lftp 4.8.4 отказывается разговаривать по TLS1.2 с хостом ftps z / OS
Примите во внимание любой совет по следующей проблеме:
У меня проблема для подключения к серверу z / OS FTPS при выборе протокола TLS1.2:
leonidt @ zdsdeveng03: / gsa / pokgsa / home / l / e / leonidt / 20190114_Switch2lftp> ~ / local / bin / lftp -u us15030, ** ****** ftp://bldbmsa.boulder.ibm.com lftp (скрытый) установить ftp: ssl-allow true lftp (скрытый) установить ftp: ssl-force true lftp (скрытый) установить ftp: ssl-protect-data true lftp (скрытый) установить ftp: ssl-protect-list true lftp (скрытый) set ssl: priority NORMAL: + VERS-TLS1.2 lftp (скрытый) установить ssl: ca-file "/etc/ssl/private/vsftpd.pem" lftp (скрытый) ls ls: Неустранимая ошибка: gnutls_handshake: получено критическое предупреждение TLS. lftp (скрытый) quit
Хотя он отлично работает с TLS 1.1 leonidt @ zdsdeveng03: / gsa / pokgsa / home / l / e / leonidt / 20190114_Switch2lftp> ~ / local / bin / lftp -u us15030, ******** ftp://bldbmsa.boulder.ibm .com lftp (скрытый) установить ftp: ssl-allow true lftp (скрытый) установить ftp: ssl-force true lftp (скрытый) установить ftp: ssl-protect-data true lftp (скрытый) установить ftp: ssl-protect-list true lftp (скрытый) set ssl: priority NORMAL: + VERS-TLS1.1 lftp (скрытый) установить ssl: ca-file "/etc/ssl/private/vsftpd.pem" lftp (скрытый) ls Упомянутая единица объема Использовано Ext Recfm Lrecl BlkSz Dsorg Dsname Перенесен BMSB.SPFTEMP0.CNTL Перенесен BMSB.SPFTEMP1.CNTL PRR3Q4 3390 17.01.2019 1 1 FB 80 8000 PO CISF.JCL PRR3P4 3390 17.01.2019 1 2 FB 80 8000 PO CISF.PROC PRR612 3390 2019.01.22 122500 VB 1000 10000 PS CISF.TEST.CSV PRR3S0 3390 22.01.2019 1 2 FB 80 8000 PO CISF.UTIL Перенесенный CSSLIB
Я использую lftp версии 4.8.4 с хоста SuSe linux: uname -a Linux zdsdeveng03 3.0.101-108.84-default # 1 SMP Пт, 30 ноября, 15:57:27 UTC 2018 (7a72692) s390x s390x s390x GNU / Linux
Это не похоже на проблему со стороны хоста FTPS , потому что curl отлично работает с TLS 1.2:
curl --ftp-ssl --tlsv1.2 --cacert /etc/ssl/private/vsftpd.pem --use-ascii -v -T unzip1.jcl (скрыто) * Имя хоста НЕ найдено в кеше DNS * Пробуем 9.17.211.10 ... % Всего% Получено% Xferd Средняя скорость Время Время Время Текущее Выгрузка Всего затрачено на оставшуюся скорость 0 0 0 0 0 0 0 0 -: -: - -: -: - -: -: - 0 * Подключено к bldbmsa.boulder.ibm.com (9.17.211.10) порт 21 (# 0) <220-FTPDA1 IBM FTP CS V2R2 на BLDBMSA.BOULDER.IBM.COM, 15:02:51 23 января 2019 г. <220 Соединение будет закрыто, если бездействие продолжится более 5 минут.
AUTH SSL <234 Условия безопасности созданы - готовы к переговорам * успешно установить места проверки сертификата: * Файл CA: /etc/ssl/private/vsftpd.pem CApath: / etc / ssl / certs / * SSLv3, рукопожатие TLS, привет клиенту (1): } [данные не показаны] * SSLv3, рукопожатие TLS, привет серверу (2): { [данные не показаны] * SSLv3, рукопожатие TLS, CERT (11): { [данные не показаны] * SSLv3, рукопожатие TLS, сервер завершен (14): { [данные не показаны] * SSLv3, рукопожатие TLS, обмен клиентскими ключами (16): } [данные не показаны] * SSLv3, шифр смены TLS, привет клиенту (1): } [данные не показаны] * SSLv3, рукопожатие TLS, завершено (20): } [данные не показаны] * SSLv3, шифр смены TLS, привет клиенту (1): { [данные не показаны] * SSLv3, рукопожатие TLS, завершено (20):{ [данные не показаны] * SSL-соединение с использованием TLSv1.2 / AES256-SHA256 * Сертификат сервера: * тема: C = США; ST = Боулдер, Колорадо; L = Боулдер, Колорадо; О = ibm.com; OU = IZUDFLT; CN = bldbmsa.boulder.ibm.com; UID = 111618631; (скрыто) * Дата начала: 27.01.2017 05:00:00 GMT * Дата истечения: 2020-01-27 04:59:59 GMT * обычное имя: bldbmsa.boulder.ibm.com (совпадает) * эмитент: C = US; O = Международная корпорация бизнес-машин; CN = ВНУТРЕННИЙ ПРОМЕЖУТОЧНЫЙ ЦС IBM * Подтвердите сертификат SSL в порядке. ПОЛЬЗОВАТЕЛЬ us15030 0 0 0 0 0 0 0 0 -: -: - -: -: - -: -: - 0 <331 Пожалуйста, пришлите пароль. ПРОХОДИТЬ ******** <230 US15030 находится в системе. Рабочий каталог - «US15030.». PBSZ 0 <200 Допустимый размер защитного буфера PROT P <200 Защита передачи данных установлена на частную PWD <257 "'US15030.'" - рабочий каталог. СИСТЕМА * Путь для входа: «US15030». <215 MVS - операционная система этого сервера. FTP-сервер работает на z / OS. CWD / * ftp_perform заканчивается ВТОРИЧНЫМ: 0 <250 HFS directory / - текущий рабочий каталог CWD tmp <250 HFS directory / tmp - текущий рабочий каталог EPSV * Пассивное подключение потока данных <229 Вход в расширенный пассивный режим (||| 35858 |) * Имя хоста НЕ найдено в кеше DNS * Пробуем 9.17.211.10 ... * Подключение к порту 9.17.211.10 (9.17.211.10) 35858 * Подключено к bldbmsa.boulder.ibm.com (9.17.211.10) порт 21 (# 0) НАБЕРИТЕ "А <200 Тип представления - Ascii NonPrint STOR unzip1.jcl <125 Хранение набора данных /tmp/unzip1.jcl * Выполнение подтверждения SSL / TLS для потока данных * успешно установлены местоположения проверки сертификата: * Файл CA: /etc/ssl/private/vsftpd.pem CApath: / etc / ssl / certs / * Повторное использование SSL идентификатора сеанса * SSLv3, рукопожатие TLS, привет клиенту (1): } [данные не показаны] * SSLv3, рукопожатие TLS, привет серверу (2): { [данные не показаны] * SSLv3, шифр смены TLS, привет клиенту (1): { [данные не показаны] * SSLv3, рукопожатие TLS, завершено (20): { [данные не показаны] * SSLv3, шифр смены TLS, привет клиенту (1): } [данные не показаны] * SSLv3, рукопожатие TLS, завершено (20): } [данные не показаны] * SSL-соединение с использованием TLSv1.2 / AES256-SHA256 * Сертификат сервера: * тема: C = США; ST = Боулдер, Колорадо; L = Боулдер, Колорадо; О = ibm.com; OU = IZUDFLT; CN = bldbmsa.boulder.ibm.com; UID = 111618631; (скрыто) * Дата начала: 27.01.2017 05:00:00 GMT * Дата истечения: 2020-01-27 04:59:59 GMT * обычное имя: bldbmsa.boulder.ibm.com (совпадает) * эмитент: C = US; O = Международная корпорация бизнес-машин; CN = ВНУТРЕННИЙ ПРОМЕЖУТОЧНЫЙ ЦС IBM * Подтвердите сертификат SSL в порядке. } [данные не показаны] * Мы полностью загружены и в порядке * Помня, что мы находимся в каталоге "/ tmp /" * SSLv3, предупреждение TLS, привет клиенту (1): } [данные не показаны] <250 Передача успешно завершена. 101 1245 0 0 101 1264 0 3721 -: -: - -: -: - -: -: - 3739 * Соединение №0 с хостом bldbmsa.boulder.ibm.com осталось неизменным
Следуя совету Александра Лукьянова, я скомпилировал lftp с последними орехами, и теперь он прекрасно работает с TLS 1.2 в моей домашней папке:
leonidt> ~/local/bin/lftp -v LFTP | Версия 4.8.4 | Авторское право (c) 1996-2017 Александр В. Лукьянов
LFTP является свободным программным обеспечением: вы можете распространять его и/или модифицировать. на условиях Стандартной Общественной Лицензии GNU, опубликованной Фонда свободного программного обеспечения, либо версии 3 Лицензии, либо (по вашему выбору) любой более поздней версии.
Эта программа распространяется в надежде, что она будет полезна, но БЕЗ КАКИХ-ЛИБО ГАРАНТИЙ; даже без подразумеваемой гарантии... ТОВАРНОСТЬ или ПРИГОДНОСТЬ ДЛЯ КОНКРЕТНОЙ ЦЕЛИ. См. Дополнительные сведения см. в Стандартной общественной лицензии GNU
Вы должны были получить копию Стандартной общественной лицензии GNU. вместе с LFTP. Если нет, см. http://www.gnu.org/licenses/.
Отправляйте сообщения об ошибках и вопросы в список рассылки .
Используемые библиотеки: GnuTLS 3.6.6, Readline 5.2, zlib 1.2.7
leonidt>~/local/bin/lftp -u us15030,******** ftp://bldbmsa.boulder.ibm.com. lftp us15030@bldbmsa.boulder.ibm.com:~> set ftp:ssl-allow true lftp us15030@bldbmsa.boulder.ibm.com:~> set ftp:ssl-force true lftp us15030@bldbmsa.boulder.ibm.com:~> установить ftp:ssl-protect-data true lftp us15030@bldbmsa.boulder.ibm.com:~> установить ftp:ssl-protect-list true lftp us15030@bldbmsa.boulder.ibm.com:~> установить ssl:priority NORMAL:+VERS-TLS1.2 lftp us15030@bldbmsa.boulder.ibm.com:~> установите ssl:ca-файл "/etc/ssl/private/vsftpd.pem". lftp us15030@bldbmsa.boulder.ibm.com:~> ls Блок громкости Отказался от использованных отходов Lrecl BlkSz Dsorg Dsname Мигрированный BMSB.SPFTEMP0.CNTL Мигрированный BMSB.SPFTEMP1.CNTL PRR3Q4 3390 2019/01/17 1 1 FB 80 8000 PO CISF.JCL PRR3P4 3390 2019/01/17 1 2 FB 80 8000 PO CISF.PROC Мигрированный CISF.TEST.CSV