¶ Introduction
Dans ce tutoriel, vous allez apprendre à installer un serveur FTP Debian (ici proftpd) et à configurer cet environnement en fonction de vos besoins.
¶ Installer l'environnement pour FTP
Première étape pour notre FTP, nous allons avoir besoin d’installer un serveur (proftpd) mais
également un client ! J’utiliserais sur ce tutoriel Filezilla.
J’installe proftpd & Filezilla en même temps
Je vais ensuite tester Filezilla mais également la connexion à mon serveur proftpd.
Pour cela sur l’application Filezilla, vous devrez rentrer les éléments suivants :
- Hôte : votre nom de domaine ou adresse ip (dans mon cas l’ip)
- Identifiant : votre identifiant pour la machine Linux (dans mon cas “ilan”)
- Mot de passe : le mot de passe de votre utilisateur
- Port : Vous pouvez le laisser vide car comme vous le verrez par la suite, Filezilla s’occupe de le “remplir” à notre place.
Une fois que vous avez lancé la connexion avec le bouton “Connexion rapide”. Vous aurez à confirmer une connexion “non sécurisée” en effet, vous n’avez pas de certificat. Comme vous pouvez le remarquer, il m’a rempli par défaut le port “21” qu’est celui utilisé par le protocole FTP.
Je peux valider et continuer.
Je serais alors connecté et on peut voir que je suis envoyé par défaut dans /home/ilan, vu que je me suis connecté avec l’utilisateur ilan
J’ai accès à mon Bureau, mes Images, mes Documents, etc… donc je suis bien connecté !
J’essaie de :
- Sur la gauche se situe la partie “Site Local” elle correspond à l’arborescence de ma machine client.
- Sur la droite se situe la partie “Site distant” elle correspond à l’arborescence de mon serveur.
Dans mon cas, ci-dessous j’ai téléchargé un fichier “test.txt” étant sur le “Bureau” de mon serveur, vers le dossier “Image” de ma machine client.
¶ Configuration de Proftpd
Dans la configuration de Proftpd, faites bien attention a vos entrées dans le fichier de configuration.
Des éléments que vous appelez/avez configurés plus haut dans le fichier peuvent impacter des éléments plus bas. Faites donc bien attention à respecter les différentes lignes précisés dans ce fichier pour ne pas être trop impacté par la suite.
¶ Ajouter les règles de pare-feu pour autoriser la connexion à Proftpd
J'ajoute des règles afin d'autoriser l'entrée sur le port 21 (commandes) et 20 (data)
¶ Bloquer les utilisateurs dans leur répertoire home
Pour commencer, je vais faire en sorte que les utilisateurs ne puissent pas se déplacer sur le serveur ailleurs que dans leur répertoire home.
Pour cela je vais modifier le fichier de configuration principal de proftpd.
Vous pouvez ensuite décommenter “DefaultRoot”, qui se situe par défaut ligne n°36. Cette ligne (comme précisé dans le commentaire juste au dessus) permet “d’emprisonner” tous les utilisateurs dans leurs “home”. Une fois la modification effectuée, enregistrez et quittez.
Ensuite redémarrez proftpd
Vérifiez en vous connectant sur filezilla si les accès ont bien changé.
- A gauche l’affichage “Avant”, j’ai bien la visibilité sur la racine de la machine (avec /bin /boot, etc..)
- A droite l’affichage “Après” la modification que nous avons fait ! L’utilisateur a toujours accès à son bureau, ses documents, etc… Mais ne voit plus rien au-dessus !
¶ Changer le port par défaut
Nous allons changer le port par défaut de proftpd, chaque serveur FTP par défaut utilise le port 21, afin de “sécuriser” un peu plus les accès, nous allons changer le port 21 en port 5000.
Première étape, nous allons modifier le fichier de configuration de proftpd.
Je me rends ligne 43 pour ensuite remplacer le port 21 par 5000
Je redémarre ensuite proftpd
Si je me connecte depuis ma machine client avec cette fois-ci le port 5000.
Connexion réussie ! Donc on est bon !
¶ Limiter la connexion au serveur à un groupe
Je vais maintenant limiter la connexion au serveur à un seul groupe, en effet par défaut proftpd permet la connexion à TOUS les utilisateurs de votre serveur Linux (sauf root).
Pour ma part, je souhaite faire en sorte que seuls les utilisateurs membres du groupe “testftp”
puissent se connecter.
Première étape, je retourne modifier le fichier “proftpd.conf”
Je vais ensuite ajouter les éléments suivants ;
- Ligne 131 - Je créer la balise de limitation et je lui indique vouloir limiter le “LOGIN” (la connexion)
- Ligne 132 - Commente pour me permettre de me rappeler de la configuration que j’ai établi
- Ligne 133 - J’entre la ligne pour interdire tous les groups n’étant pas testftp
- Ligne 134 - Je ferme la balise.
Je redémarre ensuite proftpd.
Je vais créer mon groupe testftp.
J’ajoute l’utilisateur “ilan” au groupe “testftp”
Lorsque je me connecte avec filezilla à “ilan” qui fait maintenant parti du groupe testftp cela fonctionne
MAIS lors de ma connexion avec Filezilla à “toto” qui ne fait pas partie du groupe testftp, j’ai une erreur “impossible d’établir une connexion au serveur”.
¶ Ajouter un certificat SSL/TLS
Pour ajouter un certificat SSL/TLS et ainsi sécuriser les accès à mon serveur. Vous devrez suivre les étapes suivantes.
En premier, je vais générer le certificat :
Ensuite nous allons renseigner le contenu du certificat (ici par exemple : CountryCode = FR, State = Nouvelle-Aquitaine, etc...)
Je vais ensuite aller déplacer le certificat et la clé dans /etc/ssl/private
La clé :
Le certificat :
Ensuite je vais aller modifier le fichier de configuration tls.conf qui contient la configuration de mon serveur concernant le SSL/TLS.
Modifiez les lignes ci-dessous, je vous ai ajouté le numéro de ligne sur la gauche afin que vous sachiez vers quelle ligne la modification doit être effectuée
- Ligne 10 - J’active TLS
- Ligne 11 - Je renvoie les logs dans /var/log/proftpd/tls.log
- Ligne 12 - Je spécifie que j’utilise le protocole TLSv1.3
- Ligne 27 - Je spécifie le fichier contenant le certificat
- Ligne 28 - Je spécifie le fichier contenant le Keyfile
- Ligne 35 - Depuis ProFTPD 1.3.3rc1, mod_tls n'accepte QUE les connexions de données SSL/TLS qui réutilisent la session SSL de la connexion de contrôle, par mesure de sécurité.
Malheureusement, certains clients (par exemple filezilla) ne réutilisent pas les sessions SSL. Je suis donc obligé de lui ajouter une option spécifiant qu’il n’est pas nécessaire de réutiliser une connexion
- Ligne 49 - La directive TLSRequired est utilisée pour définir une politique de sécurité de base, qui dicte si une session FTP doit se produire sur SSL/TLS. Dans mon cas, je veux utiliser cette option pour sécuriser les accès.
Je modifie le fichier de configuration proftpd.conf (le fichier de configuration principal)
Je vais ensuite pouvoir inclure le fichier “tls.conf” dans la configuration globale
En essayant de me connecter avec l’utilisateur “ilan”, le certificat apparaît avec les informations que je lui ai renseignées !
La connexion est établie en validant le certificat
J’ai enfin bien accès à mon “site distant” sans erreurs !
¶ Créer des fichiers de configuration personnalisés
J’ai la possibilité de créer des fichiers de configuration personnalisés ! Cela me sera très utile si je dois faire une configuration adaptée à par exemple plusieurs groupes d’utilisateurs (ex : un groupe Compta et un groupe Marketing)
Je créer un fichier test.conf
Je vais ensuite aller lui renseigner exactement les mêmes éléments que pour l’étape “limitation de connexion au serveur”.
Je vais limiter la connexion uniquement aux membres du groupe “testftp” le reste sera refusé.
Je retourne ensuite dans le fichier “proftpd.conf”
- Ligne 137 - J’ajoute le fichier de configuration personnalisé
Je redémarre proftpd pour appliquer la nouvelle configuration
Je vérifie ma configuration en me connectant d’abord avec l’utilisateur “ilan” (succès car membre du groupe testftp)
Je vérifie ensuite en me connectant avec l’utilisateur “toto” (échec car il n’est pas membre du groupe testftp)
¶ Créer un dossier propre à un groupe
Nous allons maintenant créer un dossier qui appartient uniquement à un groupe d'utilisateurs et
dans lequel ils seront bloqués.
Première étape, je crée le dossier à la racine de mon serveur.
Ensuite je vais modifier les droits d’accès de sorte à ce que le propriétaire et le groupe ait un contrôle total mais que personne d’autre n’ai d’accès.
Je change le propriétaire et le groupe
Je vérifie que mes changements sont bien appliqués (avec la commande ls -l ou ll)
Je vais ensuite créer et modifier le fichier de configuration personnalisé.
J’ajoute un “DefaultRoot” qui correspond au dossier du nom de /tesftp pour le groupe testftp puis j’enregistre et je quitte.
Je vais ensuite modifier le fichier de configuration original.
- ligne 37 - J’ajoute le fichier de conf personnalisé
Je redémarre ensuite proftpd pour appliquer la nouvelle configuration
Je peux ensuite retourner dans Filezilla et essayer de me connecter.
Je suis présent dans un dossier identifié “/” je vais donc créer un fichier texte pour être sûr que je suis bien au bon endroit et je vérifierais ensuite en actualisant que je suis au bon endroit.
En réactualisant sur Filezilla, le fichier test.txt devrait apparaître avec l’utilisateur “root” en propriétaire
Il apparaît bien !
Voilà, vous savez maintenant comment créer un dossier propre à un seul groupe d’utilisateurs !
¶ Conclusion
Vous savez maintenant comment configurer proftpd sur un environnement Linux.
Vous pouvez aller plus loin, si vous le souhaitez, n’hésitez pas à me contacter dans ce cas ou à vous renseigner sur les autres tutos présents sur mon wiki ou directement sur Google !
Si vous souhaitez avoir plus d’informations ou si vous avez découvert une coquille sur ce tutoriel, merci de me contacter à l’adresse i.martel@imweb.ovh
¶ Remerciements
v2 - Merci à Antoine Armandy de m’avoir fait remarquer mon oublie concernant les commandes de
déplacement des fichiers de certificats dans la partie “ajouter un certificat SSL/TLS”
¶ Notes de version
v1 - Version initiale
v2 - Modification de la partie “ajouter un certificat SSL/TLS”