Ftp Sous Linux

8/14/2019 Ftp Sous Linux

1/11

WWW.RESEAUMAROC.COM

Cours/formation /Video en informatique: Linux,Cisco,2003 Server,securit,Rseaux.

Contact : [email protected] TEL : 00212669324964

PureFTPd

1. Int roduct ion

Pure-ftpd est un serveur ftp libre, scuris, de qualit et rpondant aux standard du protocole FTP. Iltourne sur de nombreux systmes tel que Linux, FreeBSD, NetBSD, OpenBSD, ISOS, EkkoBSD, BSDi,Solaris, Darwin, Tru64, Irix, AIX et HPUX.

Il possde de nombreux atouts tels que le "chroot" des rpertoires, le choix des ports pour letlchargement passif, le support du FXP (transfert entre deux serveurs FTP), le rglage de la bandepassante, le support des ratios, le support de ldap / mysql / postgreSQL / SSL pour l'authentification, etbien d'autres choses encore.

2. Rappe l sur le protoco le FTP

Le protocole FTP (File Transfer Protocol) est, comme son nom l'indique, un protocole de transfert defichiers. Celui-ci a t cr en 1971, et cette poque on ne se souciait gure de la scurit des donnes.De nos jours le protocole FTP est trs rpandu et sa lacune envers la scurit persiste. En effet par dfauttoutes les donnes passent en clair sur le rseau (nom d'utilisateur/mot de passe et donnes).

Le protocole FTP agit au niveau de la couche 7 du modle OSI, il est base sur un modle client serveuravec authentification via nom d'utilisateur/mot de passe et coute par dfaut sur les ports 20 (donnes) et21 (commandes).

3. FTP et la scur i t

Nous avons vu que les donnes transitent en clair sur le rseau, cela signifie qu'une personne malintentionne peut rcuprer trs aisment des noms d'utilisateurs/mot de passe.

Voici donc quelques prcautions prendre lorsque vous mettez en place un serveur FTP (nous exclurons icile fait que le serveur soit directement vulnrable) :

viter d'implmenter un serveur FTP dans un rseau non commut (un rseau contenant desHubs).

viter d'implmenter un serveur FTP sur un serveur comportant des services critiques (DNS,MAIL...).

viter d'implmenter un serveur FTP sur un serveur comportant des donnescritiques/confidentielles.

Bloquer le compte root afin qu'il ne puisse pas se connecter au serveur FTP.Solutions adoptables pour renforcer la scurit :

L'utilisation d'utilisateurs virtuels (Voir ci-dessous). Combiner le FTP avec le systme de cryptage SSL/TLS (Voir le cours sur OpenSSL).


2/11

WWW.RESEAUMAROC.COM



4. Int roduct ion aux ut i l i sateurs v i r tue ls

Dans le cas ou une personne mal intentionne arrive a rcuprer le nom d'utilisateur/mot de passe d'unutilisateur (ceci est dsastreux dans le cas du compte root), celui-ci aura accs au serveur FTP mais pireencore celui-ci pourra le cas chant se connecter physiquement ou via SSH sur la machine !!!

La notion d'utilisateurs virtuels est trs simple, il s'agit d'un utilisateur pouvant se connecter uniquement viaFTP. Toutes connexions locales, SSH... lui seront refuses. Cependant les utilisateurs doivent possder un

UID/GID pour que le systme puisse savoir si celui-ci a le droit de lire/crire tel fichier/rpertoire...La mthode utilise est la suivante :

Les utilisateurs possdent l'UID d'un utilisateur systme existant, celui-ci est souvent nommftpuser et en gnral ne possde pas de shell (ni de mot de passe). Il est videmment possible decrer un utilisateur virtuel possdant le mme UID que votre utilisateur systme courant (afin degarder les mmes accs). Le mme principe est utilise pour le GID.

Chaque utilisateur virtuel possde un profil unique contenant ses limites de bande passante, sesquotas, ses horaires d'accs...

Dans le cas o vous crez un utilisateur virtuel possdant le mme nom d'utilisateur/UID que votreutilisateur systme, il peut tre intressant de ne pas mettre le mme mot de passe (changez une lettre ouun chiffre).

5. Insta l la t i on du serveur PureFTPd

Nous allons procder l'installation de PureFTPd via les sources, cependant vous pouvez tout faitl'installer via un systme de packages (portage, dpkg, rpm...).

La premire tape consiste rcuprer les sources sur le site officiel :

ftp://ftp.pureftpd.org/pub/pure-ftpd/releases/

Une fois tlcharg, la procdure d'installation est la suivante :

# tar jxvf pure-ftpd-x.x.xxx.tar.bz2

# cd pure-ftpd-x.x.xxx

# ./configure --option1 --option2 ...

# make install-strip

Par dfaut, les binaires seront installs dans /usr/local/(bin|sbin).

Voici les options du script configure que nous utiliserons :


3/11

WWW.RESEAUMAROC.COM



Option Effet--with-puredb Active le support des utilisateurs virtuels--with-virtualchroot Active les liens symboliques pour les utilisateurs chroots--with-ftpwho Active la commande ftpwho--with-altlog Active les fichiers de log avancs--with-throttling Active la gestion de la bande passante--with-peruserlimits Active la gestion des limites par utilisateur--without-inetd Dsactive le support inetd (gain de place)

D'autres options sont utilisables, la liste complte est disponible en tapant :

# ./configure --help

6. Lancement du serveur FTP

Nous avons vu dans le chapitre 4 qu'un utilisateur/groupe systme devait tre cre afin que les utilisateursvirtuels puissent avoir une identit sur le systme

Voici les 2 lignes ncessaires la cration de cet utilisateur/groupe :

# groupadd ftpgroup

# useradd -g ftpgroup -d /dev/null -s /bin/false ftpuser

L'utilisateur systme ftpuser se pourra jamais se connecter au systme (home directory et shell invalide).

PureFTPd se lance de cette manire :

/usr/local/sbin/pure-ftpd -option1 arg1 -option2 arg2 -option3 ....

Voici les options que nous utiliserons :

Option Effet-lpuredb:/fichier Prcise la base de comptes (/etc/pureftpd.pdb par


4/11

WWW.RESEAUMAROC.COM



dfaut).-c N Limite le nombre de connexions N.-C N Limite le nombre de connexions par IP N.-E Dsactive les connexions anonymes.

-O

type:/chemin/vers/fichier

Active et spcifie le fichier de log ainsi que le type.O type =clf : Log de type apache

stats : log qui peut tre trait par des logiciels destatistiques.w3c: fichier de log compatible W3C.

7. Gest ion des ut i l i sateurs v i r tue ls

Le fichier contenant les utilisateurs virtuels se nomme /etc/pureftpd.passwd, et voici son organisation :

Un utilisateur par ligne :

:::::::::::::::::

Les champs , , , et sont obligatoires.

PureFTPd utilise la base de compte /etc/pureftpd.pdb qui est une version "compile" de/etc/pureftpd.passwd.

Tout comme pour les utilisateurs systme, il est possible d'ajouter/modifier/effacer un utilisateur la main

directement dans le fichier, cependant l'utilisation des commandes suivantes facilite cette tche :La commande pure-pw permet d'administrer le serveur, elle s'utilise de la manire suivante :

# pure-pw action [options]

Voici les diffrentes actions possibles :

Option Effetuseradd Ajouter un utilisateur virtuel.


5/11

WWW.RESEAUMAROC.COM



usermod Modifier un utilisateur virtuel.userdel Supprimer un utilisateur virtuel.passwd Modifier le mot de passe d'un utilisateur virtuel.show Afficher le profil d'un utilisateur virtuel.list Lister tous les utilisateurs virtuels.mkdb Recrer la base de donnes PureFTPd (/etc/pureftpd.pdb)

8. Les u t i l i sateurs v i r tue ls

Nous allons voir comment crer et grer des utilisateurs virtuels.

8.1 Ajouter/Modifier un utilisateur virtuel

Voici la syntaxe de la commande d'ajout d'utilisateur :

# pure-pw useradd nom d'utilisateur options [-m]

A chaque ajout d'un utilisateur il faut recrer la base de donnes PureFTPd avec la commande :

# pure-pw mkdb

L'ajout de l'option '-m' lors de la cration de l'utilisateur recre automatiquement la base de donnes (plusbesoin de taper 'pure-pw mkdb').

Voici les options que nous utiliserons :

OptionEffet-u Prcise l'UID de l'utilisateur virtuel (gnralement celui de ftpuser).-g Prcise le GID de l'utilisateur virtuel (gnralement celui de ftpgroup).-D Prcise le rpertoire personnel de l'utilisateur.

-dPrcise le rpertoire personnel de l'utilisateur (celui-ci sera chrooter dans cerpertoire).

-T Prcise le dbit maximum (upload) de l'utilisateur.-t Prcise le dbit maximum (download) de l'utilisateur.-y Prcise le nombre maximum de sessions simultanes que l'utilisateur peut


6/11


7/11

WWW.RESEAUMAROC.COM



8.2 Changer le mot de passe d'un utilisateur virtuel

Voici la syntaxe de la commande de changement de mot de passe d'un utilisateur :

# pure-pw passwd nom d'utilisateur [-m]

A chaque modification de mot de passe il faut recre la base de donnes PureFTPd avec la commande :

# pure-pw mkdb

L'ajout de l'option '-m' lors de la modification de mot de passe recre automatiquement la base de donnes(plus besoin de taper 'pure-pw mkdb').

Exemple :

# pure-pw passwd user1 -m

Cet exemple change le mot de passe de l'utilisateur user1.

8.3 Convertir un utilisateur systme en utilisateur virtuel

Si vous souhaitez convertir votre utilisateur systme en utilisateur virtuel, voici la procdure suivre :

# pure-pwconvert nom d'utilisateur >> /etc/pureftpd.passwd

Exemple :

# pure-pwconvert user2 >> /etc/pureftpd.passwd

8.4 Supprimer un utilisateur virtuel

Voici la syntaxe de la commande de suppression d'utilisateurs virtuels :


8/11

WWW.RESEAUMAROC.COM



# pure-pw userdel login [-m]

A chaque suppression d'un utilisateur il faut recrer la base de donnes PureFTPd avec la commande :

# pure-pw mkdb

L'ajout de l'option '-m' lors de la suppression d'un utilisateur recre automatiquement la base de donnes(plus besoin de taper 'pure-pw mkdb').

Exemple :

# pure-pw userdel user1 -m

Cet exemple supprime l'utilisateur virtuel user1.

8.5 Afficher les informations relatives un utilisateur virtuel

La commande suivante permet d'afficher les informations relatives un utilisateur virtuel :

# pure-pw show nom d'utilisateur

Exemple :

# pure-pw show user1Login : user1

Password : $1$zL.EEBKZ$MbyJUyqrAa3sT719arBbB0

UID : 1001 (ftpuser)

GID : 101 (ftpgroup)

Directory : /ftp

Full name :

Download bandwidth : 0 Kb (unlimited)

Upload bandwidth : 0 Kb (unlimited)

Max files : 0 (unlimited)

Max size : 0 Mb (unlimited)

Ratio : 0:0 (unlimited:unlimited)

Allowed local IPs :

Denied local IPs :


9/11

WWW.RESEAUMAROC.COM



Allowed client IPs :

Denied client IPs :

Time restrictions : 0000-0000 (unlimited)

Max sim sessions : 2

8.6 Afficher la liste des utilisateurs virtuels :

La commande suivante permet de lister tous les utilisateurs virtuels du systme :

# pure-pw list

9. Admin is t rat ion du serveur

9.1 Lister les utilisateurs connectes au serveur

La commande pure-ftpwho permet de lister les utilisateurs actuellement connects au serveur ainsi queleurs actions.

Exemple :

# pure-ftpwho

+------+---------+-------+------+------------------------------------------

-+

| PID | login |For/Spd| What | File/IP

|

+------+---------+-------+------+------------------------------------------

-+

| 6105 | user1 | 00:00 | DL | File.avi

|

| '' | '' | 170K/s| '' | -> 62.39.155.70

|

+------+---------+-------+------+------------------------------------------

-+

La commande pure-mrtg infopermet de exporter un fichier MRTG (Graphique) sur l'utilisation du serveur.

9.2 Les fichiers de log

Le fichier de log des transferts est spcifi au dmarrage du serveur (Voir Chapitre 6), par exemple si vous

lancez le serveur de cette manire :


10/11

WWW.RESEAUMAROC.COM



# pure-ftpd -option -option -O clf:/var/log/pureftpd.log

Le fichier de log sera /var/log/pureftpd.log (format clf).

Voici un extrait de fichier de log :

172.16.34.1 - luser [17/Aug/2004:10:32:42 +0100] "GET/home/luser/code/bash/yop/yop-1.0.sh" 200 2388

172.16.34.2 - ruser [17/Aug/2004:12:24:50 +0100] "PUT

/data/incoming/Supinfo.avi" 200 612732928

D'autres informations (connexions, erreurs...) sont disponibles dans les fichiers /var/log/messages etsyslog.

10. Ut i l i sat ion de SSL/TLS

Nous allons voir comment configurer PureFTPd afin qu'il supporte le SSL. Cela permet de ne plus envoyerles noms d'utilisateurs et les mots de passe en clair sur le rseau. Par contre le canal de donnes n'est pasaffect par cette encryption, afin de ne pas apporter de baisse significative des performances et celapermet de faire du FXP (transfert entre deux serveurs FTP) entre des serveurs qui supportent SSL/TLS etd'autres qui ne le supportent pas.

Pour utiliser cette fonction, vous devez possder le fichier "/etc/ssl/private/pure-ftpd.pem" qui contient lacl prive et le certificat du serveur. Vous pouvez changer l'emplacement de ce fichier en passant l'option "--with-certfile /chemin/vers/le/fichier" au script configure, ou alors si vous avez chang le chemin pourlesysconfdir, alors le fichier doit se trouver dans "/ssl/private/pure-ftpd.pem>. Notez bien quec'est le mme fichier qui doit contenir la cl prive et le certificat du serveur. Il doit ressembler cela :

-----BEGIN RSA PRIVATE KEY-----

MIICXQIBAAKBgQC+KU+laUdHceXk4ZWSH5nFJPd/TJjpZVuVgZ5FuS2/mkof8kOV

[ cl tronque ]

SwWH5WI9d0CffE30Ab1VpDnzKRn1ncBfvh3GIdLBgtjy

-----END RSA PRIVATE KEY-----

-----BEGIN CERTIFICATE-----

MIICoDCCAgmgAwIBAgIBADANBgkqhkiG9w0BAQQFADBFMQswCQYDVQQGEwJBVTET

[ certificat tronqu ]

QZ2/xw==

-----END CERTIFICATE-----

Pour dmarrer le serveur avec le support des connexions SSL, vous devez utiliser le drapeau "-Y" ou "--tls",qui peut prendre les valeurs suivantes :


11/11

Documents

Ftp Sous Linux