VSFTPD : Installer et Sécuriser un serveur FTP sous Linux (Guide Complet)

db-tronic Raspberry Pi 5 8 Go Starter Kit (Édition 128 Go)

Acheter

Voir sur Amazon

Même à l’ère du cloud et de l’objet storage, le protocole FTP reste un standard incontournable pour les automates industriels, les imprimantes multifonctions ou les transferts batch. Cependant, utiliser un FTP « nu » est suicidaire. VSFTPD (Very Secure FTP Daemon) est la solution de référence pour sécuriser ces échanges sous Linux.

Installation et Premier Reflexe de Sécurité

Sur Debian/Ubuntu, l’installation est triviale : sudo apt install vsftpd. Mais avant de démarrer le service, videz le fichier de configuration par défaut et repartez sur une base saine. La première règle est d’interdire l’accès anonyme : anonymous_enable=NO.

Le Chroot : Emprisonner pour protéger

L’une des plus grandes failles du FTP classique est la possibilité pour un utilisateur de remonter dans l’arborescence système (cd ..). Avec chroot_local_user=YES, l’utilisateur est confiné dans son répertoire home.

Attention : Pour des raisons de sécurité, VSFTPD refuse de démarrer si le répertoire racine du chroot est accessible en écriture. Vous devrez soit créer un sous-dossier de dépôt, soit utiliser l’option allow_writeable_chroot=YES (avec parcimonie).

Chiffrement SSL/TLS : Ne laissez rien passer en clair

Le FTP classique fait transiter les identifiants et les données en texte clair. N’importe quel sniffer sur le réseau peut voler vos mots de passe. L’activation de TLS est donc non négociable en 2024. Forcez l’utilisation de SSL pour les connexions et les transferts de données :

ssl_enable=YES
allow_anon_ssl=NO
force_local_data_ssl=YES
force_local_logins_ssl=YES

[IMAGE: Logo Linux (Tux) avec un cadenas symbolisant la sécurité serveur – Alt: Sécuriser serveur FTP Linux VSFTPD]

Mode Passif et Firewall : Le casse-tête résolu

Le FTP utilise deux ports : le 21 pour les commandes et un port dynamique pour les données. Si vous êtes derrière un pare-feu, le mode passif va échouer si vous ne définissez pas une plage fixe :

pasv_min_port=40000
pasv_max_port=40100

N’oubliez pas d’ouvrir cette plage (40000:40100/tcp) dans votre pare-feu (ufw ou firewalld), sinon vos utilisateurs se connecteront mais ne pourront pas lister les fichiers.

Faut-il encore utiliser le FTP ? Si vous avez le choix, privilégiez le SFTP (via SSH). Mais si votre automate industriel ne jure que par le FTP, VSFTPD est votre meilleur rempart. N’oubliez pas d’automatiser le backup de vos fichiers de configuration Linux avec Oxidized.

En tant que Partenaire Amazon, je réalise un bénéfice sur les achats remplissant les conditions requises.