IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)
Navigation

Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter

Sécurité Discussion :

proftp, sftp, et users virtuels


Sujet :

Sécurité

  1. #1
    Membre du Club
    Homme Profil pro
    Employé magasin
    Inscrit en
    Août 2012
    Messages
    194
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France

    Informations professionnelles :
    Activité : Employé magasin

    Informations forums :
    Inscription : Août 2012
    Messages : 194
    Points : 45
    Points
    45
    Par défaut proftp, sftp, et users virtuels
    Bonjour,
    je voulais sécurisé mes connexion FTP en passant par du SFTP avec FlashFXP et lftp et je n'y arrive pas. J'ai sélectionné l'option dans FlashFXP et je sais pas si je dois modifier quelque chose dans la conf de proftpd, mais déjà sans rien faire j'ai le droit à ça:
    Code : Sélectionner tout - Visualiser dans une fenêtre à part
    1
    2
    3
    4
    5
    [13:16:11] [R] Auth Type: Password
    [13:16:16] [R] L'authentification a échoué [Mot de passe invalide]
    [13:16:16] [R] SSH Erreur: échec de négociation de la méthode d'authentification [Password]
    [13:16:16] [R] SSH Connexion fermée
    [13:16:16] [R] Échec de la connexion
    Le mot de passe est pourtant bon.
    Je suppose que c'est par ce que proftpd veut connecté que les compte users de mon serveur genre root, alors que moi j'utilise que des users virtuel avec une BDD MySQL. Comment on peut régler ça ?

    EDIT:
    J'ai essayé ce tuto à la place et ça à l'aire de fonctionner jusqu'a cette étape:
    Code : Sélectionner tout - Visualiser dans une fenêtre à part
    1
    2
    3
    4
    5
    6
    7
    8
    9
    10
    11
    12
    13
    14
    15
    16
    17
    18
     
    [13:09:58] [R] 220 ProFTPD 1.3.5 Server (Debian) [::ffff:**.**.*.***]
    [13:09:58] [R] AUTH TLS
    [13:09:59] [R] 234 AUTH TLS successful
    [13:09:59] [R] Connecté. Négociation de la session SSL/TLS
    [13:09:59] [R] TLSv1 la négociation s'est terminée avec succès..
    [13:09:59] [R] TLSv1 session chiffrée utilisant le système ECDHE-RSA-AES256-SHA (256 bits)
    [13:09:59] [R] PBSZ 0
    [13:09:59] [R] 200 PBSZ 0 successful
    [13:09:59] [R] USER camera
    [13:09:59] [R] 331 Password required for camera
    [13:09:59] [R] PASS (hidden)
    [13:10:01] [R] 230 User camera logged in
    [13:10:01] [R] SYST
    [13:10:01] [R] 215 UNIX Type: L8
    [13:10:01] [R] FEAT
    [...]
    Ouverture d'une connexion de données IP : **.**.*.*** PORT : 48223
    Est ce que je dois en déduire que je dois ouvrir ce port pour que ça fonctionne ? On dirait que le port change à chaque fois^^. Mes règles iptables :

    Code : Sélectionner tout - Visualiser dans une fenêtre à part
    1
    2
    3
    4
    5
    6
    7
    8
    9
    10
    11
    12
    13
    14
    15
    16
    17
    18
    19
    20
    21
    22
    23
    24
    25
    26
    27
    28
    29
    30
    31
    32
    33
    34
    35
    36
    37
    38
    39
    40
    41
    42
    43
    44
    45
    46
    47
    48
    49
    50
    51
    52
    53
    54
    55
    56
    57
    58
    59
    60
    61
    62
    63
    64
    65
    66
    67
    68
    69
    70
    71
    72
    73
    74
    75
    76
    77
    78
    79
    80
    81
    82
    83
    84
    85
    86
    87
    88
    #!/bin/sh
     
    # INPUT ENTREE
    # OUTPUT SORTIE
     
    # On vide iptables(flush)
    iptables -t filter -F
    iptables -t filter -X
     
    # On bloque toute les connexion
    iptables -P OUTPUT DROP
    iptables -P INPUT DROP
    iptables -P FORWARD DROP
     
    # On autorise les connexions déjà établie
    iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
    iptables -A OUTPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
     
    ############################### 
    # On ouvre les ports utilises # 
    ############################### 
     
    #### RTM OVH :
    iptables -t filter -A INPUT -p udp --dport 6100 -j ACCEPT 
    iptables -t filter -A OUTPUT -p udp --dport 6100 -j ACCEPT 
    iptables -t filter -A INPUT -p udp --dport 6200 -j ACCEPT 
    iptables -t filter -A OUTPUT -p udp --dport 6200 -j ACCEPT 
     
    #### DNS : 
    iptables -t filter -A INPUT -p tcp --dport 53 -j ACCEPT 
    iptables -t filter -A OUTPUT -p tcp --dport 53 -j ACCEPT
    iptables -t filter -A INPUT -p udp --dport 53 -j ACCEPT 
    iptables -t filter -A OUTPUT -p udp --dport 53 -j ACCEPT 
     
    # On autorise le SSH
    iptables -t filter -A INPUT -p tcp --dport 22 -j ACCEPT
    iptables -t filter -A OUTPUT -p tcp --dport 22 -j ACCEPT
     
    # On autorise le loop-back (localhost)
    iptables -t filter -A INPUT -i lo -j ACCEPT
    iptables -t filter -A OUTPUT -o lo -j ACCEPT
     
    # On autorise le ping
    iptables -t filter -A INPUT -p icmp -j ACCEPT
    iptables -t filter -A OUTPUT -p icmp -j ACCEPT
     
    # NTP (pour avoir un serveur à l'heure)
    iptables -t filter -A OUTPUT -p udp --dport 123 -j ACCEPT
     
    # HTTP 443=HTTPS
    iptables -t filter -A OUTPUT -p tcp --dport 80 -j ACCEPT
    iptables -t filter -A OUTPUT -p tcp --dport 443 -j ACCEPT
    iptables -t filter -A INPUT -p tcp --dport 80 -j ACCEPT
    iptables -t filter -A INPUT -p tcp --dport 443 -j ACCEPT
    iptables -t filter -A INPUT -p tcp --dport 8443 -j ACCEPT
     
    # FTP
    iptables -t filter -A OUTPUT -p tcp --dport 21 -j ACCEPT
    iptables -t filter -A OUTPUT -p tcp --dport 20 -j ACCEPT
    iptables -t filter -A INPUT -p tcp --dport 20 -j ACCEPT
    iptables -t filter -A INPUT -p tcp --dport 21 -j ACCEPT
    iptables -t filter -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
     
    # MAIL
    ## SMTP
    iptables -t filter -A INPUT -p tcp --dport 25 -j ACCEPT
    iptables -t filter -A OUTPUT -p tcp --dport 25 -j ACCEPT
     
    ## POP3
    iptables -t filter -A INPUT -p tcp --dport 110 -j ACCEPT
    iptables -t filter -A OUTPUT -p tcp --dport 110 -j ACCEPT
     
    ## IMAP
    iptables -t filter -A INPUT -p tcp --dport 143 -j ACCEPT
    iptables -t filter -A OUTPUT -p tcp --dport 143 -j ACCEPT
     
    ## POP3S
    iptables -t filter -A INPUT -p tcp --dport 995 -j ACCEPT
    iptables -t filter -A OUTPUT -p tcp --dport 995 -j ACCEPT
     
    # GPS
    iptables -t filter -A INPUT -p tcp --dport 13240 -j ACCEPT
     
    # Minecraft - Rcon 25567
    iptables -t filter -A INPUT -p tcp --dport 25565 -j ACCEPT
    iptables -t filter -A OUTPUT -p tcp --dport 25565 -j ACCEPT
    iptables -t filter -A INPUT -p tcp --dport 25567 -j ACCEPT
    iptables -t filter -A OUTPUT -p tcp --dport 25567 -j ACCEPT
    Dans les log j'ai toujours:
    Code : Sélectionner tout - Visualiser dans une fenêtre à part
    1
    2
    3
     
    2017-04-10 13:28:24,432 mod_tls/2.6[17028]: TLSv1/SSLv3 connection accepted, using cipher ECDHE-RSA-AES128-GCM-SHA256 (128 bits)
    2017-04-10 13:28:24,747 mod_tls/2.6[17029]: TLS/TLS-C requested, starting TLS handshake
    Le tuto: https://doc.ubuntu-fr.org/proftpd_et_tls_ssl

    EDIT: j'ai réussi en faisant:
    Code : Sélectionner tout - Visualiser dans une fenêtre à part
    1
    2
    3
    4
    #Passive port ftps
    # Autorisation port 56000 a 57000 pour monter des ftps
    iptables -A INPUT -p tcp -m state -m tcp --dport 56000:57000 --state NEW -j ACCEPT
    iptables -A INPUT -p udp -m state -m udp --dport 56000:57000 --state NEW -j ACCEPT
    et il faut le dire à proftpd aussi dans ça conf, dommage que les tutos le disent pas toujours

  2. #2
    Membre du Club
    Homme Profil pro
    Employé magasin
    Inscrit en
    Août 2012
    Messages
    194
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France

    Informations professionnelles :
    Activité : Employé magasin

    Informations forums :
    Inscription : Août 2012
    Messages : 194
    Points : 45
    Points
    45
    Par défaut
    Juste une dernière question ça dit dans les log:
    Code : Sélectionner tout - Visualiser dans une fenêtre à part
    1
    2
    TLSv1 la négociation s'est terminée avec succès..
    [14:07:20] [R] TLSv1 session chiffrée utilisant le système ECDHE-RSA-AES256-SHA (256 bits)
    TLSv1 c'est bien ? car il y a aussi un SSLv3 que j'ai pas essayé. Je demande car c'est la première fois que je fais ça et j'aimerais pas que la sécu soit mise a mal^^

    Et surtout la connexion est bien plus lente, on dirait qu'il la ferme a chaque fois, on peut pas faire quelque chose ?

  3. #3
    Membre du Club
    Homme Profil pro
    Employé magasin
    Inscrit en
    Août 2012
    Messages
    194
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France

    Informations professionnelles :
    Activité : Employé magasin

    Informations forums :
    Inscription : Août 2012
    Messages : 194
    Points : 45
    Points
    45
    Par défaut
    up, personne pour m'aider svp ?

  4. #4
    Membre du Club
    Homme Profil pro
    Employé magasin
    Inscrit en
    Août 2012
    Messages
    194
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France

    Informations professionnelles :
    Activité : Employé magasin

    Informations forums :
    Inscription : Août 2012
    Messages : 194
    Points : 45
    Points
    45
    Par défaut
    J'ai encore un autre problème, je me connecte avec lftp ce cette façon:
    Code : Sélectionner tout - Visualiser dans une fenêtre à part
    lftp -u "${COMPTEFTP}:${MDPFTP}" ftp://"${URLSERVEUR}" -e "cd ./${camera_name}/download/; put ${FICHIERADEPOSERDOWNLOAD}; exit"
    J'ai voulu faire comme ça:
    Code : Sélectionner tout - Visualiser dans une fenêtre à part
    curl --user "${COMPTEFTP}:${MDPFTP}" ftp://"${URLSERVEUR}/${camera_name}/download/" -T "${FICHIERADEPOSERDOWNLOAD}"
    et j'ai:
    Je comprends pas trop pourquoi. Help SVP!!!

    EDIT:
    j'ai réussi:
    Code : Sélectionner tout - Visualiser dans une fenêtre à part
    curl --ftp-ssl -k --user "${COMPTEFTP}:${MDPFTP}" ftp://"${URLSERVEUR}/${camera_name}/download/" -T "${FICHIERADEPOSERDOWNLOAD}"
    Par contre si quelqu'un pouvait m'aider a m'expliquer pourquoi le SSL est aussi lent!!!

  5. #5
    Membre du Club
    Homme Profil pro
    Employé magasin
    Inscrit en
    Août 2012
    Messages
    194
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France

    Informations professionnelles :
    Activité : Employé magasin

    Informations forums :
    Inscription : Août 2012
    Messages : 194
    Points : 45
    Points
    45
    Par défaut
    Up, personne a une solution ? C'est abusé comment c'est long, c'est a en dégouter de se protéger avec du ftps.

+ Répondre à la discussion
Cette discussion est résolue.

Discussions similaires

  1. Connexion sftp en batch
    Par 12_darte_12 dans le forum Windows
    Réponses: 3
    Dernier message: 12/10/2005, 16h30
  2. SFTP
    Par Brunoo dans le forum Web & réseau
    Réponses: 5
    Dernier message: 03/08/2005, 14h18
  3. SFTP, SSH et indy 10
    Par jeromelef dans le forum Web & réseau
    Réponses: 1
    Dernier message: 13/07/2005, 19h30
  4. Lien symbolique dansle repertoire du ftp - Proftpd
    Par __fabrice dans le forum Réseau
    Réponses: 8
    Dernier message: 20/05/2005, 21h31
  5. Problème de compilation de proftpd
    Par berry dans le forum Applications et environnements graphiques
    Réponses: 3
    Dernier message: 15/01/2005, 19h06

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo