config proftpd

[DgSe95]

Sure tomtom !! it's very easy !!! <BR> <BR>excuse moi, pour m'être tromper de distrib... mais ton fichier ressemble a si m'éprendre a celui de trustix par defaut... <BR> <BR>et tout cas, merci pour l'astuce pour le fichier ftpd.passwd, ça va m'être utile. merci <BR> <BR>ps : ça m'interesse un peu ce "trusted debian", j'aimerais bien en savoir un peu plus... je vais chercher un peu sur le net ! <IMG SRC="images/smiles/icon_biggrin.gif">

[DgSe95]

<!-- BBCode Quote Start --><TABLE BORDER=0 ALIGN=CENTER WIDTH=85%><TR><TD><font size=-2>En réponse à:</font><HR></TD></TR><TR><TD><FONT SIZE=-2><BLOCKQUOTE> <BR>Le 2003-06-19 23:54, carlos a écrit: <BR>Il existe un programme permettant de créer ces fichiers au bon format pour proftpd. PLus d'infos, téléchargement et how-to sur <BR> <BR><!-- BBCode auto-link start --><a href="http://www.castaglia.org/proftpd/contrib/ftpasswd.html" target="_blank">http://www.castaglia.org/proftpd/contrib/ftpasswd.html</a><!-- BBCode auto-link end --> <BR> <BR>ps : il est sans doute inclu d'office dans certaines distributions <BR> <BR>A+ <BR> <BR> <BR></BLOCKQUOTE></FONT></TD></TR><TR><TD><HR></TD></TR></TABLE><!-- BBCode Quote End --> <BR> <BR> <BR>merci, c'est interessant, j'ai bookmarker le liens, ça peut toujours servir

[tomtom]

Tiens, sur la Debian il y a la commande ftpasswd, qui se comporte un peu comme adduser, te permet de specifier le fichier de sortie (par defaut /etc/ftpd.passwd <IMG SRC="images/smiles/icon_biggrin.gif"> ). <BR> <BR>Simple et efficace ! <BR> <BR>T.

[carlos]

Perso j'ai un fw sous OpenBSD et cette commande n'existe pas pr défaut, d'où le lien... Bientôt j'installe une deb sur une de mes stations et je testerai tout ça. <BR> <BR> <IMG SRC="images/smiles/icon_biggrin.gif"> <BR> <BR>A+ <BR>

[DgSe95]

<!-- BBCode Quote Start --><TABLE BORDER=0 ALIGN=CENTER WIDTH=85%><TR><TD><font size=-2>En réponse à:</font><HR></TD></TR><TR><TD><FONT SIZE=-2><BLOCKQUOTE> <BR>Le 2003-06-20 05:43, tomtom a écrit: <BR>Tiens, sur la Debian il y a la commande ftpasswd, qui se comporte un peu comme adduser, te permet de specifier le fichier de sortie (par defaut /etc/ftpd.passwd <IMG SRC="images/smiles/icon_biggrin.gif"> ). <BR> <BR>Simple et efficace ! <BR> <BR>T. <BR> <BR></BLOCKQUOTE></FONT></TD></TR><TR><TD><HR></TD></TR></TABLE><!-- BBCode Quote End --> <BR> <BR>tient pas bête !! je vais voir si ça existe sous trustix, mais je crois pas... <BR> <BR>sinon j'ai remarquer quelque chose sous trustix, ça simplifie grandemant la création des users. <BR> <BR>dans /etc/default > fichier adduser > on defini les parametres par defaut pour la creation des users <BR> <BR>et dans /etc/shells > group user : /bin/false <BR> <BR>de cette maniere, il n'y a plus qu'a taper adduser tomtom par exemple et tout est deja défini. <IMG SRC="images/smiles/icon_biggrin.gif">

[DgSe95]

voilà, mon fichier de conf proftpd. <BR> <BR>si les admin trouvent qu'il est trop grand je le racourcierai. <BR> <BR>(mais peut être est t'il configurer de maniere trop parano...) <BR> <BR># This is a basic ProFTPD configuration file. <BR># It establishes a single server <BR># and a single anonymous login. It assumes that you have a user/group <BR># "nobody" and "ftp" for normal operation and anon. <BR># To enable anonymous login remove the ftp user in /etc/ftpusers <BR> <BR># Directives globales. <BR><Global> <BR># Interdit la réécriture des fichiers. <BR>AllowOverwrite no <BR> <BR># Masque pour les fichiers et répertoires. <BR>Umask 022 022 <BR> <BR># Règles de sécurité, empechant l'affichage de certaines informations. <BR>IdentLookups off <BR>ServerIdent off <BR>DeferWelcome on <BR> <BR># Alias pour les users anonymes. <BR>UserAlias anonymous ftp <BR> <BR># Requière ou pas un shell valide. <BR>RequireValidShell no <BR> <BR># User et group sous lequel le démon proftpd doit tourné. <BR>User nobody <BR>Group nobody <BR> <BR># Autre logs, utilisant en partie, un format spécial. <BR>ExtendedLog /var/log/proftpd/access.log READ,WRITE write <BR>ExtendedLog /var/log/proftpd/auth.log AUTH auth <BR>ExtendedLog /var/log/proftpd/ftp_auth.log AUTH <BR>ExtendedLog /var/log/proftpd/cmd_info.log INFO <BR>ExtendedLog /var/log/proftpd/cmd_dir.log DIRS <BR>ExtendedLog /var/log/proftpd/all.log ALL <BR> <BR># This is intended to protect you from those nasty DoS cpu burner attacks <BR>DenyFilter *.*/ <BR></Global> <BR> <BR># Règles de configuration du serveur. <BR> <BR># Nom du serveur. <BR>ServerName "UHSecurity.dyndns.org" <BR> <BR># Type du serveur. <BR>ServerType standalone <BR> <BR># Admin du serveur. <BR>ServerAdmin webmaster@UHSecurity.dyndns.org <BR> <BR># Serveur par defaut ou pas. <BR>DefaultServer yes <BR> <BR># Reverse DNS. <BR>UseReverseDNS off <BR> <BR># NB max de tentatives de login. <BR>MaxLoginAttempts 2 <BR> <BR># To prevent DoS attacks, set the maximum number of child processes <BR># to 30. If you need to allow more than 30 concurrent connections <BR># at once, simply increase this value. Note that this ONLY works <BR># in standalone mode, in inetd mode you should use an inetd server <BR># that allows you to limit maximum number of processes per service <BR># (such as xinetd) <BR>MaxInstances 30 <BR> <BR># NB max de clients sur le serveur. <BR>MaxClients 20 <BR> <BR># Permet la réécriture des fichiers (sans les affacés au préalable). <BR>AllowOverwrite yes <BR> <BR># Fichier d'authentification. <BR>AuthUserFile /etc/ftpd.passwd <BR> <BR># Racine par defaut du serveur. <BR>DefaultRoot /home/ftp <BR> <BR># On Chroot les users connus. <BR>DefaultChdir ~ <BR> <BR># Log système. <BR>SystemLog /var/log/proftpd/system.log <BR> <BR># Port standard pour le FTP, 21. <BR>Port 21 <BR> <BR># Quelques formats pour les fichiers de logs. <BR>LogFormat default "%h %l %u %t "%r" %s %b" <BR>LogFormat auth "%v [%p] %h %t "%r" %s" <BR>LogFormat write "%h %l %u %t "%r" %s %b" <BR> <BR>SyslogFacility AUTH <BR> <BR># Temps maximum aloué pour les connection en secondes. <BR># Timming pour un transfert bloqué. <BR>TimeoutStalled 300 <BR> <BR># Timming pour un client qui n'engage aucun transfert. <BR>TimeoutNoTransfer 600 <BR> <BR># Timming pour un client qui ne fait rien. <BR>TimeoutIdle 1200 <BR> <BR># Gestion des envois et téléchargements. <BR># Accepte la reprise des envois. <BR>AllowStoreRestart on <BR> <BR># Accepte la reprise des téléchargements. <BR>AllowRetrieveRestart on <BR> <BR># Acceuil et mode de listage des dossiers. <BR>DisplayLogin welcome.msg <BR>DisplayFirstChdir .message <BR>LsDefaultOptions "-l" <BR> <BR># Règles d'esthetiques. <BR>ShowSymLinks off <BR>MultilineRFC2228 on <BR> <BR> <BR># Gestion des permitions sur les répertoires des utilisateurs connus. <BR><Directory /home/ftp/private/........> <BR> <Limit READ WRITE> <BR> DenyUser !........,!........ <BR> </Limit> <BR></Directory> <BR> <BR><Directory /home/ftp/private/.........> <BR> <Limit READ WRITE> <BR> DenyUser !........,!......... <BR> </Limit> <BR></Directory> <BR> <BR><Directory /home/ftp/private/.......> <BR> <Limit READ WRITE> <BR> DenyUser !.......,!....... <BR> </Limit> <BR></Directory> <BR> <BR># Configuration de base pour les users anonymes. <BR># Pour activé cette options, veuillez retirer 'FTP' du fichier /etc/ftpusers <BR><Anonymous ~ftp> <BR> # Requière un shell valide ou pas. <BR> RequireValidShell off <BR> <BR> # User et group sous lesquel les users anonymes vont tourner. <BR> User ftp <BR> Group ftp <BR> <BR> # NB max de clients anonymes sur le serveur. <BR> MaxClients 5 "Désolé, max %m utilisateurs -- réessayez plus tard." <BR> <BR> # We want 'welcome.msg' displayed at login, and '.message' displayed <BR> # in each newly chdired directory. <BR> DisplayLogin welcome.msg <BR> DisplayFirstChdir .message <BR> LsDefaultOptions "-l" <BR> <BR> # Donne la possibilité de se loguer si désactivé avant. <BR> <Limit LOGIN> <BR> AllowAll <BR> </Limit> <BR> <BR> # Interdit l'écriture dans le Chroot des users anonymes. <BR> <Limit WRITE> <BR> DenyAll <BR> </Limit> <BR> <BR> # Le répertoire 'incoming' accepte l'envoi de fichiers mais leur lecture <BR> # ni la création de dossiers. <BR> <Directory incoming/*> <BR> <Limit READ WRITE> <BR> DenyAll <BR> </Limit> <BR> <BR> <Limit STOR> <BR> AllowAll <BR> </Limit> <BR> </Directory> <BR> <BR> # Le répertoire 'pub' permet la lecture des fichiers mis a disposition publique <BR> # mais pas l'écriture ni la création de dossiers. <BR> <Directory pub/*> <BR> <Limit STOR WRITE> <BR> DenyAll <BR> </Limit> <BR> <BR> <Limit READ> <BR> AllowAll <BR> </Limit> <BR> </Directory> <BR></Anonymous> <BR> <BR> <BR>désolé d'avoir poluer ce forum avec mon fichier de conf. (j'ai délibérément masquer les utilisateur que j'héberge chez moi... <IMG SRC="images/smiles/icon_biggrin.gif"> ) <BR> <BR>_________________ <BR>DgSe95 vous salut <BR><BR><font size=-2></font>

[tomtom]

<!-- BBCode Quote Start --><TABLE BORDER=0 ALIGN=CENTER WIDTH=85%><TR><TD><font size=-2>En réponse à:</font><HR></TD></TR><TR><TD><FONT SIZE=-2><BLOCKQUOTE> <BR> <BR># Racine par defaut du serveur. <BR>DefaultRoot /home/ftp <BR> <BR># On Chroot les users connus. <BR>DefaultChdir /home/ftp <BR> <BR></BLOCKQUOTE></FONT></TD></TR><TR><TD><HR></TD></TR></TABLE><!-- BBCode Quote End --> <BR> <BR>C'est pas mal tout ça... <BR> <BR> <BR>Personnellement je ne prendrais pas le risque de permettre une connexion anonyme, il sort tous les mois des failles sur les serveurs ftp, ce sont des applications mal ecrites en général <IMG SRC="images/smiles/icon_smile.gif"> <BR> <BR>Mais bon, tu peux avoir une utilité.... <BR> <BR>Sinon, il y a une petite erreur (je ne sais pas pourquoi tout le monde la fait celle là). <BR> <BR>Tu confonds DefaultRoot et DefaultChdir <BR> <BR> <BR>DefaultChdir, ce fait un simple chdir (comme son nom l'indique <IMG SRC="images/smiles/icon_biggrin.gif"> ) dans le repertoire specifie. <BR>DefaultRoot, ca specifie la RACINE du filesystem pour chaque connexion. En clair, c'est ça le chroot ! <BR> <BR>Ici ca ne pose pas d eproblème puisque tu utilises 2 fois le même rep, mais ton commentaire trahit l'erreur <IMG SRC="images/smiles/icon_biggrin.gif"> <BR> <BR>Un truc que j'aime bien faire, c'est mettre un home directory aux user "ftponly" à l'interieur du repertoire ftp. ex : <BR> <BR>Un rep /ftp <BR>plusieurs reps /ftp/toto, /ftp/tiit etc qui sont les home des ftpusers <BR> <BR>tu chroot sur le rep /ftp : <BR>DefaultRoot /ftp <BR> <BR>tu chdir sur le home de l'user : <BR>DefaultChdir ~ <BR> <BR>Tu donnes des droits d'ecriture seulement au home perso : <BR> <BR><Limit WRITE> <BR> DenyAll <BR></Limit> <BR> <BR><directory ~> <BR><Limit Write> <BR> Allow all> <BR></Limit> <BR></Directory> <BR> <BR> <BR>Ce qui est ennuyeux, c'est qu'avec une connexion anonyme, tu es obligé de specifier un homedirectory pour la l'user anonymous... <BR>Il faut bien lui mettre un DenyAll ensuite si tu ne veux pas qu'il puisse ecrire dedans.... <BR> <BR> <BR>Sinon c'est très bien <IMG SRC="images/smiles/icon_bise.gif"> <BR> <BR>T.

[DgSe95]

merci de tes conseils tomtom. <BR> <BR>pour mes erreurs, si tu veux, pour creer mon fichier de conf proftpd, je me suis basé sur pas mal de doc, ainsi que sur des magazines de sécurité (t'inkiète Bruno, je ne dirai pas le nom ! <IMG SRC="images/smiles/icon_biggrin.gif"> ) <BR>il se peut que j'ai confondu effectivement ces deux lignes, d'ailleur c'est déjà corriger (merci de me l'avoir fait remarquer <IMG SRC="images/smiles/icon_bise.gif"> ) <BR> <BR>oui c'est vrai que pas mal de failles de sécurité concernant les serveurs FTP sont découvertes, mais bon avec de bonnes permissions au niveau du systèmes de fichiers, de bonnes directives, ainsi qu'une veille technologique devrait suffire pour eviter quelques risques... <BR> <BR>pour ton systemes d'user ftp.only, as tu essayer de déclaré plusieur alias ? <BR> <BR>sinon, j'ai une question a poser, pense tu que cela soit necessaire de faire un tunnel sécurisé, ou d'utiliser le demon sftp d'openssh, pour avoir un bon niveau de protection ? <BR> <BR>en tout cas, merci de tes remarques. @+