Follow Techotopia on Twitter

On-line Guides
All Guides
eBook Store
iOS / Android
Linux for Beginners
Office Productivity
Linux Installation
Linux Security
Linux Utilities
Linux Virtualization
Linux Kernel
System/Network Admin
Programming
Scripting Languages
Development Tools
Web Development
GUI Toolkits/Desktop
Databases
Mail Systems
openSolaris
Eclipse Documentation
Techotopia.com
Virtuatopia.com

How To Guides
Virtualization
General System Admin
Linux Security
Linux Filesystems
Web Servers
Graphics & Desktop
PC Hardware
Windows
Problem Solutions
Privacy Policy

  




 

 

Linuxtopia - Red Hat Enterprise Linux - Guide de securite - S�curisation de FTP

5.6. S�curisation de FTP

FTP (File Transport Protocol) est un protocole TCP relativement ancien con�u pour transf�rer des fichiers sur un r�seau. Parce que toutes les transactions avec le serveur, y compris l'authentification des utilisateurs, sont effectu�es de mani�re non-crypt�e, il est consid�r� comme un protocole vuln�rable au niveau de la s�curit� et devrait donc �tre utilis� avec beaucoup de pr�cautions.

Red Hat Enterprise Linux fournit trois serveurs FTP.

  • gssftpd — Un d�mon FTP ��kerberis頻 bas� sur xinetd qui ne transmet pas d'informations d'authentification sur le r�seau.

  • Red Hat Content Accelerator (tux) — Un serveur Web bas� sur le noyau et dot� de fonctionnalit�s FTP.

  • vsftpd — Une impl�mentation totale du service FTP, centr�e sur la s�curit�.

Les instructions de s�curit� suivantes sont relatives � la configuration du service FTP vsftpd.

5.6.1. Banni�re de bienvenue FTP

Avant de soumettre un nom d'utilisateur et mot de passe, tout utilisateur est accueilli par une banni�re de bienvenue. Par d�faut, cette derni�re inclut des informations sur la version utilis�e qui peuvent �tre utiles � des craqueurs essayant d'identifier les faiblesses d'un syst�me.

Pour changer la banni�re de bienvenue pour vsftpd, ajoutez la directive suivante au fichier /etc/vsftpd/vsftpd.conf�:

ftpd_banner=<insert_greeting_here>

Dans la directive ci-dessus, remplacez <insert_greeting_here> par le texte de votre message de bienvenue.

Dans le cas de banni�res compos�es de plusieurs lignes, il est pr�f�rable d'utiliser un fichier banni�re. Afin de simplifier la gestion de banni�res multiples, placez toutes les banni�res dans un nouveau r�pertoire nomm� /etc/banners/. Dans notre exemple, le fichier banni�re pour les connexions FTP sera /etc/banners/ftp.msg. Ci-apr�s figure un exemple de ce � quoi un tel fichier pourrait ressembler�:

####################################################
# Hello, all activity on ftp.example.com is logged.#
####################################################

NoteNote
 

Il n'est pas n�cessaire de commencer chaque ligne du fichier par 220 comme l'explique la Section 5.1.1.1.

Pour appeler ce fichier banni�re de bienvenue pour vsftpd, ajoutez la directive suivante au fichier /etc/vsftpd/vsftpd.conf�:

banner_file=/etc/banners/ftp.msg

Il est �galement possible d'envoyer des banni�res suppl�mentaires aux connexions entrantes en utilisant des enveloppeurs TCP, comme l'explique la Section 5.1.1.1.

5.6.2. Acc�s anonyme

La pr�sence du r�pertoire /var/ftp/ entra�ne l'activation du compte anonyme.

La mani�re la plus simple de cr�er ce r�pertoire consiste � installer le paquetage vsftpd. Ce dernier met en place une arborescence de r�pertoires pour des utilisateurs anonymes et configure les permissions de r�pertoires en lecture-seule pour les utilisateurs anonymes.

Par d�faut, l'utilisateur anonyme n'est pas en mesure d'�crire dans quelque r�pertoire que ce soit.

AttentionAttention
 

Si vous d�cidez d'activer l'acc�s anonyme pour un serveur FTP, soyez particuli�rement prudent quant � l'emplacement o� vous stockez vos donn�es confidentielles.

5.6.2.1. T�l�chargement anonyme

Si vous souhaitez autoriser le t�l�chargement par des utilisateurs anonymes, il est recommand� de cr�er un r�pertoire en �criture-seule au sein de /var/ftp/pub/.

Pour ce faire, saisissez�:

mkdir /var/ftp/pub/upload

Changez ensuite les permissions afin d'emp�cher les utilisateurs anonymes de voir le contenu du r�pertoire en saisissant�:

chmod 730 /var/ftp/pub/upload

Un listage d�taill� (ou long) du r�pertoire devrait ressembler � l'exemple suivant�:

drwx-wx---    2 root     ftp          4096 Feb 13 20:05 upload

AvertissementAvertissement
 

Les administrateurs permettant aux utilisateurs anonymes de lire et �crire dans des r�pertoires se rendent souvent compte que leur serveur devient un d�p�t de logiciels vol�s.

De plus, sous vsftpd, ajoutez la ligne suivante au fichier /etc/vsftpd/vsftpd.conf�:

anon_upload_enable=YES

5.6.3. Comptes utilisateurs

Parce que FTP, lors de l'authentification, transmet les noms d'utilisateur et mots de passe sur des r�seaux non-s�curis�s, il est conseill� de refuser l'acc�s des utilisateurs du syst�me au serveur � partir de leurs comptes.

Afin de d�sactiver les comptes utilisateurs dans vsftpd, ajoutez la directive suivante dans /etc/vsftpd/vsftpd.conf�:

local_enable=NO

5.6.3.1. Restriction des comptes utilisateurs

La mani�re la plus simple de d�sactiver un groupe sp�cifique de comptes, tels que le super-utilisateur et ceux disposant des privil�ges sudo, afin qu'ils n'aient pas acc�s au serveur FTP, consiste � utiliser un fichier contenant une liste � l'intention de PAM comme l'explique la Section 4.4.2.4. Le fichier de configuration PAM de vsftpd est /etc/pam.d/vsftpd.

Il est �galement possible de d�sactiver des comptes utilisateurs directement dans chaque service.

Afin de d�sactiver des comptes utilisateurs sp�cifiques dans vsftpd, ajoutez le nom d'utilisateur au fichier /etc/vsftpd.ftpusers.

5.6.4. Utilisation des enveloppeurs TCP pour contr�ler l'acc�s

Utilisez les enveloppeurs TCP afin de contr�ler l'acc�s � l'un ou l'autre des d�mons FTP, comme le souligne la Section 5.1.1.

 
 
  Published under the terms of the GNU General Public License Design by Interspire