5.6. S�curisation de FTP
FTP (File Transport Protocol) est un protocole TCP relativement ancien con�u pour transf�rer des fichiers sur un r�seau. Parce que toutes les transactions avec le serveur, y compris l'authentification des utilisateurs, sont effectu�es de mani�re non-crypt�e, il est consid�r� comme un protocole vuln�rable au niveau de la s�curit� et devrait donc �tre utilis� avec beaucoup de pr�cautions.
Red Hat Enterprise Linux fournit trois serveurs FTP.
gssftpd — Un d�mon FTP ��kerberis頻 bas� sur xinetd qui ne transmet pas d'informations d'authentification sur le r�seau.
Red Hat Content Accelerator (tux) — Un serveur Web bas� sur le noyau et dot� de fonctionnalit�s FTP.
vsftpd — Une impl�mentation totale du service FTP, centr�e sur la s�curit�.
Les instructions de s�curit� suivantes sont relatives � la configuration du service FTP vsftpd.
5.6.1. Banni�re de bienvenue FTP
Avant de soumettre un nom d'utilisateur et mot de passe, tout utilisateur est accueilli par une banni�re de bienvenue. Par d�faut, cette derni�re inclut des informations sur la version utilis�e qui peuvent �tre utiles � des craqueurs essayant d'identifier les faiblesses d'un syst�me.
Pour changer la banni�re de bienvenue pour vsftpd, ajoutez la directive suivante au fichier /etc/vsftpd/vsftpd.conf�:
ftpd_banner=<insert_greeting_here> |
Dans la directive ci-dessus, remplacez <insert_greeting_here> par le texte de votre message de bienvenue.
Dans le cas de banni�res compos�es de plusieurs lignes, il est pr�f�rable d'utiliser un fichier banni�re. Afin de simplifier la gestion de banni�res multiples, placez toutes les banni�res dans un nouveau r�pertoire nomm� /etc/banners/. Dans notre exemple, le fichier banni�re pour les connexions FTP sera /etc/banners/ftp.msg. Ci-apr�s figure un exemple de ce � quoi un tel fichier pourrait ressembler�:
####################################################
# Hello, all activity on ftp.example.com is logged.#
#################################################### |
 | Note |
|---|
| | Il n'est pas n�cessaire de commencer chaque ligne du fichier par 220 comme l'explique la Section 5.1.1.1. |
Pour appeler ce fichier banni�re de bienvenue pour vsftpd, ajoutez la directive suivante au fichier /etc/vsftpd/vsftpd.conf�:
banner_file=/etc/banners/ftp.msg |
Il est �galement possible d'envoyer des banni�res suppl�mentaires aux connexions entrantes en utilisant des enveloppeurs TCP, comme l'explique la Section 5.1.1.1.
5.6.2. Acc�s anonyme
La pr�sence du r�pertoire /var/ftp/ entra�ne l'activation du compte anonyme.
La mani�re la plus simple de cr�er ce r�pertoire consiste � installer le paquetage vsftpd. Ce dernier met en place une arborescence de r�pertoires pour des utilisateurs anonymes et configure les permissions de r�pertoires en lecture-seule pour les utilisateurs anonymes.
Par d�faut, l'utilisateur anonyme n'est pas en mesure d'�crire dans quelque r�pertoire que ce soit.
 | Attention |
|---|
| | Si vous d�cidez d'activer l'acc�s anonyme pour un serveur FTP, soyez particuli�rement prudent quant � l'emplacement o� vous stockez vos donn�es confidentielles. |
5.6.2.1. T�l�chargement anonyme
Si vous souhaitez autoriser le t�l�chargement par des utilisateurs anonymes, il est recommand� de cr�er un r�pertoire en �criture-seule au sein de /var/ftp/pub/.
Pour ce faire, saisissez�:
mkdir /var/ftp/pub/upload |
Changez ensuite les permissions afin d'emp�cher les utilisateurs anonymes de voir le contenu du r�pertoire en saisissant�:
chmod 730 /var/ftp/pub/upload |
Un listage d�taill� (ou long) du r�pertoire devrait ressembler � l'exemple suivant�:
drwx-wx--- 2 root ftp 4096 Feb 13 20:05 upload |
 | Avertissement |
|---|
| | Les administrateurs permettant aux utilisateurs anonymes de lire et �crire dans des r�pertoires se rendent souvent compte que leur serveur devient un d�p�t de logiciels vol�s. |
De plus, sous vsftpd, ajoutez la ligne suivante au fichier /etc/vsftpd/vsftpd.conf�:
5.6.3. Comptes utilisateurs
Parce que FTP, lors de l'authentification, transmet les noms d'utilisateur et mots de passe sur des r�seaux non-s�curis�s, il est conseill� de refuser l'acc�s des utilisateurs du syst�me au serveur � partir de leurs comptes.
Afin de d�sactiver les comptes utilisateurs dans vsftpd, ajoutez la directive suivante dans /etc/vsftpd/vsftpd.conf�:
5.6.3.1. Restriction des comptes utilisateurs
La mani�re la plus simple de d�sactiver un groupe sp�cifique de comptes, tels que le super-utilisateur et ceux disposant des privil�ges sudo, afin qu'ils n'aient pas acc�s au serveur FTP, consiste � utiliser un fichier contenant une liste � l'intention de PAM comme l'explique la Section 4.4.2.4. Le fichier de configuration PAM de vsftpd est /etc/pam.d/vsftpd.
Il est �galement possible de d�sactiver des comptes utilisateurs directement dans chaque service.
Afin de d�sactiver des comptes utilisateurs sp�cifiques dans vsftpd, ajoutez le nom d'utilisateur au fichier /etc/vsftpd.ftpusers.
5.6.4. Utilisation des enveloppeurs TCP pour contr�ler l'acc�s
Utilisez les enveloppeurs TCP afin de contr�ler l'acc�s � l'un ou l'autre des d�mons FTP, comme le souligne la Section 5.1.1.
