vsftpd misconfiguration

[Serow]

Hi,
nmap sagt zu meiner vsftpd-Konfiguration, dass die falsch ist:

PORT     STATE SERVICE VERSION
21/tcp   open  ftp     vsftpd (Misconfigured)

Evtl kann da mal von euch einer drüberschaun und mir sagen was falsch ist:

listen=NO
anonymous_enable=NO
local_enable=YES
write_enable=YES
anon_upload_enable=NO
dirmessage_enable=YES
xferlog_enable=YES
connect_from_port_20=YES
chown_uploads=YES
chown_username=ftp
guest_enable=NO
xferlog_file=/var/log/vsftpd.log
xferlog_std_format=NO
log_ftp_protocol=YES
idle_session_timeout=600
data_connection_timeout=120
async_abor_enable=NO
ascii_upload_enable=NO
ascii_download_enable=NO
ftpd_banner=Welcome to my ftp service
chroot_local_user=NO
chroot_list_enable=NO
chroot_list_file=/etc/vsftpd.chroot_list
ls_recurse_enable=YES
secure_chroot_dir=/var/run/vsftpd
pam_service_name=vsftpd
rsa_cert_file=/etc/ssl/certs/ssl-cert-snakeoil.pem
rsa_private_key_file=/etc/ssl/private/ssl-cert-snakeoil.key
ssl_enable=NO
ssl_sslv2=NO
ssl_sslv3=NO
ssl_tlsv1=NO
allow_anon_ssl=NO
force_local_data_ssl=NO
force_local_logins_ssl=NO
pasv_promiscuous=NO
pasv_max_port=2009
pasv_min_port=2000
port_enable=YES
port_promiscuous=YES

thx
serow

 

[Heinzelotto]

hmm seltsam,

per Google habe ich auf ubuntuusers.de einen gefunden, der die gleichen Symptome bei nmap hatte, aber bei Ihm hing das mit SSL und den zugehörigen Zertifikaten/Keys zusammen. Du hast SSL jedoch deaktiviert.
Ich würde nun erstmal probieren, nmap im verbose-modus durchlaufen zu lassen (nmap -p 21 -v localhost), vielleicht gibt das Aufschluss über die Ursache der vermeintlichen Misskonfiguration (vielleicht gilt für nmap das Nichtvorhandensein von SSL als Misskonfiguration).

Falls das alles nichts hilft, gibt es hier noch ein HOWTO zur Einrichtung des vsftpd: http://gentoo-wiki.com/HOWTO_vsftpd

 

[Serow]

Jo danke - werd mir das HowTo mal ansehen. Hier der komplette Output im verbose mode:

mathias@wizard:~$ nmap -T Aggressive -A -v localhost

Starting Nmap 4.53 ( http://insecure.org ) at 2008-08-24 10:46 CEST
Initiating Ping Scan at 10:46
Scanning 127.0.0.1 [1 port]
Completed Ping Scan at 10:46, 0.00s elapsed (1 total hosts)
Initiating Connect Scan at 10:46
Scanning localhost (127.0.0.1) [1714 ports]
Discovered open port 80/tcp on 127.0.0.1
Discovered open port 21/tcp on 127.0.0.1
Discovered open port 22/tcp on 127.0.0.1
Discovered open port 631/tcp on 127.0.0.1
Completed Connect Scan at 10:46, 0.04s elapsed (1714 total ports)
Initiating Service scan at 10:46
Scanning 4 services on localhost (127.0.0.1)
Completed Service scan at 10:46, 6.11s elapsed (4 services on 1 host)
SCRIPT ENGINE: Initiating script scanning.
SCRIPT ENGINE: rpcinfo.nse is not a file.
SCRIPT ENGINE: Aborting script scan.
Host localhost (127.0.0.1) appears to be up ... good.
Interesting ports on localhost (127.0.0.1):
Not shown: 1710 closed ports
PORT    STATE SERVICE VERSION
21/tcp  open  ftp     vsftpd (Misconfigured)
22/tcp  open  ssh     OpenSSH 4.7p1 Debian 8ubuntu1.2 (protocol 2.0)
80/tcp  open  http    Apache httpd 2.2.8 ((Ubuntu) DAV/2 SVN/1.4.6)
631/tcp open  ipp     CUPS 1.2
Service Info: OSs: Unix, Linux

Read data files from: /usr/share/nmap
Service detection performed. Please report any incorrect results at http://insecure.org/nmap/submit/ .
Nmap done: 1 IP address (1 host up) scanned in 6.215 seconds

 

[Heinzelotto]

naja, der verbose-output hat jetzt nichts genaueres zur "Misconfiguration" ausgegeben...
Ich würde jetzt auch erstmal nach dem HOWTO neukonfigurieren und wenn das nix bringt, die config hier nochmal posten, vielleicht stolpert jemand drüber, der sich mit vsftpd genauer auskennt

 

[bitmuncher]

Also ich würde nicht unbedingt einem Portscanner vertrauen, der mir erklären will, dass ein Service falsch konfiguriert ist. Vielleicht wirft nmap das ja schon aus, wenn keine Verschlüsselung verwendet wird, weil FTP ohne Verschlüsselung potentiell unsicher ist.