[Conseil administration] serveur FTP privé

serveur FTP privé [Conseil administration] - Linux et OS Alternatifs

Marsh Posté le 06-07-2002 à 09:29:30    

Slt,
 
Hier je viens d'installer le package Debian Woody proftpd...
 
Je souhaite réaliser un serveur FTP privé (pas de compte anonyme...).
 
J'ai commencé par CHROOTER les comptes afin qu'ils puissent pas allé fouiller ds le répertoire /etc/ par exemple.
 
J'ai donc mis la directive : DefaultRoot ~
 
Ce qui me gène c que lorsque l'user se connecte, il peut faire un ln -a et voir quels sont les progs installé et accéder même à certain password qui sont en clair (comme c le cas de alicq) !
 
Si un pirate arrive à se connecter sur un compte FTP, ils disposent déjà trop d'information à mon gout !
 
L'autre solution est de créer un rep par user, ex:  /home/ftp/nom_de_l'utilisateur. Mais c pas pratique car tt les fichiers de l'user sont dans /home/nom_user
 
Comme vous y prenez vous, pour ne pas avoir ce type de problème ?
 


ftp> ls -a
200 PORT command successful.
150 Opening ASCII mode data connection for file list.
drwxr-xr-x  22 1000     cedric       4096 Jul  6 09:09 .
drwxr-xr-x  22 1000     cedric       4096 Jul  6 09:09 ..
-rw-r--r--   1 0        root           18 Jun 28 23:20 .PengUser
-rw-------   1 1000     cedric          0 Jul  6 09:09 .Xauthority
drwxr-xr-x   3 1000     cedric       4096 Jul  6 00:24 .alicq
-rw-r--r--   1 1000     cedric       5226 Jul  6 00:23 .alicqrc
-rw-------   1 1000     cedric       5561 Jul  6 09:09 .bash_history
-rw-r--r--   1 1000     cedric        544 Jun 22 23:40 .bash_profile
-rw-r--r--   1 0        root           22 Jun 22 23:37 .bashrc
-rw-r--r--   1 1000     cedric        240 Jul  5 10:13 .chromium
-rw-r--r--   1 1000     cedric       3800 Jul  5 10:13 .chromium-score
drwx------   5 1000     cedric       4096 Jul  6 09:07 .enlightenment
drwx------   2 1000     cedric       4096 Jul  5 00:53 .gconf
drwx------   2 1000     cedric       4096 Jul  5 00:53 .gconfd
drwxr-x---   2 1000     cedric       4096 Jun 28 23:55 .gftp
drwxr-xr-x   4 1000     cedric       4096 Jul  4 01:03 .gnome
drwx------   2 1000     cedric       4096 Jul  4 01:03 .gnome_private
drwx------   4 1000     cedric       4096 Jun 28 15:49 .loki
-rw-r--r--   1 1000     cedric       3170 Jun 26 13:23 .mailcap
-rw-r--r--   1 1000     cedric       1270 Jun 26 13:23 .mime.types
drwxr-xr-x   4 1000     cedric       4096 Jun 26 10:54 .mozilla
drwxr-xr-x   2 1000     cedric       4096 Jul  4 18:53 .mplayer
drwxr-xr-x   3 1000     cedric       4096 Jun 26 10:17 .netscape
drwxr-xr-x   3 1000     cedric       4096 Jun 26 10:17 .netscape6
drwxr-x---   2 1000     cedric       4096 Jun 28 23:59 .ntrc
drwxr-xr-x   4 1000     cedric       4096 Jun 26 13:45 .openoffice
-rw-r--r--   1 1000     cedric         66 Jun 26 13:23 .sversionrc
drwxr-xr-x   2 1000     cedric       4096 Jul  5 10:09 .tuxracer
-rw-r--r--   1 1000     cedric       2048 Jun 26 13:23 .user60.rdb
drwxr-xr-x   3 1000     cedric       4096 Jul  5 10:43 .wine
drwxr-xr-x   4 1000     cedric       4096 Jun 28 15:58 .xmms
-rw-------   1 1000     cedric        143 Jul  6 09:09 .xsession-errors
drwxr-xr-x   6 1000     cedric       4096 Jan 27  1998 ICQJava
-rw-------   1 1000     cedric     621224 Jul  4 01:02 ICQJava_Preview.tar.gz
drwxr-xr-x  12 1000     cedric       4096 Jun 28 15:49 UT1
drwx------   5 1000     cedric       4096 Jul  5 00:41 evolution
-rw-------   1 1000     cedric          1 Jul  1 11:14 nano.save
226-Transfer complete.
226 Quotas off
ftp>  


Message édité par madsurfer le 06-07-2002 à 10:01:29
Reply

Marsh Posté le 06-07-2002 à 09:29:30   

Reply

Marsh Posté le 06-07-2002 à 09:37:28    

Je sais pas si y a une solution, parce que ca me semble normal que quand un user se log sur son ftp il est accès à tous ses files même  les passwd.
 
En plus sur un compte privé il est censé être le seul à avoir le mot de passe, mais bon, si c'est pour se logger sur un compte "privé-à-moi-mais-ou-y-a-rien-de-perso-en-cas-de-hackerz" ca ressemble plus trop a un compte privé là...


---------------
Il y a autant d'atomes d'oxygène dans une molécule d'eau que d'étoiles dans le système solaire.
Reply

Marsh Posté le 06-07-2002 à 09:56:01    

Xavier_OM a écrit a écrit :

Je sais pas si y a une solution, parce que ca me semble normal que quand un user se log sur son ftp il est accès à tous ses files même  les passwd.
 
En plus sur un compte privé il est censé être le seul à avoir le mot de passe, mais bon, si c'est pour se logger sur un compte "privé-à-moi-mais-ou-y-a-rien-de-perso-en-cas-de-hackerz" ca ressemble plus trop a un compte privé là...




 
Perso, je suis peut être un peu parano ! Mais j'estime qu'un serveur ouvert sur l'extérieur est "hackable" et que le hacker va se ruer sur les comptes FTP. Et je ne veux pas qu'il dispose de trop d'info sur le serveur et encore moins qu'il sache les mots de passe (d'ICQ et autre), dans le cas où il arriverait à se connecter !
 
Un passwd sa "se casse", par divers moyen, tels que les attaques par dico ou brute force !
 
J'attend d'autres idées.  :D

Reply

Marsh Posté le 06-07-2002 à 10:18:13    

as tu deja empecher les comptes d avoir un shel valide en ssh ?  
ds /etc/shells tu met /bin/false  
ds /etc/passwd  tu met false a la place de bahsh(ouksh etc)

Reply

Marsh Posté le 06-07-2002 à 10:40:20    

madsurfer a écrit a écrit :

 
 
 
 
Un passwd sa "se casse", par divers moyen, tels que les attaques par dico ou brute force !
 
J'attend d'autres idées.  :D  




 
évidemment, toto2002 ou killer23 vont pas mettre longtemps a se faire cracker par brute force/dico, alors que K$54Li6v ou C12?dR8 sont quand meme un peu plus durs a trouver par ces méthodes

Reply

Marsh Posté le 06-07-2002 à 10:43:46    

GUG a écrit a écrit :

as tu deja empecher les comptes d avoir un shel valide en ssh ?  
ds /etc/shells tu met /bin/false  
ds /etc/passwd  tu met false a la place de bahsh(ouksh etc)




 
Tt d'abord chui newbee ds le domaine !
J'ai pas encore installé SSH !
Bein tient pendant que j'y suis... Vous me conseillez quelle implémentation ? Perso je pensais à OpenSSH et utiliser SSH 2.
Je souhaite utiliser les packages Debian Woody !
 
Le meilleur OpenSSH c bien celui là ? ssh-krb5 3.0.2p1-7 ?
 
GUG > Je souhaite que mes utilisateurs puissent se connecter en local ! Je pense qu'avec ton système les users ne pourront plus se connecter ! Hors ce n'est pas le but rechercher !
 
Il est clair qu'il faudrait un serveur FTP dédié ! Hors je suis étudiant -> donc pas les moyens financiers  :(
 
Or ce serveur sera tt faire : serveur Web, FTP, messagerie, FireWall, samba, impression, DHCP...


Message édité par madsurfer le 06-07-2002 à 10:45:15
Reply

Marsh Posté le 06-07-2002 à 10:48:40    

monokrome a écrit a écrit :

 
 
évidemment, toto2002 ou killer23 vont pas mettre longtemps a se faire cracker par brute force/dico, alors que K$54Li6v ou C12?dR8 sont quand meme un peu plus durs a trouver par ces méthodes




 
Ouhais et je vois mal ma soeur mettre un passwd de type :
 
Gkfsdfsdfgn161dfng@$Pjdqsd4512@m  :lol:
 
C clair que je lui ai demander d'utiliser un paasswd d'au moins 6 caractères combinant miniscules,majuscules,chiffres et un caractère spécial, afin de ne pas se retrouver avec un passwd "toto42"
 
c déjà po mal (je pense)  :D


Message édité par madsurfer le 06-07-2002 à 10:52:04
Reply

Marsh Posté le 06-07-2002 à 10:50:21    

faut savoir ce qu'on veut...

Reply

Marsh Posté le 06-07-2002 à 10:51:27    

Ben deja y'a une option dans les servers ftp pour cacher les fichiers commencant par un point "." comme ca tu resouds un probleme :)
@++

Reply

Marsh Posté le 06-07-2002 à 10:54:50    

Salut :hello:,
 
A mon avis l'idéal serait de chrooté le serveur ftp lui-même. Dans ton répertoire chrooté, tu crée les répertoires de download pour chaque utilisateur. Dans le répertoire courant de tes utilisateurs,tu crée un lien symbolique vers les répertoires chrooté. De plus dans l'environnement chrooté tu met /bin/false comme shell. Ca devrait pas trop mal marché à mon avis.
 
Bonne chance,
 
Zakhat
 
PS: le protocole ftp proprement dit n'est as considéré comme secure
PS2: si le package existe prend plutot openssh 3.4p1
 
 

Reply

Marsh Posté le 06-07-2002 à 10:54:50   

Reply

Marsh Posté le 06-07-2002 à 10:56:08    

/usr/local/sbin/pure-ftpd -XAB
 
Et hop, tous tes users sont chrootes, et ne peuvent pas lire tout ce qui commence par un point.
 


---------------
C'est en forgeant qu'on devient con comme un forgeron.
Reply

Marsh Posté le 06-07-2002 à 11:11:49    

aurelboiss a écrit a écrit :

Ben deja y'a une option dans les servers ftp pour cacher les fichiers commencant par un point "." comme ca tu resouds un probleme :)
@++




 
OK ! Mais t sur qu'en faisant pas un :  
get ./alicq le rep va pas être télécharger !  
J'ai peur qu'il soit comme tu le dit "simplement caché" ?  
 
Au fait sous proftpd c koi cette directive ?  

Reply

Marsh Posté le 06-07-2002 à 11:20:57    

axey a écrit a écrit :

/usr/local/sbin/pure-ftpd -XAB
 
Et hop, tous tes users sont chrootes, et ne peuvent pas lire tout ce qui commence par un point.
 
 




 
Axey tient pendant que t'es là il y a une petite question qui me chagrine !
 
Pkoi pure-ftp n'a pas été inclus dans la debian Woody ?
 
C une des raisons pour laquelles j'ai installé proftpd, l'autre est que proftpd semble avoir "plus de vécu" que pureftpd !
 
Mais il est clair que j'hésite énormément encore entre proftpd et pureftpd! G lu quelques topics sur les 2 serveurs et je n'arrive pas à faire mon choix !
 
Mes critères de sélections st ds l'ordre :
1-Sécurité
2-Efficacité
3-Facilité de configuration
 

Reply

Marsh Posté le 06-07-2002 à 11:33:23    

zakhat a écrit a écrit :

Salut :hello:,
 
A mon avis l'idéal serait de chrooté le serveur ftp lui-même. Dans ton répertoire chrooté, tu crée les répertoires de download pour chaque utilisateur. Dans le répertoire courant de tes utilisateurs,tu crée un lien symbolique vers les répertoires chrooté. De plus dans l'environnement chrooté tu met /bin/false comme shell. Ca devrait pas trop mal marché à mon avis.
 
Bonne chance,
 
Zakhat
 
PS: le protocole ftp proprement dit n'est as considéré comme secure
PS2: si le package existe prend plutot openssh 3.4p1
 
 




 
Chui newbee ds le domaine et g pas tt compris !
Dis moi ci c ça !
 
1-Je créé ds le repertoire /home/ftp/ (par exemple) un rep par user. Ex: /home/ftp/madsurfer
2-Ds le fichier de conf du serveur FTP, je met DefautRoot /home/ftp/
3-Ds le rep user (/home/madsurfer), je fais un ln -s /home/ftp/madsurfer rep_FTP
4-L'histoire du /bin/false c où ds /etc/shell ou /etc/passwd. Mes users pourront ils se connecter en local.
 
Mes users verront ils les fichiers ds de leur home (ex: /home/madsurfer/toto.pdf).
 
Parce ce que je voulais faire c pouvoir par dowloader/uploader des fichiers entre école <--> maison par ex.
 
J'ai pas trop envie de faire du transvasage entre le rep /home/ftp/madsurfer et le rep /home/madsurfer


Message édité par madsurfer le 06-07-2002 à 11:34:58
Reply

Marsh Posté le 06-07-2002 à 12:56:09    

J'ai regardé un peu la config de proftpd et j'ai pas vu le moyen de cacher les fichiers "." :(  
 
Pourquoi ne pas créer un rep ftp dans chaque répertoire utilisateurs? et tu mettrais DefaultRoot ~/ftp. Ca me parait à mon avis la meilleure solution.
 
Et coté secu, le tunneling ssh me semble plus important.Il y a un exemple sur le site de proftpd
 
Bonne chance,
 
Zak  
 
 
 

Reply

Marsh Posté le 10-07-2002 à 17:21:34    

[:macfly_fr]

Reply

Marsh Posté le 10-07-2002 à 22:59:58    

[:macfly_fr]

Reply

Marsh Posté le 11-07-2002 à 12:56:03    

j'ai aussi trouvé ça sur le site proftpd:
 
 
# Disallow clients from any access to hidden files.
<Limit READ DIRS>
  IgnoreHidden   on
</Limit>
 
 
 

axey a écrit a écrit :

/usr/local/sbin/pure-ftpd -XAB
 
Et hop, tous tes users sont chrootes, et ne peuvent pas lire tout ce qui commence par un point.
 
 




---------------
www.fenetre8.com
Reply

Marsh Posté le 11-07-2002 à 20:59:35    

et des virtual users avec pure ftpd ça te branche pas ?
bon, il faut redéclarer tous les users mais si t'en a pas 300, ça peut etre une solution....


Message édité par netswitch le 11-07-2002 à 20:59:52
Reply

Marsh Posté le 11-07-2002 à 21:47:55    

netswitch a écrit a écrit :

et des virtual users avec pure ftpd ça te branche pas ?
bon, il faut redéclarer tous les users mais si t'en a pas 300, ça peut etre une solution....




 
Pas besoin de tout redeclarer, il y a pure-pwconvert qui fait ca tout seul.


---------------
C'est en forgeant qu'on devient con comme un forgeron.
Reply

Marsh Posté le 11-07-2002 à 22:36:59    

Je suis newbie aussi et v installer un serveur FTP dans pas longtemps.
Je v prendre pureftpd déjà et je voudrais savoir si c possible de faire comme pour apache avec le mod_dynvhost cad créer un répertoire qui contiendra le nom de l'user et dans un fichier par exemple les pass des user.
Par exemple je créé un user unix nommé ftp.
dans /home/ftp je fé un fichier pass et les comptes commences ah /home/ftp/user1 /home/ftp/user2 /home/ftp/jeanb etc...
 
 
Sinon, pureftpd est-il comptatible ipv6 et ssl ?

Reply

Marsh Posté le 11-07-2002 à 23:43:42    

Oui, tu peux faire ca sans probleme (toujours avec les virtual users), lis http://pureftpd.org/README.Virtual-Users et http://pureftpd.org/FAQ
 
IPv6 est supporte partout. Les "trucs" utilises pour que ca marche en IPv6 sont d'ailleurs expliques ici : http://www.jedi.claranet.fr/ipv6.html
 
SSL, non. Le FTP-over-SSL c'est du platre sur une jambe de bois.


---------------
C'est en forgeant qu'on devient con comme un forgeron.
Reply

Marsh Posté le 11-07-2002 à 23:44:47    

oki, ça fait rien pour le SSL.
Merci bien  :jap:

Reply

Marsh Posté le 14-07-2002 à 15:06:52    

ça y est !
apt-get install pure-ftpd :)
virage de proftpd et install de pureftpd oki  :sol:  
 
et ça marche en plus :)
mais ... où est le GUI ? :)


---------------
www.fenetre8.com
Reply

Marsh Posté le    

Reply

Sujets relatifs:

Leave a Replay

Make sure you enter the(*)required information where indicate.HTML code is not allowed