Sécurisé un accès ftp

Support Debian
#1

Salut à tous,
Je cherche à sécurisé un accès FTP sur mon serveur Debian. Et j’aimerai avoir votre avis sur ce que je pense faire et si vous trouvez ça utile ou pas.
Mon serveur (débian) et derrière un routeur wrt54gl (dd wrt).
L’accès au serveur est limité à 4 utilisateurs, 3 ont une ip fixe et 1 a une ip dynamique.
Je pensé faire une règle iptable qui autorise l’accès au port ftp qu’a ces 4 adresses. Toute autre ip qui essaye de se passé par le port ftp sera exclue. Es ce que vous pensez que cela est utile?
Pour l’ip dynamique, la personne a un compte dyndns, pensez vous qu’on puisse déclaré l’adresse dyndns dans iptable?

Merci

#2

Salut,

FR3D0

[quote=“FR3D0”]
Je cherche à sécurisé un accès FTP sur mon serveur Debian.[/quote]
Par curiosité … :033

Est tu allé voir sur le Wiki ? Serveur FTP sécurisé avec vsftpd (SSL + Mysql)

#3

Salut,
Oui, je suis aller voir le wiki.
Mais je voudrai savoir si ce que je veux faire est possible. :stuck_out_tongue:

#4

Salut,

Bien sûr!

[quote]Toute autre ip qui essaye de se passé par le port ftp sera exclue. Es ce que vous pensez que cela est utile?
[/quote]
Absolument!

Oui, avec un script du genre … mise à jour d’IP dynamique.

Ceci à adapter …

[code][root@yunohost] ~ # cat maj_ip_dynamique.sh
#!/bin/bash

variables generales

dyndns=user.dyndns-xxxxx.com
ipfile=/root/ipfile

Recuperation de l’ip

IP=/usr/bin/dig +short $dyndns | /usr/bin/tail -n 1
if [ “${#IP}” = “0” ]; then
echo "Echec de la recuperation de l’ip"
exit
fi

ANCIENNEIP=""
if [ -a $ipfile ]; then
ANCIENNEIP=cat $ipfile
fi

on enregistrer la nouvelle ip

echo $IP>$ipfile

echo "Mise a jour d’iptables"
if [ “${#ANCIENNEIP}” != “0” ]; then
echo “Suppression de l’ancienne règle ($ANCIENNEIP)”
/sbin/iptables -D mon_ip_maison -s $ANCIENNEIP/32 -p tcp --dport 22 -m limit --limit 50/hour -j ACCEPT
/sbin/iptables -D mon_ip_maison -s $ANCIENNEIP/32 -p tcp --dport 32 -j ACCEPT

fi
echo “Insertion de la nouvelle règle ($IP)”
/sbin/iptables -A mon_ip_maison -s $IP/32 -p tcp --dport 22 -m limit --limit 50/hour -j ACCEPT

[root@yunohost] ~ # [/code]

Je rechercherai les liens qui m’ont conduits à ceci. :wink:

#5

Salut,
En ce qui me concerne (comme tous les utilisateurs de mon ftp sont connus) sur pure-ftp:

  • Désactivé l’accès anonyme;
  • j’ai changer le port;
  • Activé le ssl;
  • Activé la surveillance avec fail2ban;
  • Fais moi même les mots de passes (cryptage 120 bits - 15 caractères)
  • Activé logwatch qui me permet de surveiller les connexions au ftp.

Le port 21 (surveillé par portsentry) me sert à bannir les IP des petits malins qui viennent voir si j’ai un ftp…

Avec ça je dors tranquille…

#6

Salut,

[quote=“lol”]
Avec ça je dors tranquille…[/quote] Sur une ou deux oreilles … :005

Allez comme dit!

Gestion des adresses Ip dynamiques avec Iptables

blog.guiguiabloc.fr/index.php/20 … -iptables/ :023

#7

Merci bien, je vais essayé de mettre ça en place.
Si j’ai des soucis je reviendrai vous embêtez, car iptable et moi ça fait 2. :stuck_out_tongue:

#8

Pour moi, l’idéal c’est :.
https://www.debian-fr.org/serveur-sftp-shell-reduit-rssh-et-chroot-t27796.html
Installé depuis au moins deux ans, jamais eu d’alerte.

#9

Je soutiens cette solution, vraiment impeccable!!

#10

Salut,

Ceci dit.

Cela, pour l’heure ne résolut (pas encore) ce qu’il envisage.

3 IP fixe.
1 IP dynamique.

Un retour prochain FR3D0 … :083

  • edit *

ps: serveur-sftp-shell-reduit-rssh-et-chroot-t27796.html approuvé également!!!

#11

[quote=“ricardo”]Pour moi, l’idéal c’est :.
https://www.debian-fr.org/serveur-sftp-shell-reduit-rssh-et-chroot-t27796.html
Installé depuis au moins deux ans, jamais eu d’alerte.[/quote]

Ce n’est pas exactement pareil qu’un ftp.
Ça oblige à créer des utilisateurs systèmes.
Ça peut être compliqué s’il s’agit de déposer des fichiers sur un serveur Web…

#12

C’est pas faux !

#13

perso, je serais tout de même tenté par sftp à commandes restreintes.
(d’ailleurs je suis entrain de chercher comment rajouter une commande à ce shell réduit via rssh, je posterais la question sur le forum en question )

et si le chroot sftp se fait sur /var/www , pourquoi est ce plus compliqué de déposer des fichiers ?
juste par curiosité.

#14

[quote=“nykoos”]perso, je serais tout de même tenté par sftp à commandes restreintes.
(d’ailleurs je suis entrain de chercher comment rajouter une commande à ce shell réduit via rssh, je posterais la question sur le forum en question )

et si le chroot sftp se fait sur /var/www , pourquoi est ce plus compliqué de déposer des fichiers ?
juste par curiosité.[/quote]
Très bonne question, j’attends les réponses des spécialistes du “chrootage”.

#15

Pour moi…

FTP dispose d’un solution cryptée: FTPS, qui n’est pas si mauvaise…

FTPS est très utile quand le client se connecte avec certains appareils (smartphones, PDA ou systèmes ne disposant pas de SSH/SFTP). Ce qui est d emoins en moins vrai je le concède…
FTPS fournit des services de transfert de fichiers de serveur à serveur.

Je ne dit pas que c’est la panacée, mais le protocole FTPS n’est pas si pourri que ça… Et quand vous travaillez avec des “clients” Windows ou Mac c’est plus simple.

SFTP est certainement plus sécurisé (à ce que j’en ai compris): Une seule connexion toujours sécurisée - Sans parler des autorisations, manipulations d’attribut, verrouillage des fichiers et plus…

Sur mon serveur, j’ai les deux… Utilisateurs chrootés dans les répertoires des sites Web et Clients FTPS.
Aucun de mes clients ne m’a demandé un accès ssh réduit, alors qu’ils demandent tous un accès ftp…

#16

@Ricardo
sans problème pour modifer l’ endroit du chroot, j’ ai testé, il suffit de remplacer toutes les lignes “/home/sftp”/… de l’ excellent tuto de yanlolot par l’ endroit désiré par contre je ne sais pas si le nom de répertoire ‘sftp’ peut s’ appeler différemment ici ‘www’ sans modifier un paramètre.

@lol
FTPS est très utile quand le client se connecte avec certains appareils (smartphones, PDA ou systèmes ne disposant pas de SSH/SFTP)
en effet, ftps est très utile dans ce cas.

FTPS fournit des services de transfert de fichiers de serveur à serveur
tu es spécialiste on ne pense pas à tout sinon sftp fonctionne très bien lui aussi avec un client Windows (WinSCP, FileZilla…)

#17

Salut à tous,
Je suis de retour, j’ai pas encore planché sur mon problème.
J’ai une petite question. En faisant une règle iptable dans le routeur qui accepte une ip à accédé à un port. Es ce qu’il faut faire une redirection de port sur le routeur? ou bien c’est iptable qui gère ça avec la règle créé?

#18

Mon serveur, et derrière ?
Mon serveur est derrière ?

#19

Mon serveur est derrière :blush: :blush:

#20

Je m’en doutais, c’était pour te taquiner…
Le routeur, c’est un genre box ?

Il faut ouvrir le port dans le parefeu et créer une régle NAT (qui sera chargée de rediriger la demande sur le port/IP publique vers le port/IP privée).
Sur la plupart des routeurs (ceux que je connais), la création d’une règle NAT crée automatiquement l’ouverture du port dans le parefeu (du routeur).