admin:services:ftp
Différences
Ci-dessous, les différences entre deux révisions de la page.
Les deux révisions précédentesRévision précédenteProchaine révision | Révision précédente | ||
admin:services:ftp [2014/05/05 17:07] – zertrin | admin:services:ftp [2020/04/25 19:02] (Version actuelle) – zertrin | ||
---|---|---|---|
Ligne 1: | Ligne 1: | ||
[[: | [[: | ||
- | Le serveur FTP de FedeRez se trouve sur [[admin: | + | Le serveur FTP de FedeRez se trouve sur [[admin: |
====== Infos de connexion ====== | ====== Infos de connexion ====== | ||
- | | Hôte | ftp.federez.net | | + | | **Hôte** | ftp.federez.net | |
- | | Port | 21 | | + | | **Port** | 21 | |
- | | Protocole | FTPES (FTP avec connextion | + | | **Protocole** |
- | | Login | pseudo renseigné dans le LDAP (Exemple: '' | + | | **Login** |
- | | Mot de passe | Celui du compte LDAP | | + | | **Mot de passe** | Celui du compte LDAP. Cf https:// |
- | ====== | + | ====== |
- | C'est '' | + | Voici l'arborescence mise en place initialement. Sera probablement à actualiser par la suite mais ça donne déjà une idée. |
- | En attendant il faut retenir qu' | + | < |
+ | /home/ftp | ||
+ | ├── administratif | ||
+ | │ └── statuts.pdf | ||
+ | ├── admin_tech | ||
+ | ├── journees | ||
+ | │ └── 2014 | ||
+ | │ | ||
+ | │ | ||
+ | │ | ||
+ | │ | ||
+ | │ | ||
+ | │ | ||
+ | ├── README_FTP_FedeRez.txt | ||
+ | ├── tournee | ||
+ | ├── upload | ||
+ | └── visuel | ||
+ | ├── font | ||
+ | ├── kakemono | ||
+ | └── logo | ||
+ | </ | ||
+ | |||
+ | Niveau sécurité, tous les échanges doivent se faire de façon chiffrée (aussi bien pour le canal de contrôle que pour les données) et tous les utilisateurs ont les mêmes droits sur le serveurs (uid ftp, group ftp). | ||
+ | ====== Mise en place ====== | ||
+ | |||
+ | Pour la mise en place d'un serveur '' | ||
+ | |||
+ | Le choix de '' | ||
+ | |||
+ | On commence par installer les paquets nécessaires (la doc à consulter dans ''/ | ||
+ | apt-get install proftpd proftpd-mod-ldap proftpd-doc | ||
+ | |||
+ | On crée un utilisateur système " | ||
+ | useradd --system --home-dir /srv/ftp --no-create-home --shell / | ||
+ | Si l' | ||
+ | getent passwd ftp | ||
+ | getent group ftp | ||
+ | qui doivent renvoyer : | ||
+ | ftp: | ||
+ | ftp: | ||
+ | Sinon, on adapte avec : | ||
+ | groupadd --system ftp | ||
+ | usermod --gid ftp --home /srv/ftp --shell / | ||
+ | |||
+ | On note ensuite l'uid et le gid de ftp : | ||
+ | id ftp | ||
+ | Dans notre cas, on a : '' | ||
+ | |||
+ | On modifie le fichier ''/ | ||
+ | <file apache "/ | ||
+ | ### Lignes à décommenter : | ||
+ | Include / | ||
+ | Include / | ||
+ | |||
+ | ### Ligne à modifier : | ||
+ | DisplayLogin | ||
+ | |||
+ | ### Lignes à ajouter : | ||
+ | # Autoriser uniquement les connexions depuis le LDAP | ||
+ | AuthOrder mod_ldap.c | ||
+ | # Chroot des utilisateurs dans /srv/ftp | ||
+ | DefaultRoot /srv/ftp | ||
+ | </ | ||
+ | |||
+ | On crée ''/ | ||
+ | <file text "/ | ||
+ | ================================================= | ||
+ | | | | ||
+ | | | ||
+ | | | | ||
+ | ================================================= | ||
+ | |||
+ | Vous êtes identifié en tant que %U@%R | ||
+ | |||
+ | ------- | ||
+ | |||
+ | En cas de questions, contacter admin@federez.net | ||
+ | </ | ||
+ | |||
+ | On décommente dans ''/ | ||
+ | <file apache "/ | ||
+ | LoadModule mod_ldap.c | ||
+ | </ | ||
+ | |||
+ | On modifie ''/ | ||
+ | <file apache "/ | ||
+ | < | ||
+ | TLSEngine | ||
+ | TLSLog | ||
+ | TLSProtocol | ||
+ | TLSRSACertificateFile | ||
+ | TLSRSACertificateKeyFile | ||
+ | TLSOptions | ||
+ | TLSVerifyClient | ||
+ | TLSRequired | ||
+ | </ | ||
+ | </ | ||
+ | Toutes les autres lignes devraient être commentées. | ||
+ | |||
+ | On restreint les permissions sur ''/ | ||
+ | chmod o-r / | ||
+ | |||
+ | On modifie | ||
+ | <file apache "/ | ||
+ | < | ||
+ | LDAPServer " | ||
+ | LDAPBindDN " | ||
+ | LDAPUsers " | ||
+ | LDAPSearchScope subtree | ||
+ | LDAPForceDefaultUID on | ||
+ | LDAPForceDefaultGID on | ||
+ | LDAPDefaultUID 129 | ||
+ | LDAPDefaultGID 999 | ||
+ | LDAPLog / | ||
+ | LDAPAuthBinds on | ||
+ | </ | ||
+ | </ | ||
+ | Toutes les autres lignes devraient être commentées. | ||
+ | |||
+ | On configure ensuite les accès aux fichiers en créant le fichier | ||
+ | <file apache / | ||
+ | < | ||
+ | <Limit READ WRITE DIR> | ||
+ | DenyAll | ||
+ | </ | ||
+ | </ | ||
+ | < | ||
+ | <Limit READ DIR> | ||
+ | AllowAll | ||
+ | </ | ||
+ | <Limit WRITE> | ||
+ | AllowGroup sudoldap | ||
+ | # | ||
+ | DenyAll | ||
+ | </ | ||
+ | </ | ||
+ | < | ||
+ | <Limit WRITE> | ||
+ | AllowAll | ||
+ | </ | ||
+ | </ | ||
+ | </ | ||
+ | |||
+ | Enfin, on relance le service : | ||
+ | systemctl restart proftpd.service | ||
+ | En cas de soucis, on pourra ajouter | ||
+ | <file apache> | ||
+ | Trace ldap:10 # niveau entre 0 et 10 | ||
+ | Trace *:10 | ||
+ | </ | ||
+ | |||
+ | On s' | ||
+ | <file apache / | ||
+ | / | ||
+ | / | ||
+ | { | ||
+ | weekly | ||
+ | missingok | ||
+ | rotate 7 | ||
+ | compress | ||
+ | delaycompress | ||
+ | notifempty | ||
+ | create 640 root adm | ||
+ | sharedscripts | ||
+ | postrotate | ||
+ | # reload could be not sufficient for all logs, a restart is safer | ||
+ | invoke-rc.d proftpd restart 2>/ | ||
+ | endscript | ||
+ | } | ||
+ | </ |
admin/services/ftp.1399302441.txt.gz · Dernière modification : 2014/05/05 17:07 de zertrin