1 votos

Recibido TLS alerta desde el servidor: Apretón de manos de error (40)

Tengo nuevo servidor web con proftpd de a bordo. El problema es que no se puede conectar a través de la filezilla cliente FTP porque me da un error

Status: Connection established, waiting for welcome message...
Response:   220 FTP Server ready.
Command:    AUTH TLS
Response:   234 AUTH TLS successful
Status: Initializing TLS...
Error:  Received TLS alert from the server: Handshake failed (40)
Error:  Could not connect to server

He encontrado que el error corresponde a la proftpd registro /var/log/proftpd/tls.log/var/log/proftpd/tls.log registro:

Jul 24 13:50:47 mod_tls/2.4.2[1572]: unable to accept TLS connection: protocol error: 
  (1) error:1408A0C1:SSL routines:SSL3_GET_CLIENT_HELLO:no shared cipher

Lo que significa que el cliente de ftp soporta ninguno de los algoritmos de cifrado propuesto por el servidor. Como resultado, se producirá un error de conexión.

También he encontrado un TLSCipherSuite directiva /etc/proftpd.conf que deshabilita ADH, DES, SSLv2 y SSLv3 sistemas de cifrado.

TLSCipherSuite                 ALL:!ADH:!DES:!SSLv2:!SSLv3

Cuando me quite :!SSLv3 de la directiva y reinicie el servidor de filezilla se conecta sin problemas. Pero la activación SSLv3 parece ser una mala idea, ya que es vulnerable e insegura, de acuerdo a la http://disablessl3.com/

Pregunta

Así que mi pregunta es ¿qué puedo hacer para que proftpd proporcionar al menos un seguro de cifrado para negociar con éxito con filezilla cliente de FTP?

Nota adicional

Hay una pregunta similar, Recibido TLS alerta desde el servidor: Apretón de manos de error (40) que dice

Utilice sólo por la simple FTP (inseguro)

pero quiero que la conexión sea segura por lo tanto la respuesta para mí es inútil.

Nota adicional #2

Lista de cifrados disponibles:

[root@server ~]# openssl ciphers -v 'ALL:!ADH:!DES:!SSLv2:!SSLv3'
ECDHE-RSA-AES256-GCM-SHA384 TLSv1.2 Kx=ECDH     Au=RSA  Enc=AESGCM(256) Mac=AEAD
ECDHE-ECDSA-AES256-GCM-SHA384 TLSv1.2 Kx=ECDH     Au=ECDSA Enc=AESGCM(256) Mac=AEAD
ECDHE-RSA-AES256-SHA384 TLSv1.2 Kx=ECDH     Au=RSA  Enc=AES(256)  Mac=SHA384
ECDHE-ECDSA-AES256-SHA384 TLSv1.2 Kx=ECDH     Au=ECDSA Enc=AES(256)  Mac=SHA384
DHE-DSS-AES256-GCM-SHA384 TLSv1.2 Kx=DH       Au=DSS  Enc=AESGCM(256) Mac=AEAD
DHE-RSA-AES256-GCM-SHA384 TLSv1.2 Kx=DH       Au=RSA  Enc=AESGCM(256) Mac=AEAD
DHE-RSA-AES256-SHA256   TLSv1.2 Kx=DH       Au=RSA  Enc=AES(256)  Mac=SHA256
DHE-DSS-AES256-SHA256   TLSv1.2 Kx=DH       Au=DSS  Enc=AES(256)  Mac=SHA256
ECDH-RSA-AES256-GCM-SHA384 TLSv1.2 Kx=ECDH/RSA Au=ECDH Enc=AESGCM(256) Mac=AEAD
ECDH-ECDSA-AES256-GCM-SHA384 TLSv1.2 Kx=ECDH/ECDSA Au=ECDH Enc=AESGCM(256) Mac=AEAD
ECDH-RSA-AES256-SHA384  TLSv1.2 Kx=ECDH/RSA Au=ECDH Enc=AES(256)  Mac=SHA384
ECDH-ECDSA-AES256-SHA384 TLSv1.2 Kx=ECDH/ECDSA Au=ECDH Enc=AES(256)  Mac=SHA384
AES256-GCM-SHA384       TLSv1.2 Kx=RSA      Au=RSA  Enc=AESGCM(256) Mac=AEAD
AES256-SHA256           TLSv1.2 Kx=RSA      Au=RSA  Enc=AES(256)  Mac=SHA256
ECDHE-RSA-AES128-GCM-SHA256 TLSv1.2 Kx=ECDH     Au=RSA  Enc=AESGCM(128) Mac=AEAD
ECDHE-ECDSA-AES128-GCM-SHA256 TLSv1.2 Kx=ECDH     Au=ECDSA Enc=AESGCM(128) Mac=AEAD
ECDHE-RSA-AES128-SHA256 TLSv1.2 Kx=ECDH     Au=RSA  Enc=AES(128)  Mac=SHA256
ECDHE-ECDSA-AES128-SHA256 TLSv1.2 Kx=ECDH     Au=ECDSA Enc=AES(128)  Mac=SHA256
DHE-DSS-AES128-GCM-SHA256 TLSv1.2 Kx=DH       Au=DSS  Enc=AESGCM(128) Mac=AEAD
DHE-RSA-AES128-GCM-SHA256 TLSv1.2 Kx=DH       Au=RSA  Enc=AESGCM(128) Mac=AEAD
DHE-RSA-AES128-SHA256   TLSv1.2 Kx=DH       Au=RSA  Enc=AES(128)  Mac=SHA256
DHE-DSS-AES128-SHA256   TLSv1.2 Kx=DH       Au=DSS  Enc=AES(128)  Mac=SHA256
ECDH-RSA-AES128-GCM-SHA256 TLSv1.2 Kx=ECDH/RSA Au=ECDH Enc=AESGCM(128) Mac=AEAD
ECDH-ECDSA-AES128-GCM-SHA256 TLSv1.2 Kx=ECDH/ECDSA Au=ECDH Enc=AESGCM(128) Mac=AEAD
ECDH-RSA-AES128-SHA256  TLSv1.2 Kx=ECDH/RSA Au=ECDH Enc=AES(128)  Mac=SHA256
ECDH-ECDSA-AES128-SHA256 TLSv1.2 Kx=ECDH/ECDSA Au=ECDH Enc=AES(128)  Mac=SHA256
AES128-GCM-SHA256       TLSv1.2 Kx=RSA      Au=RSA  Enc=AESGCM(128) Mac=AEAD
AES128-SHA256           TLSv1.2 Kx=RSA      Au=RSA  Enc=AES(128)  Mac=SHA256

3voto

user619271 Puntos141

La root del problema fue la ausencia de TLSProtocol directiva /etc/proftpd.conf. El valor predeterminado es de TLSv1 y evita el uso de TLSv1.2.

He añadido

  TLSProtocol                   TLSv1.2

a /etc/proftpd.conf, reinicie el servidor y se solucionó el problema.

https://forum.filezilla-project.org/viewtopic.php?f=2&t=45829&p=157134#p157134 http://www.proftpd.org/docs/contrib/mod_tls.html#TLSProtocol

Aunque resuelto en mi caso, también se recomienda el uso de

  TLSProtocol                   ALL -SSLv3

en su lugar.

https://forum.filezilla-project.org/viewtopic.php?p=157135#p157135

2voto

Liam Dennehy Puntos172

Asumiendo que usted está utilizando el sistema instalado OpenSSL bibliotecas (por ejemplo, su RedHat instalación de RPM), se puede ver la disposición de los cifrados mediante la ejecución de:

openssl ciphers -v 'ALL:!ADH:!DES:!SSLv2:!SSLv3'

Si filezilla simplemente no habla SSLv3/TLSv1 (aproximadamente equivalente), estás de suerte, y que debe buscar si hay una versión actualizada disponible que hace.

No puede ser otra configuración/ciphersuite valor que sea adecuado para su carga de trabajo, pero obteniendo de este foro sin el análisis de los requisitos de su situación no es aconsejable.

EnMiMaquinaFunciona.com

EnMiMaquinaFunciona es una comunidad de administradores de sistemas en la que puedes resolver tus problemas y dudas.
Puedes consultar las preguntas de otros sysadmin, hacer tus propias preguntas o resolver las de los demás.

Powered by: