こんばんは。
おやじさんの構築記事を参考にvsftpdのSSL接続とxinetdでの起動を設定したんですが、xinetdでの起動で躓いて困っています。
どうも、vsftpd起動時にpassphaseの入力で待機しているようです。
(standalone時にも入力を求められます。)
作成したpemがまずかったかと思い数回作り直したのですが、状況の進展がありませんのでお知恵を貸していただければと思い書き込みました。
もし、何かヒントになりそうなことでもあれば教えていただけませんでしょうか。
OSはCENTOS5
vsftpdはyumからのインストールで2.0.5-10.el5です。
logにはvsftpdに関するエラーなどは見当たりませんでした。
よろしくお願いします。
> どうも、vsftpd起動時にpassphaseの入力で待機しているようです。
> (standalone時にも入力を求められます。)
パスフレーズを入れれば起動するということですよね。
> 作成したpemがまずかったかと思い数回作り直したのですが、状況の進展がありませんのでお知恵を貸していただければと思い書き込みました。
> もし、何かヒントになりそうなことでもあれば教えていただけませんでしょうか。
> OSはCENTOS5
> vsftpdはyumからのインストールで2.0.5-10.el5です。
> logにはvsftpdに関するエラーなどは見当たりませんでした。
証明書はどうやって作成されましたか?下記?
http://www.aconus.com/~oyaji/www/certs_linux.htm
現象からすると、おっしゃるとおりサーバ用秘密鍵(newkey.pem)の作成で、秘密鍵にパスフレーズを入れないよう「-nodes」で作成していないのでは? と思いますが・・・。
お世話になります。
作成ですが、そちらのページを参考に作成しました。
>証明書はどうやって作成されましたか?下記?
>http://www.aconus.com/~oyaji/www/certs_linux.htm
ただ、
# CA.pl -newreq-nodes
をそのまま入力すると、パラメータエラーになったため、
# CA.pl -newreq -nodes
として作成しました。
ここが原因でしょうか・・・
> ただ、
> # CA.pl -newreq-nodes
> をそのまま入力すると、パラメータエラーになったため、
> # CA.pl -newreq -nodes
> として作成しました。
>
> ここが原因でしょうか・・・
そうです。
どういうエラーかわかりませんが、いきなりエラーがでることは無いと思いますので、よく注意してやり直してみてください。
因みに、CA.plは最初のパラメータしか見ていませんので、「CA.pl -newreq -nodes」は「CA.pl -newreq」と同じです。
> お世話になります。
>
> 作成ですが、そちらのページを参考に作成しました。
>
> >証明書はどうやって作成されましたか?下記?
>
> >http://www.aconus.com/~oyaji/www/certs_linux.htm
>
> ただ、
> # CA.pl -newreq-nodes
> をそのまま入力すると、パラメータエラーになったため、
> # CA.pl -newreq -nodes
> として作成しました。
>
> ここが原因でしょうか・・・
わたしの方法
キーの作成
CA.pl -newreq
パスフレーズの削除
openssl rsa -in newkey.pem -out newkey.pem
パスフレーズの追加
openssl rsa -des3 -in newkey.pem -out newkey.pem
お世話になります。
やはり、
# CA.pl -newreq-nodes
はどうしてもエラーになるため、strangerさんのやり方にしたところ、パスフレーズなしのpemを無事作成できました。
ありがとうございました。
その後、standaloneでのvsftpdの起動時にパスフェーズの入力を求められることはなくなりクライアントからの接続もできたのですが、xinetd経由に切り替えた際にsftpクライアントからの接続に失敗します。
lsofにてポートの状況を確認したところ、当該ポートは待ち受け状態になっていませんでした。
/etc/vsftpd/vsftpd.confでlistenポートを変更しているのですが、こちらのconfファイルでの設定変更だけでは不足でしょうか?
ほかに設定が必要な箇所があるようならご指摘お願いします。
> お世話になります。
>
> やはり、
> # CA.pl -newreq-nodes
> はどうしてもエラーになるため、strangerさんのやり方にしたところ、パスフレーズなしのpemを無事作成できました。
> ありがとうございました。
>
> その後、standaloneでのvsftpdの起動時にパスフェーズの入力を求められることはなくなりクライアントからの接続もできたのですが、xinetd経由に切り替えた際にsftpクライアントからの接続に失敗します。
>
> lsofにてポートの状況を確認したところ、当該ポートは待ち受け状態になっていませんでした。
>
> /etc/vsftpd/vsftpd.confでlistenポートを変更しているのですが、こちらのconfファイルでの設定変更だけでは不足でしょうか?
>
> ほかに設定が必要な箇所があるようならご指摘お願いします。
redhat系のxinetdはlibwrapの制御を受けますが
/etc/hosts.allowでvsftpdのアクセスを許可していますか
> やはり、
> # CA.pl -newreq-nodes
> はどうしてもエラーになるため、strangerさんのやり方にしたところ、パスフレーズなしのpemを無事作成できました。
> ありがとうございました。
どんなエラーか前回も書いてくれませんでした(何故肝心なことを記載しない????)ので原因が想定できませんが、いままで、おやじはSUSE、CentOS、Windowsのいずれもエラーなど出たこともないので、何か誤っているか、壊れているとしかいいようがありません。
ファイルが壊れることなどまずないので、単なるミスでしょう。
> その後、standaloneでのvsftpdの起動時にパスフェーズの入力を求められることはなくなりクライアントからの接続もできたのですが、xinetd経由に切り替えた際にsftpクライアントからの接続に失敗します。
>
> lsofにてポートの状況を確認したところ、当該ポートは待ち受け状態になっていませんでした。
>
> /etc/vsftpd/vsftpd.confでlistenポートを変更しているのですが、こちらのconfファイルでの設定変更だけでは不足でしょうか?
standaloneからxinetd経由にして、何でlistenポートを触るのですか? 意味がよくわかりません。
それより、xinetd経由にした時に Liten=NO にしてますか?
> > やはり、
> > # CA.pl -newreq-nodes
> > はどうしてもエラーになるため、strangerさんのやり方にしたところ、パスフレーズなしのpemを無事作成できました。
> > ありがとうございました。
>
> どんなエラーか前回も書いてくれませんでした(何故肝心なことを記載しない????)ので原因が想定できませんが、いままで、おやじはSUSE、CentOS、Windowsのいずれもエラーなど出たこともないので、何か誤っているか、壊れているとしかいいようがありません。
> ファイルが壊れることなどまずないので、単なるミスでしょう。
突然すみません。似たような現象にぶつかりました。ご助言頂けると幸いです。
現象:
[root@localhost certs]# CA -newreq-nodes
を実行すると
Unknown arg -newreq-nodes
と怒られてしまう。
※CA -newreqコマンドは、問題無く使用できます。パスフレーズの入力を求められますが・・・・
バージョンとかが関係しているのでしょうか?
使用環境は、colinuxにCent4を入れています。
"CA -newreq-nodes"が使用出来ないということは、パスフレーズ無しにするためには、strangerさんの方法しかないのでしょうか?
> 現象:
> [root@localhost certs]# CA -newreq-nodes
> を実行すると
> Unknown arg -newreq-nodes
> と怒られてしまう。
>
> ※CA -newreqコマンドは、問題無く使用できます。パスフレーズの入力を求められますが・・・・
>
> バージョンとかが関係しているのでしょうか?
> 使用環境は、colinuxにCent4を入れています。
> "CA -newreq-nodes"が使用出来ないということは、パスフレーズ無しにするためには、strangerさんの方法しかないのでしょうか?
おやじは間違っても「CA」とシェルでは説明しておらず、「CA.pl」とperlスクリプトで説明していますよね。
実際のスクリプトを見れば、CA.plとCAはこのあたりが違うのは一目瞭然と思います。
おやじのコンテンツを見ながら、何故異なることをやっていらっしゃるのか? その結果が異なっているのは何故か?と疑問を持たれた経緯におやじは興味がありますが・・・。
CA.plでやればできるはずです。strangerさんの方法が間違っているという意味ではないのはわかりますよね。後で削除するくらいなら最初からいらないのでは、というぐらいの意味ですから。