Не запускается vsftpd при включении SSL в конфиге?

Question

[Dymok]

Есть debian 9, на нем vsftpd, всё работает, хочу чтобы всё передаваемое шифровалось. Почитал мануалы, всё начинается со строки ssl_enable=YES. Ок, пробую, пишу эту строку в /etc/vsftpd.conf и перезагружаю vsftpd.
Смотрю статус vsftpd и...

daad@deb9~ $ sudo service vsftpd status
● vsftpd.service - vsftpd FTP server
   Loaded: loaded (/lib/systemd/system/vsftpd.service; enabled; vendor preset: enabled)
   Active: failed (Result: exit-code) since Mon 2018-11-19 22:53:39 MSK; 3s ago
  Process: 1910 ExecStart=/usr/sbin/vsftpd /etc/vsftpd.conf (code=exited, status=2)
  Process: 1907 ExecStartPre=/bin/mkdir -p /var/run/vsftpd/empty (code=exited, status=0/SUCCESS)
 Main PID: 1910 (code=exited, status=2)

Nov 19 22:53:39 deb9 systemd[1]: Starting vsftpd FTP server...
Nov 19 22:53:39 deb9 systemd[1]: Started vsftpd FTP server.
Nov 19 22:53:39 deb9 systemd[1]: vsftpd.service: Main process exited, code=exited, status=2/INVALIDARGUMENT
Nov 19 22:53:39 deb9 systemd[1]: vsftpd.service: Unit entered failed state.
Nov 19 22:53:39 deb9 systemd[1]: vsftpd.service: Failed with result 'exit-code'.

Что ему не нравится именно в этой строке? Если поставить ее значение в NO - всё работает.
Весь конфиг:

spoiler

listen=NO
listen_ipv6=YES
anonymous_enable=NO
local_enable=YES
write_enable=YES
local_umask=022
dirmessage_enable=YES
use_localtime=YES
xferlog_enable=YES
connect_from_port_20=YES
chroot_local_user=YES
secure_chroot_dir=/var/run/vsftpd/empty
pam_service_name=vsftpd
ssl_enable=YES
allow_anon_ssl=NO
rsa_cert_file=/etc/vsftpd/vsftpd.pem
log_ftp_protocol=YES
pasv_min_port=40000
pasv_max_port=50000

Comments

[Hanneman]

Что пишет команда journalctl -xn и что в логах /var/log/vsftpd.log?

[Dymok]

Hanneman,

journalctl -xn

robbieb@deb9~ $ sudo journalctl -xn
-- Logs begin at Mon 2018-11-19 22:20:42 MSK, end at Mon 2018-11-19 23:06:06 MSK. --
Nov 19 23:05:19 deb9 systemd[1]: vsftpd.service: Unit entered failed state.
Nov 19 23:05:19 deb9 systemd[1]: vsftpd.service: Failed with result 'exit-code'.
Nov 19 23:05:24 deb9 sudo[2046]:  robbieb : TTY=pts/0 ; PWD=/home/robbieb ; USER=root ; COMMAND=/bin/systemctl status vsftpd
Nov 19 23:05:24 deb9 sudo[2046]: pam_unix(sudo:session): session opened for user root by robbieb(uid=0)
Nov 19 23:05:24 deb9 sudo[2046]: pam_unix(sudo:session): session closed for user root
Nov 19 23:05:33 deb9 sudo[2060]:  robbieb : TTY=pts/0 ; PWD=/home/robbieb ; USER=root ; COMMAND=/bin/journalctl -xe
Nov 19 23:05:33 deb9 sudo[2060]: pam_unix(sudo:session): session opened for user root by robbieb(uid=0)
Nov 19 23:06:04 deb9 sudo[2060]: pam_unix(sudo:session): session closed for user root
Nov 19 23:06:06 deb9 sudo[2067]:  robbieb : TTY=pts/0 ; PWD=/home/robbieb ; USER=root ; COMMAND=/bin/journalctl -xn
Nov 19 23:06:06 deb9 sudo[2067]: pam_unix(sudo:session): session opened for user root by robbieb(uid=0)

в логе /var/log/vsftpd.log при перезагрузке не появляется ничего нового вообще, только логи загрузок файлов

[Roman Ratkin]

А сертификат вы сгенерировали?

[Dymok]

Roman Ratkin, да, лежит как и указано в конфиге:

robbieb@deb9~ $ ls -la /etc/vsftpd/
total 12
drwxr-xr-x  2 root root 4096 Nov 19 22:49 .
drwxr-xr-x 88 root root 4096 Nov 19 23:05 ..
-rw-------  1 root root 1880 Nov 19 22:45 vsftpd.pem

Может права какие другие нужны?

Генерировал их так:

/usr/bin/openssl req -x509 -nodes -days 3065 -newkey rsa:1024 -keyout /etc/vsftpd/vsftpd.pem -out /etc/vsftpd/vsftpd.pem

Answer 1

[Dymok]

Так и не смог запустить его со включенной опцией ssl_enable=YES, отказался и настроил SFTP

Answer 2

[Sanes]

Мой рабочий конфиг из Ubuntu 16.04

spoiler

listen=YES
anonymous_enable=NO
local_enable=YES
write_enable=YES
local_umask=022
dirmessage_enable=YES
use_localtime=YES
xferlog_enable=YES
connect_from_port_20=YES
ascii_upload_enable=YES
ascii_download_enable=YES
chroot_local_user=YES
pam_service_name=vsftpd
#ssl_enable=YES
ssl_ciphers=HIGH
ssl_tlsv1=YES
ssl_sslv2=NO
ssl_sslv3=NO
rsa_cert_file=/etc/ssl/certs/ssl-cert-snakeoil.pem
rsa_private_key_file=/etc/ssl/private/ssl-cert-snakeoil.key
allow_writeable_chroot=YES
seccomp_sandbox=NO

Comments

[Dymok]

Сделал конфиг таким (поменял только путь до сертификата и ключа) , пытаюсь подключиться через FileZilla - выдаёт

Статус:	Соединяюсь с 185.146.123.34:21...
Статус:	Соединение установлено, ожидание приглашения...
Статус:	Небезопасный сервер, не поддерживает FTP через TLS.
Статус:	Сервер не поддерживает символы не ASCII.
Статус:	Авторизовались
Статус:	Получение списка каталогов...
Команда:	PWD
Ответ:	257 "/" is the current directory
Команда:	TYPE I
Ответ:	200 Switching to Binary mode.
Команда:	PASV
Ответ:	227 Entering Passive Mode (185,246,153,214,81,43).
Команда:	LIST
Ошибка:	Соединение прервано после 20 секунд неактивности
Ошибка:	Не удалось получить список каталогов

То есть и шифрование не подключилось, и директория не читается.
Какие у вас права на .pem и .key файлы?

[Sanes]

Dymok, сейчас не могу посмотреть, это дефолтные сертификаты, я их не создавал.

[Sanes]

Dymok, в конфиге chroot, вы не можете выйти за пределы домашней директории пользователя.

Answer 3

[ky0]

Сертификат есть. А ключ?

Comments

[Dymok]

если добавить ключ в конфиг (использую тот же .pem файл) - ничего не меняется, так же не стартует