Telnet und FTP über IPv6 / enable SFTP

wsxws · 13. August 2017, 09:40

Hallo zusammen,

wie bekomme ich denn hin, dass Telnet und VSftp auf IPv& hören ?

Ach ja, und wie man SFTP aktivieren kann, wäre auch interessant (zumindest alternativ, wenn die anderen beiden nicht wollen)

Das ist mein aktueller netstat -tulpen

Spoiler anzeigen

wie man sehen kann, sind es lediglich SSH und http, die auf IPv6 hören

Ich weiß ja ncht, ob das is diesem Fall eine Rolle spielt, aber die betreffende Box hier ist eine Solo2

rdamas · 13. August 2017, 10:43

Der Dropbear SSHD kann kein SFTP; vsftp kann kein SFTP, da müsstest du proftpd ausprobieren (ich meine das in der Doku gelesen zu haben) oder auf OpenSSH zurückgreifen; der vsftpd kann IPV6, wenn du ihn standalone betreibst und in der Konfig listen_ipv6=YES einträgst. Mit dem (Busybox-) inetd kann ich ihn auch nicht dazu überreden. Damit der telnetd IPV6 mit dir redet, probier mal telnet stream tcp6 nowait root /usr/sbin/telnetd telnetd in der inetd.conf - das funktioniert hier wenigstens auf der Solo4k.

wsxws · 13. August 2017, 12:55

hm
mit dem telnet-eintrag in der inetd.conf hört telnet jetzt zwar auf ipv6, aber nicht mehr auf ipv4.
was den vsftp angeht, so kann ich in der vsftpd.conf eintragen was ich will, das nimmt der nicht.
ich kann aber in der inetd.con ftp auch mit tcp6 starten, womit dann ftp auf ipv6 hört aber auch nicht mehr auf ipv4

wie kann ich vsftp denn als standalone und nicht über inetd starten lassen ?
und geht das mit telnet eventuell auch ?

rdamas · 13. August 2017, 13:19

Die Einträge aus der inetd.conf austragen, ein Start-Script unter /etc/init.d/ anlegen, in dem du vsftpd mit start-stop-daemon startest. Zum testen kannst du in der Konsole auch einfach "vsftpd" eingeben, das Programm forkt sich nicht automatisch in den Hintergrund. Das geht auch mit telnetd.

wsxws · 13. August 2017, 13:25

okay, netstat schwindelt
wenn man telnet in der inetd.con auf tcp6 stellt reagierts auch auf ipv4 (obwohl netstat -tlpen keinen listener auf ipv4 anzeigt)
das gleiche funzt mit vsftp leider nicht
wenn man vsftp aber aus der initd.conf raufnimmet und mit vsftpds /etc/vsftpd.conf & startet gehts
hier zeigt netstat zwar wieder keinen listener auf ipv4 an, connecten geht aber auch mit ipv4

mit diesem output

Spoiler anzeigen

regieren sowohl telnet als auf ftp auf ipv4 (warum auch immer)

bleibt damit eigentlich nur noch dir frage, wie ich vsftp automatisch als standalone starten kann (ein strartscript in /etc/init.d gibts leider nicht)

rdamas · 13. August 2017, 13:36

Netstat ist das Busybox-Netstat; und busybox ist halt reichlich abgespeckt, da kannste nicht das volle Programm erwarten (ich hab auf der Solo4k schon diverse Busybox-Links durch die Original-Programme ausgetauscht, weil die meistens besser funktionieren).

Start-Stopp-Script ist aber doch einfach - nimm dir das für usbtunerhelper als Vorlage und tausche darin usbtunerhelper durch vsftpd; dann noch die Symlinks in den gewünschten Runlevels anlegen (geht auch mit update-rc.d - damit komme ich aber nie zurecht) und Box einmal neu starten.

wsxws · 13. August 2017, 13:41

falls noch emand sowas brauchen sollte

Shell-Script: vsftpd

#!/bin/sh
### BEGIN INIT INFO
# Provides: vsftpd
# Required-Start: $network $remote_fs $syslog
# Required-Stop: $network $remote_fs $syslog
# Default-Start: 2 3 4 5
# Default-Stop: 0 1 6
# Short-Description: Very secure FTP server
# Description: Provides a lightweight, efficient FTP server written
# for security.
### END INIT INFO
set -e
DAEMON="/usr/sbin/vsftpd"
NAME="vsftpd"
PATH="/sbin:/bin:/usr/sbin:/usr/bin"
LOGFILE="/var/log/vsftpd.log"
test -x "${DAEMON}" || exit 0
if [ ! -e "${LOGFILE}" ]
then
touch "${LOGFILE}"
chmod 640 "${LOGFILE}"
chown root:adm "${LOGFILE}"
fi
case "${1}" in
start)
start-stop-daemon --start --background -m --oknodo --pidfile /var/run/vsftpd/vsftpd.pid --exec ${DAEMON}
;;
stop)
#start-stop-daemon --stop --pidfile /var/run/vsftpd/vsftpd.pid --oknodo --exec ${DAEMON}
pkill vsftp
rm -f /var/run/vsftpd/vsftpd.pid
;;
restart)
${0} stop
${0} start
;;
*)
echo "Usage: ${0} {start|stop|restart}"
exit 1
;;
esac
exit 0

Alles anzeigen

stop ) ist nicht die sauberste version, aber start-stop-daemon zickt (zumindest bei mir) rum, darum der pkill

@rdamas danke für die tips :')

ach ja, nur vervollständigug:

in der /etc/inetd.conf habe ich die ftp-zeile auskommentiert (ein # davor gesetzt) und in der telnet-teile aus dem tcp ein tcp6 gemacht
das script oben in /etc/init.d kopiert und mit chmod +x ausführbar gemacht
danach einfach einen link in /etc/rc3.d gemacht (ln -s ....)
danach erreicht man die box über telnet, ssh, http und ftp sowohl über ipv4 als auch über ipv6

Banana Joe · 13. August 2017, 15:42

SCP anstatt SFTP verwenden. Ist schneller und muss nicht extra installiert werden.

Nachteil ist höchstens, dass man auf ein paar wenige Features verzichten muss, wie z.B. abgebrochene up/downloads nicht wiederaufnahmen

wsxws · 13. August 2017, 15:59

man lernt ja echt nie aus. scp funzt in der tat mit dem dropbear-ssh-gedönse.
danke für den tip, geht auf direktem weg in den hinterkopf für notfälle

Banana Joe · 13. August 2017, 16:37

Nur bei Notfall? ssh/scp ist ein vollständiger Ersatz für alle Dienste mit mit Klartextpasswörtern plus sftp/ftps.

ssh/scp ist von Hause aus Skriptfähig, incl. remote execution usw... (telnet/ftp zwar auch irgendwie, aber ggf. nur mit unschönen Klimmzügen), unterstützt Private-Key Authentifizierung, und es gibt hervorragende GUI-Clients (für Win: winscp)

Es gibt m.M. nach keinen sinnvollen Grund, warum man unsichere Dienste wie telnet/ftp überhaupt aktiviert haben sollte.