Salut à tous,

J'ai un petit soucis avec un serveur FTP que je souhaite monter sur un PC équipé de Linux Mint.

Le logiciel choisi est ProFTPd.

J'ai, me semble t'il, configuré le serveur pour que la connexion puisse se faire (via FileZilla) en TLS Explicite.

Toutefois, quand je me connecte, le TLS n'est pas actif.

Voici les fichiers de conf :

proftpd.conf :

Include /etc/proftpd/tls.conf
Include /etc/proftpd/modules.conf
UseIPv6 on
IdentLookups off
ServerName "HystouBot"
ServerType standalone
DeferWelcome off
MultilineRFC2228 on
DefaultServer on
ShowSymlinks on
TimeoutNoTransfer 600
TimeoutStalled 600
TimeoutIdle 600
#DisplayLogin /etc/proftpd/welcome.msg
DisplayChdir .message true
ListOptions "-l"
DenyFilter \*.*/
Port 21
#<IfModule mod_dynmasq.c>
#</IfModule>
MaxInstances 30
User proftpd
Group ftp
Umask 022
AllowOverwrite on
TransferLog /var/log/proftpd/xferlog
SystemLog /var/log/proftpd/proftpd.log
<IfModule mod_quotatab.c>
QuotaEngine off
</IfModule>
<IfModule mod_ratio.c>
Ratios off
</IfModule>
<IfModule mod_delay.c>
DelayEngine on
</IfModule>
<IfModule mod_ctrls.c>
ControlsEngine off
ControlsMaxClients 2
ControlsLog /var/log/proftpd/controls.log
ControlsInterval 5
ControlsSocket /var/run/proftpd/proftpd.sock
</IfModule>
<IfModule mod_ctrls_admin.c>
AdminControlsEngine off
</IfModule>
#Include /etc/proftpd/conf.d/
# Définit la plage des ports passifs que proFTPd utilisera pour répondre aux clients.
PassivePorts 65000 65500
<Global>
DefaultRoot /media/alain/d21f7c54-9889-4828-a27a-fa86c7875739/ftp
UseFtpUsers on
RootLogin off
AccessGrantMsg /etc/proftpd/welcome.msg
#DisplayChdir /etc/proftpd/welcome.msg true
</Global>

tls.conf :

# Proftpd sample configuration for FTPS connections.
#
# Note that FTPS impose some limitations in NAT traversing.
# See http://www.castaglia.org/proftpd/doc/contrib/ProFTPD-mini-HOWTO-TLS.html
# for more information.
#

<IfModule mod_tls.c>
TLSEngine on
TLSLog /var/log/proftpd/tls.log
TLSProtocol SSLv23
#
# Server SSL certificate. You can generate a self-signed certificate using
# a command like:
#
# openssl req -x509 -newkey rsa:1024 \
# -keyout /etc/ssl/private/proftpd.key -out /etc/ssl/certs/proftpd.crt \
# -nodes -days 365
#
# The proftpd.key file must be readable by root only. The other file can be
# readable by anyone.
#
# chmod 0600 /etc/ssl/private/proftpd.key
# chmod 0640 /etc/ssl/private/proftpd.key
#
TLSRSACertificateFile /etc/proftpd/ssl/proftpd.cert
TLSRSACertificateKeyFile /etc/proftpd/ssl/proftpd.key
#
# CA the server trusts...
#TLSCACertificateFile /etc/ssl/certs/CA.pem
# ...or avoid CA cert and be verbose
#TLSOptions NoCertRequest EnableDiags
# ... or the same with relaxed session use for some clients (e.g. FireFtp)
#TLSOptions NoCertRequest EnableDiags NoSessionReuseRequired
#
#
# Per default drop connection if client tries to start a renegotiate
# This is a fix for CVE-2009-3555 but could break some clients.
#
#TLSOptions AllowClientRenegotiations
#
# Authenticate clients that want to use FTP over TLS?
#
TLSVerifyClient on
#
# Are clients required to use FTP over TLS when talking to this server?
#
#TLSRequired on
#
# Allow SSL/TLS renegotiations when the client requests them, but
# do not force the renegotations. Some clients do not support
# SSL/TLS renegotiations; when mod_tls forces a renegotiation, these
# clients will close the data connection, or there will be a timeout
# on an idle data connection.
#
#TLSRenegotiate required on
#
#
# Ajoute par Naga :
#<IfModule mod_tls.c>
#TLSEngine on
#TLSLog /var/log/proftpd/tls.conf
#TLSProtocol SSLv23
#TLSOptions NoCertRequest EnableDiags
#TLSRSACertificateFile /etc/proftpd/ssl/proftpd.cert
#TLSRSACertificateKeyFile /etc/proftpd/ssl/proftpd.key
#TLSVerifyClient off
#TLSRequired on
</IfModule>

Si une âme charitable pouvait m'aider, je lui en serait reconnaissant :)

Merci

Naga

J'ai vu ca peut être que:

Décommenter ou ajouter les ignes ci-dessous :

TLSEngine on
TLSRequired on
TLSProtocol SSLv23
TLSRSACertificateFile /etc/pki/tls/certs/proftpd.pem
TLSRSACertificateKeyFile /etc/pki/tls/certs/proftpd.pem
TLSCipherSuite ALL:!ADH:!DES
TLSOptions NoCertRequest
TLSVerifyClient off
TLSLog /var/log/proftpd/tls.log

Il n’ a plus qu’à redémarrer proFTPd :

$ sudo systemctl restart proftpd

J'ai vu aussi de ne pas trop utiliser ipv6 pour le ftp

proftpd.conf :

Include /etc/proftpd/tls.conf

Include /etc/proftpd/modules.conf

UseIPv6 on

Sans certitude.

Salut skale,

Merci pour ces infos.

J'ai fait les corrections. Mais ça ne change rien.

Sur FileZilla, je prends l'option de connexion implicite si disponible et il arrive à se connecter sans le TLS alors que le paramètre "LSRequired on" devrait bloquer la connexion.

Je ne comprends pas bien.

Naga

Tu as quelle version de FileZilla ?

C'est la V3.45.1

Mais je pense qu'à force de bricoler, mes deux fichiers . conf (proftpd et tls) ne sont plus trop conforme.

Aurais tu des fichiers modèles que je pourrais adapter ?

Merci beaucoup.

Naga

salut, je connais pas ftps, mais peut être un souci de port fermé ? sinon, tu veux faire quoi avec ton serveur ftp ? parce que si c'est un serveur perso sur lequel tu veux surtout stocker et modifier des fichiers, sftp (basé sur ssh) est l'idéal (bien plus sécurisé).

Salut Taras_Boulba,

J'ai bien ouverts les ports (et oublié de le préciser dans mon message initial).

FTPS ou SFTP, tout ce dont j'ai besoin, c'est d'un FTP sécurisé pour transférer des fichiers à des amis.

Je suis partant pour du SFTP mais comment le met on en place ?

Naga

si ce que tu veux c'est que tes amis se connectent à ton serveur pour télécharger des fichiers de façon sécurisée, ssh/sftp le permettent évidemment.

il faut déjà que t'installes de ton côté le serveur ssh. et il faut que tes amis activent le client ssh s'ils sont sous linux et soit qu'ils téléchargent en lignes de commande tes fichiers en utilisant la commande scp, soit qu'ils utilisent un client sftp en graphique (sous kde par exemple, le gestionnaire de fichiers le permet, ou gftp sous n'importe quelle distro par exemple).

la doc d'ubuntu est très bien faite et il y a quantité de tutos sur le net. juste un conseil, change le port par défaut de ssh (22 tcp) pour un port au-delà des 1024 premiers (les plus scannés), interdit à root de se logger et mets en place une identification par clé privée/ clé publique.

https://doc.ubuntu-fr.org/ssh

si tu as des soucis, je t'aiderai, mais ça devrait aller, c'est pas difficile à mettre en place un serveur ssh/sftp. si tes amis sont sous windows, je sais qu'il y a putty qui émule un terminal et fait office de client ssh et pas mal de clients sftp en graphique qu'ils peuvent utiliser (je peux pas t'en dire plus sur windows par contre).

En fait SSH est déjà installé sur le PC. Je m'en sert pour me connecter en SSH via Putty (outil que je connais bien).

Je change toujours les ports par défaut. Le root est bien sur bloqué, je ne l'ai pas mis dans le groupe SSH et il est bloqué directement dans l'outil SSH.

-

Mes amis utiliseront très probablement FileZilla pour se connecter sur le FTP.

Les tutos que j'avais trouvé, grosso merdo, proposaient d'installer ProFTPD, d'ajouter le paramètre Include etc/proftpd/tls.conf dans le fichier proftpd.conf puis d'ajouter les consignes spécifique au chiffrement dans le fichier tls.conf.

L'idéal étant de se connecter en TLS explicite pour ne pas passer par le port 990 qui est spécifique au TLS implicite et car le TLS implicite est considéré comme étant obsolète.

-

Par contre, il semble qu'il faille mapper, dans ma box, une plage de ports pour le mode passif. Mais je ne sais pas s'il faut les mapper en TCP ou en UDP.

-

Pour information, quand je me connecte sur le serveur via Putty en SSH avec le compte Linux que je souhaite utiliser pour le FTP, ça fonctionne. Donc ce compte est bien reconnu par le SSL.

-

Naga

si ton serveur ssh est déjà installé, il ne te reste plus qu'à mettre en place une connexion par clé privée clé publique pour chaque utilisateur si tu veux du très sécurisé.

il n'y a rien à installer de plus pour le sftp, ça consiste à monter les répertoires de ton serveur à distance. lis la doc d'ubuntu : https://doc.ubuntu-fr.org/ssh#monter_un_repertoire_distant_navigation_via_sftp_secure_file_transfer_protocol

édit : tu confonds ssh et ssl. ce n'est pas parce que tu peux te connecter en ssh que le ssl est opérationnel. ce sont 2 protocoles différents.

Merci pour les infos, dès que je trouve 5 min entre deux trucs à faire, je regarde et je te tiens au courant.

Merci pour la remarque concernant les protocoles SSH et SSL, j'ai tendance à me tromper. Je sais qu'il s'agit de protocoles différents.

Naga

Salut salut,

Bon j'ai réussi à mettre en place le sFTP, ce qui me convient.

Par contre j'ai un petit soucis. L'utilisateur n'est pas cantonné à un dossier spécifique (son home) dans le FTP. Il peut monter sur des niveaux supérieurs.

J'ai pourtant ajouté le dossier home personnalisé dans le compte de l'utilisateur et j'ai ajouté la directive DefaultRoot ~ dans le fichier proftpd.conf.

J'ai bien sur relancé le serveur FTP après coup mais ça ne change rien.

Une petite idée ?

Naga

Edit :

En fait, c'est un gros bor... sur la machine car j'ai deux serveur FTP qui tournent : ProFTPd que je vais désactiver et SSH-FTP qui accepte ma connexion en sFTP mais qui ne cantonne pas l'utilisateur à un dossier home précis.

sftp n'est pas du ftp over ssl, tu confonds encore. tu n'as pas lu la doc... sftp fonctionne au dessus de ssh.

tu peux donc modifier autant que tu le voudras le fichier de configuration de ton serveur ftp, ça n'impactera pas sftp. tu peux d'ailleurs désactiver ton serveur ftp, il n'est pas utilisé dans ce contexte. il n'y a pas de fichier de conf pour le sftp, c'est le fichier de conf du serveur ssh qui l'impacte, c'est à dire /etc/ssh/sshd_config

pour ton problème de niveaux dans l'arborescence, il faut chrooter les utilisateurs sftp en modifiant sshd_config (les utilisateurs sftp seront limités au répertoire que tu auras défini)

https://community.jaguar-network.com/restreindre-lacces-sftp-dun-utilisateur-chroot/

J'avoue que quand je me suis rendu compte du conflit entre les deux FTP (ProFTPd et sFTP) je me suis mélangé les pinceaux.

J'ai stoppé le ProFTPd, on en parle plus et je me concentre depuis mon dernier post ici sur le sFTP.

-

J'avais trouvé le tuto que tu me donne gentiment et je l'ai suivi. J'ai été jusqu'à supprimer le compte Linux dédié au FTP pour le refaire suivant les instructions données par le tuto.

Il y toutefois a deux erreurs dans le tutos :

1. Il n'est pas précisé que le nouveau compte utilisateur doit être dans le groupe SSH pour qu'il soit couvert par ce protocole.
2. La commande :

chown -R user_restreint:user_restreint /home/user_restreint/*

est erronée, il faut mettre :

chown -R user_restreint:groupe_restreint /home/user_restreint/*

Bon, c'est bien j'apprends (je débute sous Linux).

-

Maintenant, quand j'ajoute la directive ChrootDirectory /home/%u dans le fichier sshd_config, la connexion au FTP est impossible avec le message d'erreur :

• Erreur : Network error: Software caused connection abort
• Erreur : Impossible d'établir une connexion au serveur

Si je ne met pas cette directive, je peux me connecter sur le FTP sans problème mais j'ai accès à toute la machine avec des droits en écriture limité à certains dossiers (encore heureux).

Je me suis assuré que :

• Le dossier home/nomutilsateur existe (oui)
• Que les droits sur ce dossier et son contenu soit en 755 (oui)
• Que le home de nonutilisateur ai bien son home dans le dossier home/nomutilsateur
• nomutilisateur n'est pas dans le groupe root
• J'ai ajouté la directive PermitRootLogin no dans le fichier sshd_config car on est jamais assez prudent

-

Je ne comprends pas pourquoi la directive ChrootDirectory bloque la connexion.

Naga

J'avoue aussi que si j'ai lu la doc mais je n'ai pas tout compris.

Les protocoles de connexions chiffrés sont nouveaux pour moi et je n'ai pas forcement toutes les billes en main pour comprendre les infos.

Déjà, du temps ou j'avais installé le SSH pour me connecter avec Putty j'avais bien galéré (maintenant ça va un poil mieux).

Naga

si tu n'as ajouté que maintenant l'interdiction à root de se loger en ssh, c'est que tu ne l'avais pas fait contrairement à ce que tu m'as dit. as tu au moins changé le port par défaut de ssh dans sshd_config ? un serveur ssh sur lequel on peut se logger en root par le port 22, c'est du pain béni, il n'y a que le mot de passe root à trouver...

sinon, je comprends pas trop ce que tu fais. tu fais plein de manip qui sont inutiles. sous debian et ses dérivés, le script adduser crée automatiquement un home en fonction de tes réponses aux questions posées. j'ai pas lu entièrement le tuto, je l'ai parcouru en diagonale et vu le niveau du gars, je ne pense pas qu'il y ait des erreurs...

je n'ai jamais chrooté un utilisateur sftp, pas besoin chez moi. je découvre donc avec toi les manip. colle ici le contenu entier de ton sshd_config , je veux voir ce que tu as modifié.

regarde aussi ce tuto, cette fois c'est un groupe qui est chrooté, c'est une approche différente. suis exactement le tuto.

https://tech.feub.net/2018/03/mettre-en-place-un-acces-sftp-en-jail-chroot-pour-un-groupe-specifique/

et arrête de parler de connexion ftp, c'est un serveur ssh !

J'ai bloqué l'accès en root depuis le début (c'est une des 1ères choses que j'avais fait sur SSH).

J'ai changé le port par défaut (je le fait toujours, pareil, c'est une des 1ères choses que je fais).

Il est plus que probable que je fassse des manipes inutiles, j'essais de comprendre le truc mais, quand on est pas dedans, c'est loin d'être évident. J'ai au moins le mérite d'essayer.

Je ne remet pas en question les qualités de la personne qui a rédigé le tuto. Je dis simplement, qu'à mon humble niveau, il me semble avoir vu deux erreurs.

Voici le fichier sshd_config :

# $OpenBSD: sshd_config,v 1.101 2017/03/14 07:19:07 djm Exp $

# This is the sshd server system-wide configuration file. See
# sshd_config(5) for more information.

# This sshd was compiled with PATH=/usr/bin:/bin:/usr/sbin:/sbin

# The strategy used for options in the default sshd_config shipped with
# OpenSSH is to specify options with their default value where
# possible, but leave them commented. Uncommented options override the
# default value.

#Port 22
#AddressFamily any
#ListenAddress 0.0.0.0
#ListenAddress ::

#HostKey /etc/ssh/ssh_host_rsa_key
#HostKey /etc/ssh/ssh_host_ecdsa_key
#HostKey /etc/ssh/ssh_host_ed25519_key

# Ciphers and keying
#RekeyLimit default none

# Logging
#SyslogFacility AUTH
#LogLevel INFO

# Authentication:

#LoginGraceTime 2m
#PermitRootLogin prohibit-password
#StrictModes yes
#MaxAuthTries 6
#MaxSessions 10

#PubkeyAuthentication yes

# Expect .ssh/authorized_keys2 to be disregarded by default in future.
#AuthorizedKeysFile .ssh/authorized_keys .ssh/authorized_keys2

#AuthorizedPrincipalsFile none

#AuthorizedKeysCommand none
#AuthorizedKeysCommandUser nobody

# For this to work you will also need host keys in /etc/ssh/ssh_known_hosts
#HostbasedAuthentication no
# Change to yes if you don't trust ~/.ssh/known_hosts for
# HostbasedAuthentication
#IgnoreUserKnownHosts no
# Don't read the user's ~/.rhosts and ~/.shosts files
#IgnoreRhosts yes

# To disable tunneled clear text passwords, change to no here!
#PasswordAuthentication yes
#PermitEmptyPasswords no

# Change to yes to enable challenge-response passwords (beware issues with
# some PAM modules and threads)
ChallengeResponseAuthentication no

# Kerberos options
#KerberosAuthentication no
#KerberosOrLocalPasswd yes
#KerberosTicketCleanup yes
#KerberosGetAFSToken no

# GSSAPI options
#GSSAPIAuthentication no
#GSSAPICleanupCredentials yes
#GSSAPIStrictAcceptorCheck yes
#GSSAPIKeyExchange no

# Set this to 'yes' to enable PAM authentication, account processing,
# and session processing. If this is enabled, PAM authentication will
# be allowed through the ChallengeResponseAuthentication and
# PasswordAuthentication. Depending on your PAM configuration,
# PAM authentication via ChallengeResponseAuthentication may bypass
# the setting of "PermitRootLogin without-password".
# If you just want the PAM account and session checks to run without
# PAM authentication, then enable this but set PasswordAuthentication
# and ChallengeResponseAuthentication to 'no'.
UsePAM yes

#AllowAgentForwarding yes
#AllowTcpForwarding yes
#GatewayPorts no
##X11Forwarding yes
#X11DisplayOffset 10
#X11UseLocalhost yes
#PermitTTY yes
PrintMotd yes
#PrintLastLog yes
#TCPKeepAlive yes
#UseLogin no
#PermitUserEnvironment no
#Compression delayed
#ClientAliveInterval 0
#ClientAliveCountMax 3
#UseDNS no
#PidFile /var/run/sshd.pid
#MaxStartups 10:30:100
#PermitTunnel no
#ChrootDirectory /%u
#VersionAddendum none

# no default banner path
#Banner none

# Allow client to pass locale environment variables
AcceptEnv LANG LC_*

# override default of no subsystems
Subsystem sftp /usr/lib/openssh/sftp-server
GatewayPorts no
##AllowTcpForwarding yes
KeepAlive yes
Protocol 1,2
Port 33000
AllowGroups ssh
IgnoreRhosts yes
MaxAuthTries 20
IgnoreUserKnownHosts no
StrictModes yes
PubkeyAuthentication yes
RSAAuthentication yes
PermitRootLogin no
PermitEmptyPasswords no
PasswordAuthentication yes
UsePrivilegeSeparation yes

# Example of overriding settings on a per-user basis
#Match User anoncvs
# X11Forwarding no
# AllowTcpForwarding no
# PermitTTY no
# ForceCommand cvs server


Match Group groupe_restreint
ChrootDirectory /home/%u
ForceCommand internal-sftp
AllowTCPForwarding no
X11Forwarding no

Je regarde le tuto. Merci pour ton temps.

Heu, quand je me connecte sur le serveur, je passe par sFTP, c'est bien un dérivé du FTP non ?

Naga

Bon j'ai suivi le tuto à la lettre.

Deux constats :

• Pour que je puisse me connecter, je dois ajouter l'utilisateur nouvelle créé dans le groupe SSH en plus du groupe sftp_users sinon la connexion échoue.
• Si je rajoute la directive ChrootDirectory %h dans le fichier de config, la connexion échoue. Bien sur si je ne mets pas cette directive, la connexion fonctionne mais l'utilisateur n'est pas cantonné à son dossier.

-

Les seules changements que je viens d'apporter au fichier de configuration sont liés au tuto.

Naga