Difficulté avec les serveurs FTP et le pare-feu :
Si vous configurez un pare-feu pour un hôte qui exécute un serveur FTP, vous devez normalement laisser la plage de ports 1024-65365 ouverte, car vous ne savez jamais quel port le serveur FTP utilisera pour envoyer des données au client FTP. Cette situation est assez critique si vous avez un hôte qui a des ports sensibles supérieurs à 1024 qui doivent être fermés à Internet. Bien sûr, vous pouvez sélectionner chaque port et le fermer dans le pare-feu, mais je préfère définitivement utiliser la méthode du pare-feu qui ferme tout et n'ouvre que les ports qui nécessitent un accès depuis Internet. Voici où pure-ftpd venir à la rescousse. Ce serveur FTP a la capacité de sélectionner la plage de ports qui seront utilisés pour transférer les données vers le client FTP. Cela rend la configuration d'un pare-feu beaucoup plus facile.
Dans l'exemple suivant, pure-ftp a la configuration suivante :
– fournit FTP et FTPS avec des utilisateurs emprisonnés (les utilisateurs sont confinés à leur répertoire personnel).
– pas de clients anonymes
– Version IP 4 uniquement
– les ports pour le transfert de données sont limités à la plage 20000-20099
ÉTAPES : apt-get install pure-ftpd
echo '20000 20099' > /etc/pure-ftpd/conf/PassivePortRange
echo "yes" > /etc/pure-ftpd/conf/NoAnonymous
echo "yes" > /etc/pure-ftpd/conf/ChrootEveryone
echo "yes" > /etc/pure-ftpd/conf/IPV4Only
echo "1" > /etc/pure-ftpd/conf/TLS
Si vous souhaitez forcer les clients à utiliser TLS uniquement pour les connexions FTP, utilisez la commandeecho "3" > /etc/pure-ftpd/conf/TLS
Exceptions au chroot
Si vous souhaitez limiter tous les utilisateurs à leurs répertoires personnels SAUF certains utilisateurs de confiance, vous devez :
– créer un nouveau groupe système dans lequel vous ajoutez les utilisateurs de confiance
– au lieu d'utiliser la commande ci-dessus 'echo "yes"> /etc/pure-ftpd/conf/ChrootEveryone'
insérez le GID du groupe de confiance dans le fichier /etc/pure-ftpd/conf/TrustedGID.
Exemple : Nous voulons un chroot pour tous les utilisateurs sauf 'martin' et 'jannine'. Cela signifie que martin et jannine pourront naviguer dans d'autres parties du système autres que leurs répertoires personnels, mais tous les autres utilisateurs seront confinés à leurs répertoires personnels :groupadd ftptrusted
usermod -G ftptrusted martin
usermod -G ftptrusted jannine
GID=$(grep ftptrusted /etc/group | cut -d: -f3)
echo "$GID" > /etc/pure-ftpd/conf/TrustedGID
rm /etc/pure-ftpd/conf/ChrootEveryone
REMARQUE : Pour créer un fichier de certificat correctement signé par l'autorité pour pure-ftpd, assurez-vous d'avoir les deux composants suivants dans le fichier /etc/ssl/private/pure-ftpd.pem :
– Clé privée (au format PEM)
– Certificat (au format PEM)
Si vous souhaitez plutôt l'exécuter avec un certificat auto-signé, exécutez les commandes suivantes :mkdir -p /etc/ssl/private/
openssl req -x509 -nodes -days 97300 -newkey rsa:2048 -keyout /etc/ssl/private/pure-ftpd.pem -out /etc/ssl/private/pure-ftpd.pem
chmod 600 /etc/ssl/private/pure-ftpd.pem
Redémarrez pure-ftpd pour enregistrer la nouvelle configuration et le nouveau certificat.service pure-ftpd restart