#1 Le 28/12/2009, à 18:47
- Coiler
Quelle configuration de vsftpd la plus sûre depuis internet ?
Bonjour,
J'ai actuellement un petit server qui tourne pas mal et que je peux piloter depuis l'extérieur par internet sous Putty/VNC sécurisé par SSH.
En local, j'ai aussi configuré un serveur FTP (vsftpd), qui marche plutôt bien maintenant (merci les tutos . Je souhaiterais pouvoir m'y connecter depuis l'extérieur, un peu à la façon de VNC.
Bien entendu je souhaite avoir une bonne sécurité (sans non plus tomber dans la paranoïa sinon on reste dans un réseau fermé .
Et entre le SFTP avec SSH et le FTPES avec SSL, j'ai du mal à voir celui qui est le plus sûr. Si j'ai bien compris avec SSL on crypte aussi les identifiants ? Pour info en local je me connecte parfaitement en FTPES.
La dernière question consiste l'accès au serveur vsftpd derrière un routeur : doit-on nécessairement mettre pasv_promiscuous sur YES et le risque de faille est-il significatif le cas échéant ?
pasv_promiscuous : Si vous voulez désactiver le contrôle de sécurité PASV qui assure que la connexion de données provienne de la même adresse IP que le contrôle de connexion. Utilisez si vous savez ce que vous faites! Le seul usage légitime à cela est dans un environnement de tunnels sécurisés, ou peut-être pour faciliter l'utilisation de FXP. Défaut: NO
Concrètement, le tunnel SSH abordé a-t-il un lien avec le "SFTP avec SSH" ?
Techniquement je pense pouvoir configurer tout ça sans trop de problème, par contre je préfère éviter de choisir les mauvaises solutions
Merci pour vos réponses.
Hors ligne
#2 Le 29/12/2009, à 12:30
- Grünt
Re : Quelle configuration de vsftpd la plus sûre depuis internet ?
Juste pour info, avec SSH tu peux aussi transférer des fichiers, et ça reste bien plus sûr que le FTP
Red flashing lights. I bet they mean something.
Hors ligne
#3 Le 29/12/2009, à 18:54
- Coiler
Re : Quelle configuration de vsftpd la plus sûre depuis internet ?
Merci pour ta réponse. C'est vrai que le transfert directement par ssh est très sécurisé, mais les clients sont moins facilement disponibles qu'un client ftp style filezilla que beaucoup de personnes possèdent.
Après avoir chercher et rechercher, je pense que les deux se valent niveau sécurité, c'est juste une question de méthode de cryptage qui change (ssh ou tsl). Les deux marche en local, mais seul le sftp est accessible depuis internet (du moins j'ai essayé de configurer rapidement le ftps pour, mais sans succès).
Mon seul soucis actuellement c'est pour chrooter les utilisateurs dans leur répertoire perso (tuto suivi). J'arrive à les chrooter dans /home, mais chaque utilisateur local peut aller voir le dossier des autre (sans les modifier bien sûr). La solution indiquée sur beaucoup de tuto est de de mettre root en propriétaire du repertoire. Mais du coup, l'utilisateur ne peut plus modifier ses fichiers en local...
Je ne sais pas si j'ai été clair... En gros, ça marche tant que :
Match user jerome
ChrootDirectory /home
X11Forwarding no
AllowTcpForwarding no
ForceCommand internal-sftp
Mais ça bug dès que :
Match user jerome
ChrootDirectory /home/jerome
X11Forwarding no
AllowTcpForwarding no
ForceCommand internal-sftp
Une discussion de forum sur le sujet, sans vraiment trouver une solution propre.
Merci pour ceux qui auraient une idée
Dernière modification par Coiler (Le 29/12/2009, à 18:56)
Hors ligne