Jump to content
  • 2
vasek00

WebDav и SFTP

Question

В обоих сервисах на двух приложениях есть ошибки

1. Сервис SFTP и WebDav, каталог для данных сервисов WebDav

Скрытый текст

user хххKхх
    password md5 619de.....b5a42ea1
    password nt 1d7fec.....747b784c
    tag webdav
    tag sftp
    tag cli

ip http port 80
ip http security-level public ssl
ip http lockout-policy 5 15 3
ip http ssl enable
ip http ssl redirect
ip http webdav
    security-level public
    enable
    permissive
    root D3-1:/WebDav

ip ssh
    port 60022
    security-level public
    lockout-policy 5 15 3
    sftp
        enable
        permissive
        root D3-1:/WebDav

cifs
    share D3-2 fc5dcc1......e4d401:
    share D3-1 D3-1:
    automount
    permissive


D3-1 - раздел NTFS, D3-2 - раздел Ext4

lighttpd.conf
/tmp/lighttpd/lighttpd.conf
server.document-root = "/tmp/mnt/01D.....0/WebDav"
server.max-worker = 10
server.max-keep-alive-idle = 3600
server.max-read-idle = 3600
server.max-write-idle = 3600
server.stream-request-body = 2
server.stream-response-body = 2
server.bind = "/var/lighttpd/lighttpd.sock"
server.socket-perms = "0777"
server.modules = ( "mod_accesslog", "mod_alias", "mod_extforward", "mod_ndmacl", "mod_access", "mod_webdav" )
server.errorlog-use-syslog = "enable"
server.stat-cache-engine = "disable"
server.upload-dirs = ( "/tmp/mnt/01D5....910/.webdav-temp", "/tmp/mnt/fc5dcc.......e4d401/.webdav-temp" )
include "/etc/lighttpd/mime.conf"
extforward.headers = ( "Forwarded" )
extforward.forwarder = ( "all" => "trust" )
extforward.params = ( "host" => 1, "remote_user" => 1 )
webdav.ndmacl_permissive = "enable"
$HTTP["url"] =~ "^/webdav($|/)" {
  webdav.activate = "enable"
  webdav.is-readonly = "disable"
  webdav.sqlite-db-name = "/tmp/lighttpd/webdav.sqlite"
  alias.url = ( "/webdav" => "/tmp/mnt/01D5....5910/WebDav" )
  server.document-root = "/tmp/mnt/01D5B....5910/WebDav"
}
accesslog.use-syslog = "disable"
/ # 


****************


(system)> show ssh sftp 

          enabled: yes
       permissive: yes
             root: D3-1:/WebDav
             path: /tmp/mnt/fc5d........e4d401/WebDav

             user, index = 0: 
                 name: admin
                 root: 
                 path: 

             user, index = 1: 
                 name: хххKхх
                 root: 
                 path: 



(config)> show ip http webdav

          enabled: yes
       permissive: yes
             root: D3-1:/WebDav
             path: /tmp/mnt/fc5d......01/WebDav

             user, index = 0: 
                 name: admin
                 root: 
                 path: 

             user, index = 1: 
                 name: xxxKxx
                 root: 
                 path: 

(config)> 

 

Если войти в WEB -> Приложения -> Разделы диска -> D3-1 и выбрать Пользователи то на корень D3-1 доступ "xxxKxx" запрещен и естественно D3-1:/WebDav - запрещен в родительской папке.

Вопрос зачем тогда

Скрытый текст

user хххKхх
    password md5 619de.....b5a42ea1
    password nt 1d7fec.....747b784c
    tag webdav
    tag sftp
    tag cli

 

1.1. Total Commander и плугин SFTP

- после настройки и запуска, сбой

Скрытый текст

Фев 14 19:24:32 ndm Core::Server: started Session /var/run/ndm.core.socket.
Фев 14 19:24:32 ndm Core::Authenticator: user "хххKхх" authenticated, realm "Keenetic Giga", tag "cli".
Фев 14 19:24:32 dropbear Password authentication succeeded for 'xxxKxx'@cli from 1хх.хх.хх.хх:55956
Фев 14 19:24:32 ndm Core::Authenticator: user "хххKхх" authenticated, realm "Keenetic Giga", tag "sftp".
Фев 14 19:24:32 dropbear Password authentication succeeded for 'xxxKxx'@sftp from 1хх.хх.хх.хх:55956
Фев 14 19:24:32 ndm Core::Session: client disconnected.
Фев 14 19:24:32 ndm Core::Server: started Session /var/run/ndm.core.socket.
Фев 14 19:24:32 ndm Command::Base: no such command: echo.
Фев 14 19:24:32 ndm Core::Session: client disconnected.
Фев 14 19:24:32 dropbear Exit (хххKххх): Error reading: Connection reset by peer

 

1.2 Приложение СхПроводник

- клиент подключился но попал в корень и так как два раздела то видны оба корня на обоих разделах, а не тот который для пользователя WebDav

Скрытый текст

Фев 14 19:35:00 ndm Core::Authenticator: user "xxxKxx" authenticated, realm "Keenetic Giga", tag "cli".
Фев 14 19:35:00 dropbear Password authentication succeeded for 'xxxKxx'@cli from 1xx.xx.xx.xx:55962
Фев 14 19:35:00 ndm Core::Authenticator: user "xxxKxx" authenticated, realm "Keenetic Giga", tag "sftp".
Фев 14 19:35:00 dropbearPassword authentication succeeded for 'xxxKxx'@sftp from 1xx.xx.xx.xx:55962
Фев 14 19:35:00 ndm Core::Session: client disconnected.
Фев 14 19:35:00 ndm Core::Server: started Session /var/run/ndm.core.socket.
Фев 14 19:35:00 ndm Core::Session: client disconnected.
Фев 14 19:35:00 [18305] error: chdir to "/tmp/mnt/fc5dc.....d401/WebDav" failed: No such file or directory

 

Видно на двух разделах корень каждого.

 

 

2. WebDav

2.2. СхПроводник

- не возможно подключиться .....keenetic.pro:443

Share this post


Link to post
Share on other sites

Recommended Posts

  • 0
/tmp/mnt # ls -l
drwxrwxr-x    1 root     root          4096 Feb 14 21:06 01D5....D15910
lrwxrwxrwx    1 root     root            16 Feb 14 19:48 D3-1 -> 01D5....D15910
lrwxrwxrwx    1 root     root            36 Feb 14 19:48 D3-2 -> fc5dcc.....e4d401
drwxr-xr-x   17 root     root          1024 Feb 14 19:48 fc5dcc.....e4d401
/tmp/mnt # 

 

Share this post


Link to post
Share on other sites
  • 0

А на ,например, filezilla или winscp тоже некорректно работает?

Share this post


Link to post
Share on other sites
  • 0
4 минуты назад, krass сказал:

А на ,например, filezilla или winscp тоже некорректно работает?

filezilla - SFTP так же работает, дает сразу корень на двух разделах диска.

 

Share this post


Link to post
Share on other sites
  • 0

Да настройка root не понятно на что влияет,

При подключении доступны все диски. 

Share this post


Link to post
Share on other sites
  • 0

По Webdav свою проблему решил путем удаления на данном разделе ".webdav-temp" далее в пользователи и на данном пользователе удалил "Сервер WebDAV" записал, заново добавил "Сервер WebDAV". Далее раздел удаленный доступ так же передернул сначала в HTTP/HTTPS потом в HTTPS.

Приложение для проверки :

- Total Commander плугин Webdav и как итог доступ был получен, записал на него два файла все удачно.

- СхПроводник так же все в порядке.

 

Screenshot_20200215-093041_TotalCmd-WebDAV (WEB Folders).jpg1396419685_Screenshot_20200215-093104_TotalCommander.thumb.jpg.7ab0b1a4397073a722d56f03a28e1692.jpg

Edited by vasek00

Share this post


Link to post
Share on other sites
  • 0

Здравствуйте, 

спасибо за добавление новых функций. Есть пара вопросов по WebDAV:

1. Директория  видна при подключении через KeenDNS, но при подключении через прямой IP (внешний) не подключается. 443 порт проброшен. В чем может быть дело?

2. Какое ограничение по размерам и количеству файлов на чтение и запись?

Спасибо.

 

Edited by Alex1_

Share this post


Link to post
Share on other sites
  • 0
7 минут назад, Alex1_ сказал:

1. Директория  видна при подключении через KeenDNS, но при подключении через прямой IP (внешний) не подключается. 443 порт проброшен. В чем может быть дело?

https по ip не работает, поэтому так полагаю.

8 минут назад, Alex1_ сказал:

2. Какое ограничение по размерам и количеству файлов на чтение и запись?

Вроде как ограничений нет.

Share this post


Link to post
Share on other sites
  • 0
В 15.02.2020 в 21:55, Alex1_ сказал:

2. Какое ограничение по размерам и количеству файлов на чтение и запись?

Сейчас нет никаких ограничений. Это ограничение было в одной из реализаций, но мы его сумели убрать. 15.02.2020 13:13 

А раньше было вот так: 

А вот на запись будет все очень плохо - загрузить файл, больше чем половина ОЗУ мы не сможем. Устроят такие ограничения?  21.06.2018 22:18

Share this post


Link to post
Share on other sites
  • 0
В 15.02.2020 в 21:55, Alex1_ сказал:

Здравствуйте, 

спасибо за добавление новых функций. Есть пара вопросов по WebDAV:

1. Директория  видна при подключении через KeenDNS, но при подключении через прямой IP (внешний) не подключается. 443 порт проброшен. В чем может быть дело?

2. Какое ограничение по размерам и количеству файлов на чтение и запись?

Спасибо.

 

1. SSL работает только при наличии TLS Hostname Extension, то есть по IP он не работает - обязятельно надо заходить по доменному имени.

2. По идее ограничений нет.

Share this post


Link to post
Share on other sites
  • 0
В 16.02.2020 в 22:12, krass сказал:

Сейчас нет никаких ограничений. Это ограничение было в одной из реализаций, но мы его сумели убрать. 15.02.2020 13:13 

А раньше было вот так: 

А вот на запись будет все очень плохо - загрузить файл, больше чем половина ОЗУ мы не сможем. Устроят такие ограничения?  21.06.2018 22:18

Раньше это была идея и ограничение одной из релизаций, но мы взяли другую, и там таких ограничений нет.

  • Thanks 1

Share this post


Link to post
Share on other sites
  • 0
В 15.02.2020 в 22:04, r13 сказал:

https по ip не работает, поэтому так полагаю.

Именно так.

Чуть подробнее почему.

Вот вы пришли по адресу 1.2.3.4 на свой роутер на 443 порт. Какой вам сертификат выдать? на Keenetic.io? на keenetic.link? И даже если мы выдадим какой-то, то он не пройдет валидацию, поскольку SAN и DN в сертификате точно не совпадают с IP-адресом - браузер будет вам выдавать "небезопасное подключение".

Потому для исключения подобных ситуаций мы ввели правило - нет TLS SNI - нет SSL.

  • Thanks 2

Share this post


Link to post
Share on other sites
  • 0
12 минуты назад, Le ecureuil сказал:

Потому для исключения подобных ситуаций мы ввели правило - нет TLS SNI - нет SSL.

Получается WebDav работает только в связке с KeenDNS или любым другим сервисом имеющим SSL ?

 

Share this post


Link to post
Share on other sites
  • 0
17 минут назад, r777ay сказал:

Получается WebDav работает только в связке с KeenDNS или любым другим сервисом имеющим SSL ?

 

Да, только если у вас есть сертификат от LE на роутере на это имя.

  • Thanks 2

Share this post


Link to post
Share on other sites
  • 0

Большое спасибо за подробные разъяснения. 

Подскажите, пожалуйста, как осуществить соединение по ssh (sftp). На смартфоне всё законнектилось без проблем, на ПК не могу. Нужны дополнительные настройки?

sftp_err.JPG

Edited by Alex1_

Share this post


Link to post
Share on other sites
  • 0

Сперва о SFTP

Насчет Total Commander: Если используется плагин https://wincmd.ru/plugring/sftp4tc.html, то в его настройках в разделе SFTP4TC Options в поле home dir нужно ввести /tmp/mnt/..... - полный путь, который у вас указан для юзера в show ssh sftp в поле root.

Вообще многие клиенты неправильно работают, думая что всегда есть доступ к / или к ~. Правильным же поведением является команда "realpath .", которая выдается сразу при старте сессии, и которая вернет рабочий каталог по которому можно ходить - так работает gftp и filezilla, так рекомендуют разработчики протокола и с ними нет никаких проблем. Если есть проблемы - в этом софте нужно указывать домашний каталог явно.

Ну и насчет тегов - можно указать только sftp без cli - тогда будет доступ только к sftp, но выполнять команды в shell будет запрещено. И наоборот - можно поставить только cli, и тогда в sftp этот юзер доступ не получит.

Да, был небольшой баг в ограничении root - это будет поправлено к следующей сборке.

Share this post


Link to post
Share on other sites
  • 0

Насчет webdav - то, что невозможно подключиться - не воспроизводится.

Share this post


Link to post
Share on other sites
  • 0
2 часа назад, Alex1_ сказал:

Большое спасибо за подробные разъяснения. 

Подскажите, пожалуйста, как осуществить соединение по ssh (sftp). На смартфоне всё законнектилось без проблем, на ПК не могу. Нужны дополнительные настройки?

sftp_err.JPG

Нужно скинуть что за прога. Впервые вижу такое окно, гадать по нему не могу.

Share this post


Link to post
Share on other sites
  • 0

Прога "SFTP Drive" должна позволять использовать SFTP в качестве обычного сетевого диска.

В Total Commander всё получилось, спасибо.

Share this post


Link to post
Share on other sites
  • 0

Поведение в WebDav в самом конце при записи файла с удаленного клиента на HDD так и должно быть. На скрине ниже проверка два раза, файл для закачки был размером 40-50МБ.

 

 

 

Без имени-4.jpg

Share this post


Link to post
Share on other sites
  • 0

@Le ecureuil

Для Ssh и sftp только вместе открывается публичный доступ или можно отдельно?

Share this post


Link to post
Share on other sites
  • 0
35 минут назад, vasek00 сказал:

Поведение в WebDav в самом конце при записи файла с удаленного клиента на HDD так и должно быть. На скрине ниже проверка два раза, файл для закачки был размером 40-50МБ.

 

 

 

Без имени-4.jpg

Да, сперва файл режется на куски по 128 мбайт и кладется во временный каталог, а в самом конце пересобирается в каталоге назначения.

  • Thanks 1

Share this post


Link to post
Share on other sites
  • 0
10 минут назад, r13 сказал:

@Le ecureuil

Для Ssh и sftp только вместе открывается публичный доступ или можно отдельно?

Вместе, но про теги я уже писал - можно разным пользователям раздать разные уровни доступа.

Share this post


Link to post
Share on other sites
  • 0
5 минут назад, Le ecureuil сказал:

Вместе, но про теги я уже писал - можно разным пользователям раздать разные уровни доступа.

У админа ssh забрать нельзя к сожалению (

Share this post


Link to post
Share on other sites
  • 0
20 часов назад, Le ecureuil сказал:

Нужно скинуть что за прога. Впервые вижу такое окно, гадать по нему не могу.

Прога некорректно работает с ecdsa-nistp521, к сожалению, хотя и заявляет поддержку.

Перегенерите ecdsa ключ на роутере командой

> ip ssh keygen ecdsa-nistp256

и все будет хорошо.

Еще радиобаттон "Root Folder on Server" обязательно нужно выставлять в "User's home folder", тогда будет правильно применяться путь.

Share this post


Link to post
Share on other sites
  • 0
9 часов назад, Le ecureuil сказал:

Да, сперва файл режется на куски по 128 мбайт и кладется во временный каталог, а в самом конце пересобирается в каталоге назначения.

Подскажите, это для всех моделей роутеров ( куски по 128 МБ)  ? можно как-то увеличить размер кусков или вообще отменить нарезку?

Edited by krass
  • Y'r wrong 1

Share this post


Link to post
Share on other sites
  • 0
5 минут назад, Mamay сказал:

Вам почаще бы молчать, а не в каждом топе писать поток своего неайтишного сознания... 

во, для меня прям самый жизненный совет, пожалуй воспользуюсь им)

Share this post


Link to post
Share on other sites
  • 0
4 минуты назад, enterfaza сказал:

во, для меня прям самый жизненный совет, пожалуй воспользуюсь им)

Самокритика это очень хорошо... :-)

  • Thanks 1

Share this post


Link to post
Share on other sites
  • 0
52 минуты назад, krass сказал:

Подскажите, это для всех моделей роутеров ( куски по 128 МБ)  ? можно как-то увеличить размер кусков или вообще отменить нарезку?

Это не меняется.

  • Thanks 1
  • Upvote 1

Share this post


Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.
Note: Your post will require moderator approval before it will be visible.

Guest
Answer this question...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.


  • Recently Browsing   0 members

    No registered users viewing this page.

×
×
  • Create New...