 -> IP=123.123.123.123 PORT=21

[01:57:31] [R] Connected to 123.123.123.123

[01:57:31] [R] 220-ftp-server

[01:57:32] [R] AUTH SSL

[01:57:32] [R] 234 Using authentication type SSL

[01:57:32] [R] Connected. Negotiating SSL session..

[01:57:34] [R] SSL negotiation successful...

[01:57:34] [R] SSL encrypted session using cipher AES256-SHA (256 bits)

[01:57:35] [R] PBSZ 0

[01:57:35] [R] 200 PBSZ=0

[01:57:35] [R] USER abcd

[01:57:35] [R] 331 Password required for abcd

[01:57:35] [R] PASS (hidden)

[01:57:35] [R] 230 Logged on

[01:57:35] [R] SYST

[01:57:35] [R] 215 UNIX emulated by ftp-server

[01:57:35] [R] FEAT

[01:57:35] [R] 211-Features:

[01:57:35] [R]  MDTM

[01:57:35] [R]  REST STREAM

[01:57:35] [R]  SIZE

[01:57:35] [R]  MLST type*;size*;modify*;

[01:57:35] [R]  MLSD

[01:57:35] [R]  AUTH SSL

[01:57:35] [R]  AUTH TLS

[01:57:35] [R]  UTF8

[01:57:35] [R]  CLNT

[01:57:35] [R] 211 End

[01:57:35] [R] CLNT FlashFXP

[01:57:35] [R] 200 Don't care

[01:57:35] [R] PWD

[01:57:35] [R] 257 "/" is current directory.

[01:57:35] [R] TYPE A

[01:57:35] [R] 200 Type set to A

[01:57:35] [R] PROT P

[01:57:35] [R] 200 Protection level set to P

[01:57:35] [R] PASV

[01:57:35] [R] 227 Entering Passive Mode (123.123.123.123,19,139)

[01:57:35] [R] Opening data connection IP: 123.123.123.123 PORT: 5003

[01:57:35] [R] LIST -al

[01:57:35] [R] Connected. Negotiating SSL session..

[01:57:35] [R] SSL negotiation successful...

[01:57:35] [R] SSL encrypted session using cipher AES256-SHA (256 bits)

[01:57:35] [R] 150 Connection accepted

[01:57:36] [R] 226 Transfer OK

[01:57:36] [R] List Complete: 809 bytes in 0,44 seconds (1,8 KB/s)

```

----------

## pieter_parker

.. hat jemmand eine idee wegen der fehlermeldung?

----------

## manuels

hmm, ich weiß nicht genau, aber ich glaube du musst dir das Zertifikat besorgen und in  /usr/local/ssl/certs/trusted (oder ähnlich) ablegen.

Kann aber auch gut sein, dass ich mich irre

----------

## pieter_parker

ssl/ gibt es nicht bei mir in /usr/local/

wenn es daran liegt, fragt sich nur wo/wie ich das zertifikat bekomme

im flashfxp muss ihm kein zertifikat mitgeben....

----------

## think4urs11

versuch es nochmal mit aktiviertem debugging (-d bzw. ftpfs_debug, siehe curlftpfs -h) und poste den output; ggf. wird es dann ersichtlich.

Ich vermute mal das flashfxp das Zertifikat der CA eingebaut hat die das Serverzertifikat ausgestellt hat und dieses bei curlftpfs fehlt.

----------

## manuels

 *Quote:*   

> ssl/ gibt es nicht bei mir in /usr/local/ 

  kann auch sein, dass es /etc/ssl/certs ist.

 *Quote:*   

> wenn es daran liegt, fragt sich nur wo/wie ich das zertifikat bekomme 

 hmm, was ist das denn für ein server? Meine Uni z.B. hat die Zertifikate für http über ssl (https) auf den http-Internetseiten zum download

 *Quote:*   

> im flashfxp muss ihm kein zertifikat mitgeben....

 Think4UrS11: Jo, entweder kennt er den CA oder aber ihm ist die Gültigkeit des Zertifikates egal (man kennt ja Windows...)

----------

## think4urs11

 *manuels wrote:*   

> Think4UrS11: Jo, entweder kennt er den CA oder aber ihm ist die Gültigkeit des Zertifikates egal (man kennt ja Windows...)

 So deutlich wollte ich es nicht schreiben  :Wink: 

----------

## pieter_parker

in /etc/ssl/certs/ gibt es 224 dateien bei mir

jungs, ich komme nicht ganz mit bei dem was ihr sagt... Think4UrS11, debug..wie?

du meinst die curlftpfs zeile mit -v fuer verbose? damit curlftpfs mehr anzeigt?

```

curlftpfs -v -o user="abcd:1234",ssl ftp://123.123.123.123:21 /mnt/ftp-server/

* Couldn't find host 123.123.123.123 in the .netrc file, using defaults

* About to connect() to 123.123.123.123 port 21 (#0)

*   Trying 123.123.123.123... * connected

* Connected to 123.123.123.123 (123.123.123.123) port 21 (#0)

< 220-ftp-server

> AUTH SSL

< 234 Using authentication type SSL

* successfully set certificate verify locations:

*   CAfile: /usr/share/curl/curl-ca-bundle.crt

  CApath: none

* SSL certificate problem, verify that the CA cert is OK. Details:

error:14090086:SSL routines:SSL3_GET_SERVER_CERTIFICATE:certificate verify failed

* Closing connection #0

Error connecting to ftp: SSL certificate problem, verify that the CA cert is OK. Details:

error:14090086:SSL routines:SSL3_GET_SERVER_CERTIFICATE:certificate verify failed

```

----------

## think4urs11

kann gut sein das dieser FTP-Server gar kein offiziell signiertes sondern ein self-signed certificate benutzt, in dem Fall ist der Fehler 'normal', offizielle sollten geprüft werden können solange deren CA in /usr/share/curl/curl-ca-bundle.crt aufgeführt ist.

Evtl. kannst du die Prüfung mit den Parametern no_verifiy_hostname/no_verify_host ausschalten, ich hab keinen passenden FTP-Server in Reichweite.

----------

## pieter_parker

```

curlftpfs -v -o user="abcd:123",ssl,no_verify_hostname,no_verify_peer ftp://123.123.123.123:21 /mnt/ftp-server/

* Couldn't find host 123.123.123.123 in the .netrc file, using defaults

* About to connect() to 123.123.123.123 port 21 (#0)

*   Trying 123.123.123.123... * connected

* Connected to 123.123.123.123 (123.123.123.123) port 21 (#0)

< 220-ftp-server

> AUTH SSL

< 234 Using authentication type SSL

* successfully set certificate verify locations:

*   CAfile: /usr/share/curl/curl-ca-bundle.crt

  CApath: none

* SSL connection using AES256-SHA

* Server certificate:

*        subject: ....

*        start date: 2007-02-02 22:00:21 GMT

*        expire date: 2008-02-01 22:00:21 GMT

*        common name: www.dudelidu.com (does not match '123.123.123.123')

*        issuer: ....

* SSL certificate verify result: self signed certificate (18), continuing anyway.

> USER abcd

< 331 Password required for abcd

> PASS 1234

< 230 Logged on

> PBSZ 0

< 200 PBSZ=0

> PROT P

< 200 Protection level set to P

> PWD

< 257 "/" is current directory.

* Entry path is '/'

* Connection #0 to host 123.123.123.123 left intact

```

ich hatte es gestern mit den beiden optionen auch schon versucht gehabt zwischen durch, aber noch nicht zusammen .. da kam ich nicht soweit, nun scheint es soweit schonmal zufunktionieren

gehe ich mit dem mc auf den gemounteten ftplink, funktioniert es recht gut

gehe ich mit dem konqueror auf den gemounteten ftplink, dann ist das oefnen von verzeichnissen sehr langsam (2 bis 4 sekunden)

wenn ich mit dem konqueror auf dem ftplink rumclicke sehe ich im tcptrack superviele verbindungen.. um die 30 stueck die auf und gleich wieder zugehen

mit dem windows ftpclient flashfxp kann ich 4 5 6 sogar 7 mal oder mehr gleichzeitig auf den ftpverbunden sein und rauf/runter -laden

kopiere ich mit dem mc eine datei runter und versuche waerend dessen mit einem 2ten mc eine 2te datei runter zukopieren .. bricht beim 1sten kopiervorgang im ersten mc der download ab

----------

## pieter_parker

hat jemmand eine idee wie ich den konqueror dazu bekomme das er nicht soviele verbindunen aufmacht wenn ich in den gemounteten ftp gehe?

oder kann man das ueber curlftpfs begrenzen?

----------

## pieter_parker

fragezeichen

----------

## pieter_parker

zwei fragezeichen

----------

## pieter_parker

drei fragezeichen

----------

