Forum |  HardWare.fr | News | Articles | PC | S'identifier | S'inscrire | Shop Recherche
1301 connectés 

  FORUM HardWare.fr
  Linux et OS Alternatifs

  [Conseil administration] serveur FTP privé

 


 Mot :   Pseudo :  
 
Bas de page
Auteur Sujet :

[Conseil administration] serveur FTP privé

n°121615
madsurfer
Boulet's eradicator
Posté le 06-07-2002 à 09:29:30  profilanswer
 

Slt,
 
Hier je viens d'installer le package Debian Woody proftpd...
 
Je souhaite réaliser un serveur FTP privé (pas de compte anonyme...).
 
J'ai commencé par CHROOTER les comptes afin qu'ils puissent pas allé fouiller ds le répertoire /etc/ par exemple.
 
J'ai donc mis la directive : DefaultRoot ~
 
Ce qui me gène c que lorsque l'user se connecte, il peut faire un ln -a et voir quels sont les progs installé et accéder même à certain password qui sont en clair (comme c le cas de alicq) !
 
Si un pirate arrive à se connecter sur un compte FTP, ils disposent déjà trop d'information à mon gout !
 
L'autre solution est de créer un rep par user, ex:  /home/ftp/nom_de_l'utilisateur. Mais c pas pratique car tt les fichiers de l'user sont dans /home/nom_user
 
Comme vous y prenez vous, pour ne pas avoir ce type de problème ?
 


ftp> ls -a
200 PORT command successful.
150 Opening ASCII mode data connection for file list.
drwxr-xr-x  22 1000     cedric       4096 Jul  6 09:09 .
drwxr-xr-x  22 1000     cedric       4096 Jul  6 09:09 ..
-rw-r--r--   1 0        root           18 Jun 28 23:20 .PengUser
-rw-------   1 1000     cedric          0 Jul  6 09:09 .Xauthority
drwxr-xr-x   3 1000     cedric       4096 Jul  6 00:24 .alicq
-rw-r--r--   1 1000     cedric       5226 Jul  6 00:23 .alicqrc
-rw-------   1 1000     cedric       5561 Jul  6 09:09 .bash_history
-rw-r--r--   1 1000     cedric        544 Jun 22 23:40 .bash_profile
-rw-r--r--   1 0        root           22 Jun 22 23:37 .bashrc
-rw-r--r--   1 1000     cedric        240 Jul  5 10:13 .chromium
-rw-r--r--   1 1000     cedric       3800 Jul  5 10:13 .chromium-score
drwx------   5 1000     cedric       4096 Jul  6 09:07 .enlightenment
drwx------   2 1000     cedric       4096 Jul  5 00:53 .gconf
drwx------   2 1000     cedric       4096 Jul  5 00:53 .gconfd
drwxr-x---   2 1000     cedric       4096 Jun 28 23:55 .gftp
drwxr-xr-x   4 1000     cedric       4096 Jul  4 01:03 .gnome
drwx------   2 1000     cedric       4096 Jul  4 01:03 .gnome_private
drwx------   4 1000     cedric       4096 Jun 28 15:49 .loki
-rw-r--r--   1 1000     cedric       3170 Jun 26 13:23 .mailcap
-rw-r--r--   1 1000     cedric       1270 Jun 26 13:23 .mime.types
drwxr-xr-x   4 1000     cedric       4096 Jun 26 10:54 .mozilla
drwxr-xr-x   2 1000     cedric       4096 Jul  4 18:53 .mplayer
drwxr-xr-x   3 1000     cedric       4096 Jun 26 10:17 .netscape
drwxr-xr-x   3 1000     cedric       4096 Jun 26 10:17 .netscape6
drwxr-x---   2 1000     cedric       4096 Jun 28 23:59 .ntrc
drwxr-xr-x   4 1000     cedric       4096 Jun 26 13:45 .openoffice
-rw-r--r--   1 1000     cedric         66 Jun 26 13:23 .sversionrc
drwxr-xr-x   2 1000     cedric       4096 Jul  5 10:09 .tuxracer
-rw-r--r--   1 1000     cedric       2048 Jun 26 13:23 .user60.rdb
drwxr-xr-x   3 1000     cedric       4096 Jul  5 10:43 .wine
drwxr-xr-x   4 1000     cedric       4096 Jun 28 15:58 .xmms
-rw-------   1 1000     cedric        143 Jul  6 09:09 .xsession-errors
drwxr-xr-x   6 1000     cedric       4096 Jan 27  1998 ICQJava
-rw-------   1 1000     cedric     621224 Jul  4 01:02 ICQJava_Preview.tar.gz
drwxr-xr-x  12 1000     cedric       4096 Jun 28 15:49 UT1
drwx------   5 1000     cedric       4096 Jul  5 00:41 evolution
-rw-------   1 1000     cedric          1 Jul  1 11:14 nano.save
226-Transfer complete.
226 Quotas off
ftp>  


Message édité par madsurfer le 06-07-2002 à 10:01:29
mood
Publicité
Posté le 06-07-2002 à 09:29:30  profilanswer
 

n°121616
Xavier_OM
Monarchiste régicide (fr quoi)
Posté le 06-07-2002 à 09:37:28  profilanswer
 

Je sais pas si y a une solution, parce que ca me semble normal que quand un user se log sur son ftp il est accès à tous ses files même  les passwd.
 
En plus sur un compte privé il est censé être le seul à avoir le mot de passe, mais bon, si c'est pour se logger sur un compte "privé-à-moi-mais-ou-y-a-rien-de-perso-en-cas-de-hackerz" ca ressemble plus trop a un compte privé là...


---------------
Il y a autant d'atomes d'oxygène dans une molécule d'eau que d'étoiles dans le système solaire.
n°121619
madsurfer
Boulet's eradicator
Posté le 06-07-2002 à 09:56:01  profilanswer
 

Xavier_OM a écrit a écrit :

Je sais pas si y a une solution, parce que ca me semble normal que quand un user se log sur son ftp il est accès à tous ses files même  les passwd.
 
En plus sur un compte privé il est censé être le seul à avoir le mot de passe, mais bon, si c'est pour se logger sur un compte "privé-à-moi-mais-ou-y-a-rien-de-perso-en-cas-de-hackerz" ca ressemble plus trop a un compte privé là...




 
Perso, je suis peut être un peu parano ! Mais j'estime qu'un serveur ouvert sur l'extérieur est "hackable" et que le hacker va se ruer sur les comptes FTP. Et je ne veux pas qu'il dispose de trop d'info sur le serveur et encore moins qu'il sache les mots de passe (d'ICQ et autre), dans le cas où il arriverait à se connecter !
 
Un passwd sa "se casse", par divers moyen, tels que les attaques par dico ou brute force !
 
J'attend d'autres idées.  :D

n°121620
GUG
Posté le 06-07-2002 à 10:18:13  profilanswer
 

as tu deja empecher les comptes d avoir un shel valide en ssh ?  
ds /etc/shells tu met /bin/false  
ds /etc/passwd  tu met false a la place de bahsh(ouksh etc)

n°121622
monokrome
nocturne
Posté le 06-07-2002 à 10:40:20  profilanswer
 

madsurfer a écrit a écrit :

 
 
 
 
Un passwd sa "se casse", par divers moyen, tels que les attaques par dico ou brute force !
 
J'attend d'autres idées.  :D  




 
évidemment, toto2002 ou killer23 vont pas mettre longtemps a se faire cracker par brute force/dico, alors que K$54Li6v ou C12?dR8 sont quand meme un peu plus durs a trouver par ces méthodes

n°121623
madsurfer
Boulet's eradicator
Posté le 06-07-2002 à 10:43:46  profilanswer
 

GUG a écrit a écrit :

as tu deja empecher les comptes d avoir un shel valide en ssh ?  
ds /etc/shells tu met /bin/false  
ds /etc/passwd  tu met false a la place de bahsh(ouksh etc)




 
Tt d'abord chui newbee ds le domaine !
J'ai pas encore installé SSH !
Bein tient pendant que j'y suis... Vous me conseillez quelle implémentation ? Perso je pensais à OpenSSH et utiliser SSH 2.
Je souhaite utiliser les packages Debian Woody !
 
Le meilleur OpenSSH c bien celui là ? ssh-krb5 3.0.2p1-7 ?
 
GUG > Je souhaite que mes utilisateurs puissent se connecter en local ! Je pense qu'avec ton système les users ne pourront plus se connecter ! Hors ce n'est pas le but rechercher !
 
Il est clair qu'il faudrait un serveur FTP dédié ! Hors je suis étudiant -> donc pas les moyens financiers  :(
 
Or ce serveur sera tt faire : serveur Web, FTP, messagerie, FireWall, samba, impression, DHCP...


Message édité par madsurfer le 06-07-2002 à 10:45:15
n°121625
madsurfer
Boulet's eradicator
Posté le 06-07-2002 à 10:48:40  profilanswer
 

monokrome a écrit a écrit :

 
 
évidemment, toto2002 ou killer23 vont pas mettre longtemps a se faire cracker par brute force/dico, alors que K$54Li6v ou C12?dR8 sont quand meme un peu plus durs a trouver par ces méthodes




 
Ouhais et je vois mal ma soeur mettre un passwd de type :
 
Gkfsdfsdfgn161dfng@$Pjdqsd4512@m  :lol:
 
C clair que je lui ai demander d'utiliser un paasswd d'au moins 6 caractères combinant miniscules,majuscules,chiffres et un caractère spécial, afin de ne pas se retrouver avec un passwd "toto42"
 
c déjà po mal (je pense)  :D


Message édité par madsurfer le 06-07-2002 à 10:52:04
n°121626
monokrome
nocturne
Posté le 06-07-2002 à 10:50:21  profilanswer
 

faut savoir ce qu'on veut...

n°121627
aurelboiss
Posté le 06-07-2002 à 10:51:27  profilanswer
 

Ben deja y'a une option dans les servers ftp pour cacher les fichiers commencant par un point "." comme ca tu resouds un probleme :)
@++

n°121628
zakhat
Posté le 06-07-2002 à 10:54:50  profilanswer
 

Salut :hello:,
 
A mon avis l'idéal serait de chrooté le serveur ftp lui-même. Dans ton répertoire chrooté, tu crée les répertoires de download pour chaque utilisateur. Dans le répertoire courant de tes utilisateurs,tu crée un lien symbolique vers les répertoires chrooté. De plus dans l'environnement chrooté tu met /bin/false comme shell. Ca devrait pas trop mal marché à mon avis.
 
Bonne chance,
 
Zakhat
 
PS: le protocole ftp proprement dit n'est as considéré comme secure
PS2: si le package existe prend plutot openssh 3.4p1
 
 

mood
Publicité
Posté le 06-07-2002 à 10:54:50  profilanswer
 

n°121629
axey
http://www.00f.net
Posté le 06-07-2002 à 10:56:08  profilanswer
 

/usr/local/sbin/pure-ftpd -XAB
 
Et hop, tous tes users sont chrootes, et ne peuvent pas lire tout ce qui commence par un point.
 


---------------
C'est en forgeant qu'on devient con comme un forgeron.
n°121634
madsurfer
Boulet's eradicator
Posté le 06-07-2002 à 11:11:49  profilanswer
 

aurelboiss a écrit a écrit :

Ben deja y'a une option dans les servers ftp pour cacher les fichiers commencant par un point "." comme ca tu resouds un probleme :)
@++




 
OK ! Mais t sur qu'en faisant pas un :  
get ./alicq le rep va pas être télécharger !  
J'ai peur qu'il soit comme tu le dit "simplement caché" ?  
 
Au fait sous proftpd c koi cette directive ?  

n°121640
madsurfer
Boulet's eradicator
Posté le 06-07-2002 à 11:20:57  profilanswer
 

axey a écrit a écrit :

/usr/local/sbin/pure-ftpd -XAB
 
Et hop, tous tes users sont chrootes, et ne peuvent pas lire tout ce qui commence par un point.
 
 




 
Axey tient pendant que t'es là il y a une petite question qui me chagrine !
 
Pkoi pure-ftp n'a pas été inclus dans la debian Woody ?
 
C une des raisons pour laquelles j'ai installé proftpd, l'autre est que proftpd semble avoir "plus de vécu" que pureftpd !
 
Mais il est clair que j'hésite énormément encore entre proftpd et pureftpd! G lu quelques topics sur les 2 serveurs et je n'arrive pas à faire mon choix !
 
Mes critères de sélections st ds l'ordre :
1-Sécurité
2-Efficacité
3-Facilité de configuration
 

n°121646
madsurfer
Boulet's eradicator
Posté le 06-07-2002 à 11:33:23  profilanswer
 

zakhat a écrit a écrit :

Salut :hello:,
 
A mon avis l'idéal serait de chrooté le serveur ftp lui-même. Dans ton répertoire chrooté, tu crée les répertoires de download pour chaque utilisateur. Dans le répertoire courant de tes utilisateurs,tu crée un lien symbolique vers les répertoires chrooté. De plus dans l'environnement chrooté tu met /bin/false comme shell. Ca devrait pas trop mal marché à mon avis.
 
Bonne chance,
 
Zakhat
 
PS: le protocole ftp proprement dit n'est as considéré comme secure
PS2: si le package existe prend plutot openssh 3.4p1
 
 




 
Chui newbee ds le domaine et g pas tt compris !
Dis moi ci c ça !
 
1-Je créé ds le repertoire /home/ftp/ (par exemple) un rep par user. Ex: /home/ftp/madsurfer
2-Ds le fichier de conf du serveur FTP, je met DefautRoot /home/ftp/
3-Ds le rep user (/home/madsurfer), je fais un ln -s /home/ftp/madsurfer rep_FTP
4-L'histoire du /bin/false c où ds /etc/shell ou /etc/passwd. Mes users pourront ils se connecter en local.
 
Mes users verront ils les fichiers ds de leur home (ex: /home/madsurfer/toto.pdf).
 
Parce ce que je voulais faire c pouvoir par dowloader/uploader des fichiers entre école <--> maison par ex.
 
J'ai pas trop envie de faire du transvasage entre le rep /home/ftp/madsurfer et le rep /home/madsurfer


Message édité par madsurfer le 06-07-2002 à 11:34:58
n°121674
zakhat
Posté le 06-07-2002 à 12:56:09  profilanswer
 

J'ai regardé un peu la config de proftpd et j'ai pas vu le moyen de cacher les fichiers "." :(  
 
Pourquoi ne pas créer un rep ftp dans chaque répertoire utilisateurs? et tu mettrais DefaultRoot ~/ftp. Ca me parait à mon avis la meilleure solution.
 
Et coté secu, le tunneling ssh me semble plus important.Il y a un exemple sur le site de proftpd
 
Bonne chance,
 
Zak  
 
 
 

n°123496
madsurfer
Boulet's eradicator
Posté le 10-07-2002 à 17:21:34  profilanswer
 

[:macfly_fr]

n°123674
madsurfer
Boulet's eradicator
Posté le 10-07-2002 à 22:59:58  profilanswer
 

[:macfly_fr]

n°123885
x540
fenetre8.com
Posté le 11-07-2002 à 12:56:03  profilanswer
 

j'ai aussi trouvé ça sur le site proftpd:
 
 
# Disallow clients from any access to hidden files.
<Limit READ DIRS>
  IgnoreHidden   on
</Limit>
 
 
 

axey a écrit a écrit :

/usr/local/sbin/pure-ftpd -XAB
 
Et hop, tous tes users sont chrootes, et ne peuvent pas lire tout ce qui commence par un point.
 
 




---------------
www.fenetre8.com
n°124086
netswitch
minet ?
Posté le 11-07-2002 à 20:59:35  profilanswer
 

et des virtual users avec pure ftpd ça te branche pas ?
bon, il faut redéclarer tous les users mais si t'en a pas 300, ça peut etre une solution....


Message édité par netswitch le 11-07-2002 à 20:59:52
n°124102
axey
http://www.00f.net
Posté le 11-07-2002 à 21:47:55  profilanswer
 

netswitch a écrit a écrit :

et des virtual users avec pure ftpd ça te branche pas ?
bon, il faut redéclarer tous les users mais si t'en a pas 300, ça peut etre une solution....




 
Pas besoin de tout redeclarer, il y a pure-pwconvert qui fait ca tout seul.


---------------
C'est en forgeant qu'on devient con comme un forgeron.
n°124118
Je@nb
Kindly give dime
Posté le 11-07-2002 à 22:36:59  profilanswer
 

Je suis newbie aussi et v installer un serveur FTP dans pas longtemps.
Je v prendre pureftpd déjà et je voudrais savoir si c possible de faire comme pour apache avec le mod_dynvhost cad créer un répertoire qui contiendra le nom de l'user et dans un fichier par exemple les pass des user.
Par exemple je créé un user unix nommé ftp.
dans /home/ftp je fé un fichier pass et les comptes commences ah /home/ftp/user1 /home/ftp/user2 /home/ftp/jeanb etc...
 
 
Sinon, pureftpd est-il comptatible ipv6 et ssl ?

n°124139
axey
http://www.00f.net
Posté le 11-07-2002 à 23:43:42  profilanswer
 

Oui, tu peux faire ca sans probleme (toujours avec les virtual users), lis http://pureftpd.org/README.Virtual-Users et http://pureftpd.org/FAQ
 
IPv6 est supporte partout. Les "trucs" utilises pour que ca marche en IPv6 sont d'ailleurs expliques ici : http://www.jedi.claranet.fr/ipv6.html
 
SSL, non. Le FTP-over-SSL c'est du platre sur une jambe de bois.


---------------
C'est en forgeant qu'on devient con comme un forgeron.
n°124140
Je@nb
Kindly give dime
Posté le 11-07-2002 à 23:44:47  profilanswer
 

oki, ça fait rien pour le SSL.
Merci bien  :jap:

n°125119
x540
fenetre8.com
Posté le 14-07-2002 à 15:06:52  profilanswer
 

ça y est !
apt-get install pure-ftpd :)
virage de proftpd et install de pureftpd oki  :sol:  
 
et ça marche en plus :)
mais ... où est le GUI ? :)


---------------
www.fenetre8.com
mood
Publicité
Posté le   profilanswer
 


Aller à :
Ajouter une réponse
  FORUM HardWare.fr
  Linux et OS Alternatifs

  [Conseil administration] serveur FTP privé

 

Sujets relatifs
Problème de serveur XCherche conseils pour l install d un ptit serveur sur pc peu puissant
Comment faire un serveur RA3 sous linuximpossible de lancer des programmes sur le serveur X
serveur FTP sous AIX[Serveur] Proxy Linux sur 2 lignes 56K ? + divers ... Help !!!
Créer un serveur telnet sous Debian ?comment decompresser le .bin du serveur dedié HL sous linux ?
[MySQL & Apache] Serveur Web ne supportant pas la charge 
Plus de sujets relatifs à : [Conseil administration] serveur FTP privé


Copyright © 1997-2022 Hardware.fr SARL (Signaler un contenu illicite / Données personnelles) / Groupe LDLC / Shop HFR