Configuration iptable avec pure-ftpd

YayaK · Le 18/06/2014, à 16:12

Bonjour,

Ma config : Ubuntu 14.04, VPS OVH, Ispconfig, Open game panel, Apache2, 1 seul utilisateur ssh (moi), plusieurs utilisateurs Ispconfig / open game panel avec accès ftp chrooté.

J'ai suivit ce tuto pour sécuriser un minimum mon vps : http://fr.openclassrooms.com/informatiq … veur-linux

Simplement plutôt que d'utiliser un script pour lancer ma mes règles iptables en cas de reboot, je me sers d'iptables-persistent. Pour le reste j'ai suivit le tuto à la lettre.

Cependant pure-ftpd ne fonctionne plus, comme si j'avais fermé son port. Pourtant pour m'y connecter avec filezilla je ne renseigne pas le port (donc je suis bien sur le port par défaut non?). Hors j'ai bien ouvert les ports 20 et 21 en tcp.
Voyant que ça ne marche pas j'ai ouvert les 2 ports en udp et forward... sans succès.

Si je ré-ouvre tous les ports, mon accès ftp re-fonctionne, c'est donc bien un problème de port non ? Pour info j'utilise TLS comme sécurité (si jamais ça fait une différence) .

En plus de ce problème j'en profite pour poser 3 questions qui ne mérites pas encore un nouveau sujet :

[*]Impossible de faire marcher awstats, j'ai suivit 5 ou 6 tuto différents mais tous m'emmène face à un mur. Connaissez-vous un bon tuto pour installer et paramétrer awstats ?[/*]
[*]Le tuto que j'ai suivit pour sécuriser mon serveur est il suffisant ?[/*]
[*]Connaissez vous un bon tuto pour configurer de multiples version de php ? (le "how to" pour ubuntu 12.04 ou 13.10 ne fonctionnes pas, ou alors c moi qui suis mauvais ce qui est fort possible)[/*]

tiramiseb · Le 18/06/2014, à 16:55

Salut,

Le FTP, tu le fais en actif ou en passif ?

En actif, pour les transferts de données c'est le serveur qui se connecte sur le client : est-ce que tu restreins les paquets en sortie ou non ? SI oui, il faut autoriser les paquets avec le port TCP 20 en SOURCE (et non en destination).

En passif, le serveur donne un numéro de port aléatoire au client, celui-ci va alors se connecter sur ce port aléatoire. Pour que le pare-feu Netfilter puisse autoriser ça, il faut que la règle "established, related" soit en place et que le module du noyau conntrack_ftp soit chargé.

-----

Par ailleurs, je ne le répéterai visiblement jamais assez, un pare-feu ne sert à rien sur un serveur bien configuré (un port fermé est un port fermé, pas besoin de le refermer... et si un port est ouvert, c'est de toute façon qu'on en a besoin, non ?).

Et si vraiment tu tiens à mettre un pare-feu, installe UFW, ce sera 50000 fois plus simple que ce script.

Impossible de faire marcher awstats

Qu'as-tu fait, qu'as-tu obtenu ? Manipulations, messages d'erreur, etc...

j'ai suivit 5 ou 6 tuto différents

ptain mais faut arrêter avec les tutos ! c'est quoi cette manie chez les débutants ?
Pourquoi ne pas lire la doc officielle et réfléchir un peu plutôt que suivre bêtement des tutos auquels on ne comprend rien ?

Connaissez-vous un bon tuto pour installer et paramétrer awstats ?

Non mais si tu nous dis ce que tu as fait et ce qui te semble aller de travers, on peut peut-être t'aider...

de multiples version de php ?

Quel est l'objectif d'avoir plusieurs versions de PHP ?

bruno · Le 18/06/2014, à 17:21

Un pare-feu ne sert (strictement) à rien sur un serveur bien configuré, surveillé, maintenu à jour et n'utilisant que les dépôts officiels.

Si tu veux plus de sécurité n'utilise pas FTP mais SFTP.

tiramiseb · Le 18/06/2014, à 17:28

Si tu veux plus de sécurité n'utilise pas FTP mais SFTP.

Ou alors FTP avec STARTTLS, c'est pas mal niveau sécurité aussi (dans certains cas le serveur FTP reste plus simple à affiner que le serveur SSH)...

Dernière modification par tiramiseb (Le 18/06/2014, à 17:29)

YayaK · Le 18/06/2014, à 21:25

Concernant la configuration de pure-ftpd voici ce que j'ai fait :

 
PureFTPd and quota can be installed with the following command:

apt-get install pure-ftpd-common pure-ftpd-mysql quota quotatool

Edit the file /etc/default/pure-ftpd-common...

vi /etc/default/pure-ftpd-common

... and make sure that the start mode is set to standalone and set VIRTUALCHROOT=true:

[...]
STANDALONE_OR_INETD=standalone
[...]
VIRTUALCHROOT=true
[...]
Now we configure PureFTPd to allow FTP and TLS sessions. FTP is a very insecure protocol because all passwords and all data are transferred in clear text. By using TLS, the whole communication can be encrypted, thus making FTP much more secure.

If you want to allow FTP and TLS sessions, run

echo 1 > /etc/pure-ftpd/conf/TLS

In order to use TLS, we must create an SSL certificate. I create it in /etc/ssl/private/, therefore I create that directory first:

mkdir -p /etc/ssl/private/

Afterwards, we can generate the SSL certificate as follows:

openssl req -x509 -nodes -days 7300 -newkey rsa:2048 -keyout /etc/ssl/private/pure-ftpd.pem -out /etc/ssl/private/pure-ftpd.pem

Country Name (2 letter code) [AU]: <-- Enter your Country Name (e.g., "DE"). 
State or Province Name (full name) [Some-State]: <-- Enter your State or Province Name. 
Locality Name (eg, city) []: <-- Enter your City. 
Organization Name (eg, company) [Internet Widgits Pty Ltd]: <-- Enter your Organization Name (e.g., the name of your company). 
Organizational Unit Name (eg, section) []: <-- Enter your Organizational Unit Name (e.g. "IT Department"). 
Common Name (eg, YOUR name) []: <-- Enter the Fully Qualified Domain Name of the system (e.g. "server1.example.com"). 
Email Address []: <-- Enter your Email Address.

Change the permissions of the SSL certificate:

chmod 600 /etc/ssl/private/pure-ftpd.pem

Then restart PureFTPd:

service pure-ftpd-mysql restart

Le FTP, tu le fais en actif ou en passif ?

Au vu de ton explication je dois surement être en passif... mais sans certitude.

Par ailleurs, je ne le répéterai visiblement jamais assez, un pare-feu ne sert à rien sur un serveur bien configuré (un port fermé est un port fermé, pas besoin de le refermer...

J'ai des doute quand au fait que mon serveur sois bien configuré. Je pensait que configurer iptables permettait d'améliorer la sécurité, si ce n'est pas le cas alors non je n'ai pas de raison de m'acharné. Ce qui règle le problème de pure-ftpd.

Qu'as-tu fait, qu'as-tu obtenu ? Manipulations, messages d'erreur, etc...

par exemple :

en suivant cette doc : http://doc.ubuntu-fr.org/awstats

En apparence tout à fonctionné, le test de la génération des logs ma retourné un résultat très similaire à l'exemple donné dans la doc. Aucune erreur à aucun moment. D'après le doc je devrais trouver un fichier text avec les statistiques ici : /var/lib/awstats/awstats052007.ma_machine.mon_domaine.mon_pays.txt

Hors le dossier /var/lib/awstats est vide. voici les permissions du dossier :

drwxr-x---  2 www-data      www-data      4096 juin  18 21:08 awstats

Quel est l'objectif d'avoir plusieurs versions de PHP ?

Certain projets indépendants ne sont pas compatible avec les dernières versions de php, comme par exemple les serveurs Ogspy qui fonctionnent avec php 5.3 uniquement.

Quand à la question subsidiaire :

ptain mais faut arrêter avec les tutos ! c'est quoi cette manie chez les débutants ?

Je comprends, néanmoins je fais de mon mieux pour répondre au besoins grandissant de ma communauté. Débarquant dans l'univers linux par nécessité il y a quelques jours à peine, les tuto me sont d'une grande aide. De plus les documents officiels sont souvent difficiles d'accès pour un néophyte (ceux que j'ai vu en tout cas). Après si tu a de la documentation à me conseiller pour améliorer mon approche de ce nouvel outil, je ne suis pas contre.

Concernant la sécurité du FTP : les comptes ftp chrooté et le TLS ne sont pas suffisant ?

tiramiseb · Le 19/06/2014, à 08:34

J'ai des doute quand au fait que mon serveur sois bien configuré.

Un pare-feu ne corrigera pas des problèmes de configuration.

Je pensait que configurer iptables permettait d'améliorer la sécurité

Tout ce que fera un pare-feu, c'est empêcher l'accès à des ports donnés, selon des règles données. Mais les ports, tant qu'ils sont fermés, il n'y pas de raison d'y empêcher l'accès, vu que de toute façon ils sont fermés...

Ce qu'il faut vérifier, c'est la liste des ports ouverts, par exemple avec la commande :

sudo netstat -tlnpu

S'il y a des ports ouverts qui ne devraient pas l'être, la première chose à faire est soit d'arrêter le logiciel qui y écoute, soit le configurer pour qu'il écoute autrement.
Et seulement si on ne peut rien faire au niveau du logiciel, le pare-feu peut être un éventuel palliatif.

Hors le dossier /var/lib/awstats est vide.

Hors ? Dehors ? Donc en dehors du dossier /var/lib/awstats c'est vide ?
Ah non, excuse-moi, tu as probablement voulu écrire "Or"...

Le paramètre "DirData" dans ta config d'awstats est bien /var/lib/awstats ?

comme par exemple les serveurs Ogspy qui fonctionnent avec php 5.3 uniquement.

Ça ne fonctionne pas avec les versions plus récentes de PHP !?

les tuto me sont d'une grande aide

Malheureusement on n'apprend rien avec ces trucs, on applique des recettes préétablies par des gens dont on ne connaît pas les compétences puis on ne sait pas administrer ce qui en résulte

les documents officiels sont souvent difficiles d'accès pour un néophyte

Ah bon !? Je les ai toujours trouvés plutôt clairs...

les comptes ftp chrooté et le TLS ne sont pas suffisant ?

Si, niveau sécurité ça va.
Par curiosité, c'est pour faire quoi le serveur FTP. C'est pour ton usage perso ou alors pour donner des espaces de stockage à des utilisateurs tiers ?

YayaK · Le 19/06/2014, à 14:11

Concernant les ports ouvert, et grâce à la commande que tu me donne, il y a quelques services que je ne connais pas qui ouvre des ports :

*ntpd
*srcds_linux
*memcached

Pour awstats :

Le paramètre "DirData" dans ta config d'awstats est bien /var/lib/awstats ?

Oui :

# Example: "C:/awstats_data_dir"
# Default: "."          (means same directory as awstats.pl)
#
DirData="/var/lib/awstats"

Ah bon !? Je les ai toujours trouvés plutôt clairs...

Bon bein je vais essayer de plus m'attarder dessus. J'ai du les lires trop tôt, ou mal... bref j'y retourne.

Par curiosité, c'est pour faire quoi le serveur FTP. C'est pour ton usage perso ou alors pour donner des espaces de stockage à des utilisateurs tiers ?

Pour des utilisateurs tiers. Par exemple :
*Une personne va avoir besoin de monter un site web pour un projet = je lui créé un compte ispconfig + ftp
*Un autre va avoir besoins d'un serveur de jeu CSGO = j'installe le serveur puis je lui donne un accès Open Game Panel + ftp

Le serveur répond au besoins d'une communauté.

Merci pour le temps que tu prends avec moi en tout cas.

Dernière modification par YayaK (Le 19/06/2014, à 14:15)

tiramiseb · Le 19/06/2014, à 14:47

BEURK ISPCONFIG.
Menfin bon... Chacun fait comme il veut...

ntpd

Network Time Protocol.
Normalement il n'écoute qu'en localhost (127.0.0.1 et ::1).
Il permet à ton serveur d'être tout le temps à la bonne heure.

srcds_linux

Ça serait pas lié à Steam ?

memcached

Le démon Memcache, utilisé par certaines applications web pour stocker des informations temporaires.
Tu l'as forcément installé, si tu ne t'en souviens pas ça devient grave...
Je crois que par défaut il n'écoute qu'en local aussi.

Ubuntu-fr

Navigation

Liens de recherche

Annonce

#1 Le 18/06/2014, à 16:12

Configuration iptable avec pure-ftpd

#2 Le 18/06/2014, à 16:55

Re : Configuration iptable avec pure-ftpd

#3 Le 18/06/2014, à 17:21

Re : Configuration iptable avec pure-ftpd

#4 Le 18/06/2014, à 17:28

Re : Configuration iptable avec pure-ftpd

#5 Le 18/06/2014, à 21:25

Re : Configuration iptable avec pure-ftpd

#6 Le 19/06/2014, à 08:34

Re : Configuration iptable avec pure-ftpd

#7 Le 19/06/2014, à 14:11

Re : Configuration iptable avec pure-ftpd

#8 Le 19/06/2014, à 14:47

Re : Configuration iptable avec pure-ftpd

Pied de page des forums