Follow Techotopia on Twitter

On-line Guides
All Guides
eBook Store
iOS / Android
Linux for Beginners
Office Productivity
Linux Installation
Linux Security
Linux Utilities
Linux Virtualization
Linux Kernel
System/Network Admin
Programming
Scripting Languages
Development Tools
Web Development
GUI Toolkits/Desktop
Databases
Mail Systems
openSolaris
Eclipse Documentation
Techotopia.com
Virtuatopia.com

How To Guides
Virtualization
General System Admin
Linux Security
Linux Filesystems
Web Servers
Graphics & Desktop
PC Hardware
Windows
Problem Solutions
Privacy Policy

  




 

 

Linuxtopia - CentOS Enterprise Linux Guide de reference - Serveurs FTP

15.2. Serveurs FTP

Red Hat Enterprise Linux est fourni avec deux serveurs FTP diff�rents�:

  • Acc�l�rateur de contenu Red Hat — Un serveur Web bas� sur le noyau qui fournit un serveur Web haute performance et des services FTP. �tant donn� que le but de sa conception est � l'origine la vitesse, ses fonctionnalit�s sont limit�es et son fonctionnement n'est possible que comme serveur FTP anonyme. Pour obtenir de plus amples informations sur la configuration et l'administration de l'Acc�l�rateur de contenu Red Hat, consultez la documentation disponible en ligne � l'adresse suivante�: https://www.redhat.com/docs/manuals/tux/.

  • vsftpd — Un d�mon FTP s�curis� et rapide qui est le serveur FTP pr�f�r� pour Red Hat Enterprise Linux. Le reste de ce chapitre se concentre sur vsftpd.

15.2.1. vsftpd

Le d�mon vsftpd (acronyme de Very Secure FTP Daemon) est con�u pour �tre rapide, stable et surtout s�curis� du point de branchement � l'utilisateur final. Sa capacit� � traiter un grand nombre de connexions de mani�re efficace et s�curis�e explique la raison pour laquelle vsftpd est le seul FTP autonome distribu� avec Red Hat Enterprise Linux.

Le mod�le de s�curit� utilis� par vsftpd poss�de trois caract�ristiques essentielles, � savoir�:

  • S�paration claire entre les processus privil�gi�s et les processus non-privil�gi�s — Des processus diff�rents traitent diff�rentes t�ches et chacun de ces derniers fonctionne avec le minimum de privil�ges n�cessaires pour la t�che � ex�cuter.

  • Les t�ches demandant un degr� �lev� de privil�ges sont trait�es par des processus dot�s du minimum de privil�ges n�cessaires — En contr�lant les compatibilit�s, contenues dans la biblioth�que libcap, des t�ches qui n�cessitent g�n�ralement l'ensemble des privil�ges root peuvent �tre ex�cut�es de mani�re plus s�re depuis un processus dot� de privil�ges moins �tendus.

  • La plupart des processus sont ex�cut�s dans une prison chroot — Autant que possible, le r�pertoire root des processus devient le r�pertoire partag�; ce r�pertoire est alors consid�r� comme une prison chroot. Par exemple, si le r�pertoire /var/ftp/ est le r�pertoire partag� primaire, vsftpd r�assigne alors /var/ftp/ au nouveau r�pertoire root, /. Cette situation emp�che toute activit� de la part de pirates malintentionn�s sur les r�pertoires qui ne sont pas pr�sents sous le nouveau r�pertoire root.

L'utilisation de ces pratiques de s�curit� entra�ne les cons�quences suivantes sur la mani�re dont vsftpd traite les requ�tes�:

  • Le processus parent tourne avec le moins de privil�ges requis. — Le processus parent calcule dynamiquement le degr� de privil�ges dont il a besoin pour minimiser le degr� de risque. Les processus enfants traitent l'interaction directe avec les clients FTP et tournent avec aussi peu de privil�ges que possible.

  • Toutes les op�rations n�cessitant un degr� �lev� de privil�ges sont trait�es par un petit processus parent — D'une mani�re semblable � Serveur HTTP Apache, vsftpd lance des processus enfants non-privil�gi�s pour le traitement des connexions entrantes. Ce faisant, le processus parent privil�gi� peut �tre aussi petit que possible et traiter relativement peu de t�ches.

  • Le processus parent se m�fie de toutes les requ�tes provenant de processus enfants non-privil�gi�s — Toute communication avec des processus enfants est re�ue sur un socket et la validit� de toute information provenant de processus enfants est v�rifi�e avant que toute op�ration ne soit ex�cut�e.

  • La plupart de l'interaction avec les clients FTP est trait�e par des processus enfants non-privil�gi�s dans une prison chroot — �tant donn� que ces processus enfants ne sont pas privil�gi�s et n'ont acc�s qu'au r�pertoire partag�, tout processus plant� ne permet � un agresseur d'acc�der qu'aux fichiers partag�s.

 
 
  Published under the terms of the GNU General Public License Design by Interspire