Samba et serveur ftp


#1

Bonjour

J’ai un serveur ftp (accès local et internet) qui me permet, sous un compte précis, à l’utilisateur d’uploader dans un répertoire tout en interdisant la modification du reste des répertoires (j’utilise une clause particulière de vsftpd).

J’aurais aimé savoir si ça ne pose pas de problème que j’install samba sur mon serveur, et que je colle en partage le répertoire du compte en question. Bien entendu samba ne tournerait qu’en local, mais moi ça me permettrait d’accèder à mes donner sans avoir à la télécharger, par ailleurs, je pourrais faire plus facilement la maintenance de ce répertoire (en gros il y a un répertoire upload ou l’utilisateur peut uploader, mais le reste, il ne peut qu’y downloader, donc mannuellement il faut que je fasse le tri en root pour prendre les fichiers du répertoire upload et les placer dans les répertoire protégés de download). Je voudrais savoir si par exemple au niveau de droits ça ne posera pas de problème, si ça peut fonctionner en toute transparance par rapport au serveur ftp qu’il y a derrière ?

merci à vous !


#2

Ca peut se faire, mais c’est à éviter pour de nombreuses raisons de sécurité.
Parceque normalement, depuis une machine windobe aussi, tu gères un dossier ftp comme tu gères un répertoire réseau, ou presque.

Maintenant, si il n’y a rien de critique derrière…


#3

admettons que les problèmes de sécurité viennent de Samba (car je pense que c’est le cas). Je suppose que c’est donc en liaison avec tout ce qu’il se passe via internet (en toute logique, vu que les attaques ne peuvent venir que de l’exterieur), hors mon firewall matériel bloque touten entrée et en sortie en dehors de ce que je lui déclare. Comme mon Samba tourne en local, je n’ai rien à déclarer sur mon firewall, donc de l’exterieur, il est impossible de savoir si oui ou non il existe un serveur Samba, et bien entendu, il encore moins possible d’y accèder (à moins de trouver une brèche dans la firewall de router les pacquets en interne vers la bonne machine).
Ai-je juste ? Ou le danger vient d’ailleurs ?


#4

Du moment que depuis l’extérieur tu ne peux pas acceder a samba car ton firewall la bloquer et que samba ne tourne qu’en locale les seules attaques que tu pourrais avoir de l’extérieur viseraient ton firewall ou d’autres services qui tourne sur ton serveur et qui sont accessibles de l’extérieur. Ou des attaques provenant de ton réseau local si tu as toute confiance en ton réseau locale, il n’y a pas de problème.


#5

[quote=“nuitn0ire”]admettons que les problèmes de sécurité viennent de Samba (car je pense que c’est le cas). Je suppose que c’est donc en liaison avec tout ce qu’il se passe via internet (en toute logique, vu que les attaques ne peuvent venir que de l’exterieur), hors mon firewall matériel bloque touten entrée et en sortie en dehors de ce que je lui déclare. Comme mon Samba tourne en local, je n’ai rien à déclarer sur mon firewall, donc de l’exterieur, il est impossible de savoir si oui ou non il existe un serveur Samba, et bien entendu, il encore moins possible d’y accèder (à moins de trouver une brèche dans la firewall de router les pacquets en interne vers la bonne machine).
Ai-je juste ? Ou le danger vient d’ailleurs ?[/quote]
C’est juste, avec la particularité que comme ta machine est routeur, même si tu n’actives pas samba sur l’interface web, on peut (peut être) traverser la machine pour attaquer l’autre interface.
Mais bon…
Par ailleurs, n’aies aucune confiance dans les firewall matèriel, ils ont tous des failles qui sont difficilement corrigeables.
Ne faire confiance qu’a une solution libre donc multiauditée et mise à jour régulièrement. Vive netfilter !


#6

A vrai dire j’entends par firewall matériel, un firewall intégré à mon routeur (qui n’est pas une machine mais bien un routeur standart).

Celà dit oui, une partie de la sécurité de mon réseau repose sur ce routeur/firewall et les regles que j’y ai mis, mais bon, je n’ai pas que ça et je pense mettre une solution à même mon serveur pour surveiller ce qu’il se passe. Mais difficile d’auditer un routeur dont l’interface web est désactivée et qui plus est refusant toute requête ping.

Ce qui me fait peur avec mon routeur, c’est qu’il intégre un petit serveur web. Pour qui connait l’adresse de mon serveur, s’il décide de checker la version du serveur il tombera sur celle de mon routeur (il ne verra pas Apache), et ça, ça m’ennuie un peu… j’aimerais mettre les mains dans le bousin, modifier le firmware de mon routeur histoire de cacher la version du serveur web integré.