TLS-Warnung vom Server empfangen: Handshake fehlgeschlagen (40)
2688
user619271
Ich habe einen neuen Webserver mit proftpdOnboard. Das Problem ist, dass ich keine Verbindung über filezillaFTP-Client herstellen kann, da es einen Fehler gibt
Status: Connection established, waiting for welcome message... Response: 220 FTP Server ready. Command: AUTH TLS Response: 234 AUTH TLS successful Status: Initializing TLS... Error: Received TLS alert from the server: Handshake failed (40) Error: Could not connect to server
Ich habe festgestellt, dass der Fehler dem Protokollsatz von Proftpd entspricht /var/log/proftpd/tls.log/var/log/proftpd/tls.log:
Dies bedeutet, dass der FTP-Client keine der vom Server vorgeschlagenen Verschlüsselungsalgorithmen unterstützt. Daher schlägt die Verbindung fehl.
Ich habe auch eine TLSCipherSuiteRichtlinie, /etc/proftpd.confdass deaktiviert ADH, DES, SSLv2und SSLv3Chiffren.
TLSCipherSuite ALL:!ADH:!DES:!SSLv2:!SSLv3
Wenn ich :!SSLv3den Server aus der Direktive entferne und den Server neu starte, stellt filezilla eine Verbindung ohne Probleme her. Das Aktivieren SSLv3scheint jedoch eine schlechte Idee zu sein, da es laut http://disablessl3.com/ anfällig und unsicher ist.
Frage
Meine Frage ist also: Was kann ich tun, um proftpdmindestens eine sichere Chiffre für erfolgreiche Verhandlungen mit einem filezillaFTP-Client bereitzustellen ?
Die Wurzel des Problems war das Fehlen einer TLSProtocolRichtlinie in /etc/proftpd.conf. Der Standardwert ist TLSv1und verhindert die Verwendung von TLSv1.2.
Ich habe hinzugefügt
TLSProtocol TLSv1.2
auf /etc/proftpd.conf, neu gestartet wurde den Server und das Problem ist gelöst.
Wenn Sie die vom System installierten OpenSSL-Bibliotheken verwenden (z. B. Ihre RedHat RPM-Installation), können Sie die verfügbaren Verschlüsselungen anzeigen, indem Sie Folgendes ausführen:
openssl ciphers -v 'ALL:!ADH:!DES:!SSLv2:!SSLv3'
Wenn filezilla einfach nicht SSLv3 / TLSv1 spricht (ungefähr gleichwertig), haben Sie kein Glück und sollten prüfen, ob eine aktualisierte Version verfügbar ist, die dies tut.
Möglicherweise gibt es eine andere Konfiguration / Ciphersuite-Einstellung, die für Ihre Arbeitslast geeignet ist. Es ist jedoch nicht ratsam, die Informationen in diesem Forum zu erhalten, ohne die Anforderungen Ihrer Situation richtig zu analysieren.
Nun müssen Sie sehen, welche Verschlüsselungen und SSL / TLS-Versionen von Ihrem FileZilla-Client unterstützt werden. Wenn es nicht mindestens eine gibt, die sich überschneidet, wird dies niemals funktionieren.
Liam Dennehy vor 7 Jahren
1