Debian
Debian-France
Debian-Facile
Debian-fr.org
Forum-Debian.fr
Debian ?
Communautés
Vous n'êtes pas identifié(e).
L'icône rouge permet de télécharger chaque page du wiki visitée au format
PDF et la grise au format ODT →
Ci-dessous, les différences entre deux révisions de la page.
| Les deux révisions précédentes Révision précédente Prochaine révision | Révision précédente | ||
|
utilisateurs:hypathie:tutos:vsftpd [02/10/2014 17:56] Hypathie [Installation et utilisation] |
utilisateurs:hypathie:tutos:vsftpd [02/10/2014 18:40] (Version actuelle) Hypathie [Installation et utilisations] |
||
|---|---|---|---|
| Ligne 60: | Ligne 60: | ||
| ftp> exit | ftp> exit | ||
| 221 Goodbye.</code> | 221 Goodbye.</code> | ||
| + | |||
| + | > où ''Password'' : est le mot de passe du compte de l'utilisateur "hypathie" sur le système Linux. | ||
| Voyons maintenant le détail des options possibles et l'installation d'un certificat ssl pour chiffrer le mot de passe de l'utilisateur. | Voyons maintenant le détail des options possibles et l'installation d'un certificat ssl pour chiffrer le mot de passe de l'utilisateur. | ||
| Ligne 66: | Ligne 68: | ||
| ===Installation de open-ssl === | ===Installation de open-ssl === | ||
| <code root>apt-get install openssl</code> | <code root>apt-get install openssl</code> | ||
| + | |||
| + | ===Création du certificat=== | ||
| + | Peut importe d'où la commande suivante va être lancé on déplacera le fichier qu'elle va créer. | ||
| + | |||
| + | <code root>openssl req -x509 -nodes -days 365 -newkey rsa:1024 -keyout vsftpd.pem -out vsftpd.pem</code> | ||
| + | <note>Répondre comme bon vous semblera à toutes les questions sauf :\\ | ||
| + | ''Common Name'' : mettre l'IP du serveur ou le nom de domaine si un DNS en local est installé.</note> | ||
| + | |||
| + | <code root>mv vsftpd.pem /etc/ssl/certs</code> | ||
| + | |||
| + | * Pour sécuriser tout ça : | ||
| + | |||
| + | <code root>chown root:root /etc/ssl/certs/vsftpd.pem</code> | ||
| + | |||
| + | <code root>chmod 600 /etc/ssl/certs/vsftpd.pem</code> | ||
| + | |||
| + | Et voilà !\\ | ||
| + | Il faut maintenant éditer à nouveau le fichier /etc/vsftpd.conf | ||
| ===Détail des options par défaut de vsftpd avec ssl=== | ===Détail des options par défaut de vsftpd avec ssl=== | ||
| - | Voici les options utilisées et commentées à partir de man vsftpd. | + | Voici les options utilisées et commentées à partir de man vsftpd, histoire de comprendre ce qu'on fait. C'est sûr, c'est long ... |
| - | Pour celles qui ne sont pas utiliser voir le man ou en ligne ici : [[https://security.appspot.com/vsftpd/vsftpd_conf.html]] | + | |
| - | Éditons à nouveau /etc/vsftpd.conf | + | Pour les options qui ne sont pas utilisées dans cette configuration, voir le man ou en ligne ici : [[https://security.appspot.com/vsftpd/vsftpd_conf.html]] |
| + | |||
| + | * Éditons à nouveau /etc/vsftpd.conf : | ||
| <code root>vim /etc/vsftpd.conf</code> | <code root>vim /etc/vsftpd.conf</code> | ||
| <code> | <code> | ||
| Ligne 283: | Ligne 305: | ||
| </code> | </code> | ||
| + | <note tip> | ||
| + | C'était long ! En voici encore un peu..\\ | ||
| + | |||
| + | __**Pour la signification des options concernant ssl :**__\\ | ||
| + | |||
| + | |||
| + | **ssl_enable**: Si elle est activée, vsftpd utilise OpenSSL, et vsftpd soutiendra les connexions sécurisées via SSL.\\ Cela s'applique à la connexion de contrôle (y compris login) et les connexions de données.\\ Vous aurez besoin d'un client avec le support SSL.\\ **REMARQUE !! Méfiez-vous de cette option.\\ vsftpd ne donne aucune garantie quant à la sécurité des bibliothèques OpenSSL**. En activant cette option, vous déclarez que vous faites confiance à la sécurité de votre bibliothèque OpenSSL.\\ | ||
| + | |||
| + | **validate_cert** : Si définie à "yes", tous les certificats clients SSL reçus doivent validés. Certificats auto-signés ne constituent pas une validation. (Dans ce wiki ont a auto-signé, pour pouvoir chiffrer, mais l'utilisation est locale !)\\ | ||
| + | |||
| + | **ssl_ciphers** : Cette option peut être utilisée pour sélectionner les chiffrements SSL vsftpd qui permettront des connexions SSL chiffrées.\\ Voir la page de man sur les chiffrement pour plus de détails.\\ Par défaut: DES-CBC3-SHA\\ | ||
| + | |||
| + | **require_ssl_reuse** : Si définie à "yes", toutes les connexions de données SSL dépendent de la session SSL. Mieux vaut la désactiver. Pour une discussion sur les conséquences, voir http://scarybeastsecurity.blogspot.com/2009/02/vsftpd-210-released.html (Ajouté à v2.1.0).\\ Par défaut: OUI\\ | ||
| + | |||
| + | **allow_anon_ssl** : Ne s'applique que si "ssl_enable" est actif. Si la valeur est "YES", les utilisateurs anonymes seront autorisés à utiliser des connexions SSL sécurisées.\\ Default: NO\\ | ||
| + | |||
| + | **force_local_data_ssl** : Ne s'applique que si "ssl_enable" est activée. Si elle est activée, toutes les connexions non anonymes sont contraints d'utiliser une connexion SSL sécurisée pour envoyer et recevoir des données sur les connexions de données.\\ Par défaut: OUI\\ | ||
| + | |||
| + | **force_local_logins_ssl** : Ne s'applique que si "ssl_enable" est activée. Si elle est activée, toutes les connexions non anonymes sont contraints d'utiliser un mot de passe.\\ Par défaut: OUI\\ | ||
| + | |||
| + | **ssl_tlsv1** : Ne s'applique que si "ssl_enable" est activée. Si elle est activée, cette option permettra les //TLS// connexions de protocole v1. Les connexions TLS de sont préférables.\\ Par défaut: OUI\\ | ||
| + | |||
| + | **ssl_sslv2** : Ne s'applique que si "ssl_enable" est activée. Si elle est activée, cette option permettra les connexions de protocole SSL v2. Les connexions TLS de sont très bonnes.\\ Par défaut: NON\\ | ||
| + | |||
| + | **ssl_sslv3** : Ne s'applique que si ssl_enable est activée. Si elle est activée, cette option permettra les connexions de protocole SSL v3. Les connexions TLS de sont très bonnes.\\ Par défaut: NON\\ | ||
| + | |||
| + | **pasv_address** : Utilisez cette option pour remplacer l'adresse IP que vsftpd affichera en réponse de la commande PASV. Fournir une adresse IP numérique, à moins pasv_addr_resolve soit activée, dans ce cas, vous pouvez fournir un nom d'hôte qui résolu par un DNS mis en place lors du démarrage.\\ Valeur par défaut: (aucune) | ||
| + | |||
| + | </note> | ||
| + | |||
| + | ====Connexion au serveur vsftpd avec ssl==== | ||
| + | ===Installation sur le client de ftp-ssl=== | ||
| + | |||
| + | <code root>apt-get install ftp-ssl</code> | ||
| + | |||
| + | <note imprtant>Cela va désinstaller ftp client !\\ | ||
| + | Donc il faudra forcement passer par ftp-ssl, et on ne pourra plus se connecter au serveur comme dans la première partie du wiki.\\ | ||
| + | Mais ça veut mieux ! | ||
| + | </note> | ||
| + | |||
| + | ===Connexion avec ftp-ssl === | ||
| + | <code user>ftp-ssl 192.168.0.10</code> | ||
| + | >où ''192.168.0.10'' est à remplacer par l'IP de votre serveur vsftpd | ||
| + | <code>Connected to 192.168.0.10. | ||
| + | 220 Bienvenue ! | ||
| + | Name (192.168.0.10:hypathie): hypathie | ||
| + | 234 Proceed with negotiation. | ||
| + | [SSL Cipher AES256-GCM-SHA384] | ||
| + | 331 Please specify the password. | ||
| + | Password: | ||
| + | 230 Login successful. | ||
| + | Remote system type is UNIX. | ||
| + | Using binary mode to transfer files. | ||
| + | ftp> exit | ||
| + | 221 Goodbye.</code> | ||
| + | > où ''Password'' : est le mot de passe du compte de l'utilisateur "hypathie" sur le système Linux. | ||
| + | Et voilà ! | ||
| + | =====Apprendre à utiliser les commandes FTP===== | ||
