Home  >  Informatique

VsFTP – Installation et configuration

service_vstp

VsFTP – Installation et configuration

vsftpd

Définition de FTP

FTP veut dire « File Transfert Protocol » ou Protocole de transfert de Fichier.

C’est donc un protocole qui va permettre l’échange de fichiers entre 2 ordinateurs, et plus exactement entre un serveur et un client.

Dans notre cas nous avons choisis d’installer le serveur VSFTP sous Linux.  

Il est orienté sécurité, en effet VsFTP veut dire Very Secure File Transfert Protocol Daemon. 

La configuration par défaut est paranoïaque, d’après la man page.

 

Installation :

[pastacode lang= »bash » manual= »apt-get%20install%20vsftpd » message= » » highlight= » » provider= »manual »/]

Lancement du service :

[pastacode lang= »bash » manual= »service%20vsftpd%20start » message= » » highlight= » » provider= »manual »/]

Vérification : 

[pastacode lang= »bash » manual= »service%20vsftpd%20status » message= » » highlight= » » provider= »manual »/]

 

service_vstp

Configuration de vsftpd :

La configuration de VsFTPd est centralisée dans un seul et même fichier /etc/vsftpd.conf

[pastacode lang= »bash » manual= »%23%20Ceci%20configure%20vsFTPd%20en%20mode%20%22standalone%22%0A%23listen%3DYES%20%20%20%20%0A%23listen_ipv6%3DNO%0A%0A%23%20On%20d%C3%A9sactive%20les%20connexions%20anonymes%0A%23%20et%20on%20active%20les%20non-anonymes%20(c’est%20le%20cas%20des%20utilisateurs%20virtuels)%0Aanonymous_enable%3DNO%0Alocal_enable%3DYES%0A%0A%23Pour%20permettre%20%C3%A0%20vos%20utilisateurs%20locaux%20(ceux%20qui%20ont%20un%20compte%20sur%20la%20machine)%20de%20se%20connecter%20au%20serveur%20et%20d’%C3%A9crire.%20%0Awrite_enable%3DYES%0A%0A%23%20permet%20de%20d%C3%A9finir%20les%20droits%20par%20d%C3%A9faut%20lors%20de%20creation%20de%20fichier%20et%20r%C3%A9pertoire%0Alocal_umask%3D022%0A%0A%23%20Pour%20des%20raisons%20de%20s%C3%A9curit%C3%A9%20on%20interdit%20toute%20action%20d’%C3%A9criture%3A%0A%23les%20anonymes%20n’ont%20pas%20le%20droit%20de%20charger%20des%20fichiers%20sur%20le%20serveur%0Aanon_upload_enable%3DNO%0A%0A%23les%20anonymes%20n’ont%20pas%20le%20droit%20de%20cr%C3%A9er%20de%20r%C3%A9pertoire%0Aanon_mkdir_write_enable%3DNO%0A%0A%23%20message%20affich%C3%A9%20aux%20utilisateurs%20s’ils%20vont%20dans%20un%20certain%20r%C3%A9pertoire%20%0Adirmessage_enable%3DYES%0A%0A%23cette%20option%20est%20activ%C3%A9e%2C%20vsf%20affichera%20les%20listes%20des%20r%C3%A9pertoires%20avec%20l’heure%20de%20votre%20fuseau%20horaire%20local.%0Ause_localtime%3DYES%0A%0A%23active%20les%20logs%20lors%20de%20chargement%20ou%20t%C3%A9l%C3%A9chargement.%0Axferlog_enable%3DYES%0A%0A%23confirme%20que%20le%20port%20ftp%20est%20le%2020%0Aconnect_from_port_20%3DYES%0A%0A%0A%0A%23destination%20du%20fichier%20de%20logsd%0Axferlog_file%3D%2Fvar%2Flog%2Fvsftpd.log%0A%0A%23%20Gestion%20des%20temps%20de%20connexion%0Aidle_session_timeout%3D600%0Adata_connection_timeout%3D120%0Aconnect_timeout%3D60%0Aaccept_timeout%3D60%0A%0A%23activez%20cette%20option%20et%20le%20serveur%20reconna%C3%AEtra%20les%20requ%C3%AAtes%20ABOR%20asynchrones.%0Aasync_abor_enable%3DYES%0A%23%20mode%20ASCII%20non%20activ%C3%A9%0Aascii_upload_enable%3DNO%0Aascii_download_enable%3DNO%0A%0A%23banni%C3%A8re%20de%20bienvenu%20lors%20de%20l’identification%0Aftpd_banner%3DBienvenue%20sur%20le%20serveur%20FTP%20de%20BOOKTIC%0A%0A%23%20On%20veut%20que%20les%20utilisateurs%20virtuels%20restent%20chez%20eux%3A%20’%2Fhome%2Fftp%2F’%0Achroot_local_user%3DYES%0A%0A%23%20ne%20pas%20emprisonner%20dans%20son%20r%C3%A9pertoire%20home%20les%20utilisateurs%0Achroot_list_enable%3DNO%0A%0A%23%20Les%20prisonniers%20peuvent%20%C3%A9crire%20dans%20leur%20propre%20r%C3%A9pertoire%20%20%20%20%0Aallow_writeable_chroot%3DYES%0A%0Asecure_chroot_dir%3D%2Fvar%2Frun%2Fvsftpd%0A%0A%23%20Cette%20cha%C3%AEne%20est%20le%20nom%20du%20service%20PAM%20que%20vsftpd%20utilisera.%0Apam_service_name%3Dvsftpd%0A%23%20Cette%20option%20sp%C3%A9cifie%20l’emplacement%20du%20certificat%20RSA%20%C3%A0%20utiliser%20pour%20SSL.%0Arsa_cert_file%3D%2Fetc%2Fssl%2Fcerts%2Fssl-cert-snakeoil.pem%0Arsa_private_key_file%3D%2Fetc%2Fssl%2Fprivate%2Fssl-cert-snakeoil.key%0Assl_enable%3DNO%0A%0A%23%20Pour%20des%20raisons%20de%20s%C3%A9curit%C3%A9%20on%20interdit%20toute%20action%20d’%C3%A9criture%3A%0Aanon_other_write_enable%3DNO%0A%0A%23%20on%20souhaite%20la%20lecture%20seule%20%0Aanon_world_readable_only%3DYES%0A%0A%0A%0A%23chemin%20du%20r%C3%A9pertoire%20anonyme%0Aanon_root%3D%2Fsrv%2Fftp%2Fanon » message= » » highlight= » » provider= »manual »/]

Création des utilisateurs autorisés à accéder au serveur FTP :

En ligne de commande, utiliser la commande adduser

[pastacode lang= »bash » manual= »%20adduser%20tata%0A » message= » » highlight= » » provider= »manual »/]

adduser_tata

 

Désormais l’utilisateur test, pourra se connecter au serveur FTP à l’aide d’un client. (filezilla, etc…)

Par le navigateur :

saisir l’adresse l’url, ftp://172.16.2.6

Une fenêtre pop-up demande un identifiant et un mot de passe.

router_sftp

Une fois connecté on accède aux fichiers 

navigateur_connexion

 

Ces fichiers là sont soit creer sur le serveur ftp,

Exemple d’utilisation 

Afin de sauvegarder/restaurer la configuration du routeur ou switch cisco. On a du créer un utilisateur sur le serveur ftp nommé “switch” et son mot de passe.

Ensuite, nous avons ajouté ces identifiants dans la configuration du routeur pour que le routeur puisse faire la copie de sa configuration ( running config) sur le serveur FTP.

[pastacode lang= »bash » manual= »ip%20ftp%20username%20router%0Aip%20ftp%20password%20cisco » message= » » highlight= » » provider= »manual »/]

La commande sur cisco pour pouvoir copier sa sauvegarde sur un serveur ftp

[pastacode lang= »bash » manual= »copy%20running-config%20ftp%3A » message= » » highlight= » » provider= »manual »/]

A l’aide du client Filezilla on peut constater la présence du fichier de sauvegarde

ftp_sauvegarde_filezilla

 

Le chiffrement des communications n’est pas opérationnel, pour cela il faut configurer la clef privée et publique. Je détaillerai cela dans un prochain article dédié au chiffrement de VsFTP.

Pour preuve, à l’aide de wireshark on peut voir les communications en claire:

Identifiant :

wireshark_vsftpd

Le contenu d’un fichier texte :

texte_clr

Comme vous pouvez le constater, une configuration comme celle-ci permet un certain niveau de sécurité mais pas total. A ne surtout pas déployé en production avec accès internet actif.

Achetez Linux Administration – Tome 4: Installer et configurer des serveurs Web, mail et FTP. sur Amazon :

Linux Administration - Tome 4: Installer et configurer des serveurs Web, mail et FTP

 

 

Tags:

Share

Related Posts

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Post comment