Follow Techotopia on Twitter

On-line Guides
All Guides
eBook Store
iOS / Android
Linux for Beginners
Office Productivity
Linux Installation
Linux Security
Linux Utilities
Linux Virtualization
Linux Kernel
System/Network Admin
Programming
Scripting Languages
Development Tools
Web Development
GUI Toolkits/Desktop
Databases
Mail Systems
openSolaris
Eclipse Documentation
Techotopia.com
Virtuatopia.com

How To Guides
Virtualization
General System Admin
Linux Security
Linux Filesystems
Web Servers
Graphics & Desktop
PC Hardware
Windows
Problem Solutions
Privacy Policy

  




 

 

NOTE: CentOS Enterprise Linux is built from the Red Hat Enterprise Linux source code. Other than logo and name changes CentOS Enterprise Linux is compatible with the equivalent Red Hat version. This document applies equally to both Red Hat and CentOS Enterprise Linux.
Linuxtopia - CentOS Enterprise Linux - Guide de securite - S�curisation de FTP

5.6. S�curisation de FTP

FTP (File Transport Protocol) est un protocole TCP relativement ancien con�u pour transf�rer des fichiers sur un r�seau. Parce que toutes les transactions avec le serveur, y compris l'authentification des utilisateurs, sont effectu�es de mani�re non-crypt�e, il est consid�r� comme un protocole vuln�rable au niveau de la s�curit� et devrait donc �tre utilis� avec beaucoup de pr�cautions.

Red Hat Enterprise Linux fournit trois serveurs FTP.

  • gssftpd — Un d�mon FTP ��kerberis頻 bas� sur xinetd qui ne transmet pas d'informations d'authentification sur le r�seau.

  • Red Hat Content Accelerator (tux) — Un serveur Web bas� sur le noyau et dot� de fonctionnalit�s FTP.

  • vsftpd — Une impl�mentation totale du service FTP, centr�e sur la s�curit�.

Les instructions de s�curit� suivantes sont relatives � la configuration du service FTP vsftpd.

5.6.1. Banni�re de bienvenue FTP

Avant de soumettre un nom d'utilisateur et mot de passe, tout utilisateur est accueilli par une banni�re de bienvenue. Par d�faut, cette derni�re inclut des informations sur la version utilis�e qui peuvent �tre utiles � des craqueurs essayant d'identifier les faiblesses d'un syst�me.

Pour changer la banni�re de bienvenue pour vsftpd, ajoutez la directive suivante au fichier /etc/vsftpd/vsftpd.conf�:

ftpd_banner=<insert_greeting_here>

Dans la directive ci-dessus, remplacez <insert_greeting_here> par le texte de votre message de bienvenue.

Dans le cas de banni�res compos�es de plusieurs lignes, il est pr�f�rable d'utiliser un fichier banni�re. Afin de simplifier la gestion de banni�res multiples, placez toutes les banni�res dans un nouveau r�pertoire nomm� /etc/banners/. Dans notre exemple, le fichier banni�re pour les connexions FTP sera /etc/banners/ftp.msg. Ci-apr�s figure un exemple de ce � quoi un tel fichier pourrait ressembler�:

####################################################
# Hello, all activity on ftp.example.com is logged.#
####################################################

NoteNote
 

Il n'est pas n�cessaire de commencer chaque ligne du fichier par 220 comme l'explique la Section 5.1.1.1.

Pour appeler ce fichier banni�re de bienvenue pour vsftpd, ajoutez la directive suivante au fichier /etc/vsftpd/vsftpd.conf�:

banner_file=/etc/banners/ftp.msg

Il est �galement possible d'envoyer des banni�res suppl�mentaires aux connexions entrantes en utilisant des enveloppeurs TCP, comme l'explique la Section 5.1.1.1.

5.6.2. Acc�s anonyme

La pr�sence du r�pertoire /var/ftp/ entra�ne l'activation du compte anonyme.

La mani�re la plus simple de cr�er ce r�pertoire consiste � installer le paquetage vsftpd. Ce dernier met en place une arborescence de r�pertoires pour des utilisateurs anonymes et configure les permissions de r�pertoires en lecture-seule pour les utilisateurs anonymes.

Par d�faut, l'utilisateur anonyme n'est pas en mesure d'�crire dans quelque r�pertoire que ce soit.

AttentionAttention
 

Si vous d�cidez d'activer l'acc�s anonyme pour un serveur FTP, soyez particuli�rement prudent quant � l'emplacement o� vous stockez vos donn�es confidentielles.

5.6.2.1. T�l�chargement anonyme

Si vous souhaitez autoriser le t�l�chargement par des utilisateurs anonymes, il est recommand� de cr�er un r�pertoire en �criture-seule au sein de /var/ftp/pub/.

Pour ce faire, saisissez�:

mkdir /var/ftp/pub/upload

Changez ensuite les permissions afin d'emp�cher les utilisateurs anonymes de voir le contenu du r�pertoire en saisissant�:

chmod 730 /var/ftp/pub/upload

Un listage d�taill� (ou long) du r�pertoire devrait ressembler � l'exemple suivant�:

drwx-wx---    2 root     ftp          4096 Feb 13 20:05 upload

AvertissementAvertissement
 

Les administrateurs permettant aux utilisateurs anonymes de lire et �crire dans des r�pertoires se rendent souvent compte que leur serveur devient un d�p�t de logiciels vol�s.

De plus, sous vsftpd, ajoutez la ligne suivante au fichier /etc/vsftpd/vsftpd.conf�:

anon_upload_enable=YES

5.6.3. Comptes utilisateurs

Parce que FTP, lors de l'authentification, transmet les noms d'utilisateur et mots de passe sur des r�seaux non-s�curis�s, il est conseill� de refuser l'acc�s des utilisateurs du syst�me au serveur � partir de leurs comptes.

Afin de d�sactiver les comptes utilisateurs dans vsftpd, ajoutez la directive suivante dans /etc/vsftpd/vsftpd.conf�:

local_enable=NO

5.6.3.1. Restriction des comptes utilisateurs

La mani�re la plus simple de d�sactiver un groupe sp�cifique de comptes, tels que le super-utilisateur et ceux disposant des privil�ges sudo, afin qu'ils n'aient pas acc�s au serveur FTP, consiste � utiliser un fichier contenant une liste � l'intention de PAM comme l'explique la Section 4.4.2.4. Le fichier de configuration PAM de vsftpd est /etc/pam.d/vsftpd.

Il est �galement possible de d�sactiver des comptes utilisateurs directement dans chaque service.

Afin de d�sactiver des comptes utilisateurs sp�cifiques dans vsftpd, ajoutez le nom d'utilisateur au fichier /etc/vsftpd.ftpusers.

5.6.4. Utilisation des enveloppeurs TCP pour contr�ler l'acc�s

Utilisez les enveloppeurs TCP afin de contr�ler l'acc�s � l'un ou l'autre des d�mons FTP, comme le souligne la Section 5.1.1.

 
 
  Published under the terms of the GNU General Public License Design by Interspire