admin:services:ftp
Différences
Ci-dessous, les différences entre deux révisions de la page.
Les deux révisions précédentesRévision précédenteProchaine révision | Révision précédente | ||
admin:services:ftp [2016/04/07 00:56] – [Mise en place] work in progress david | admin:services:ftp [2020/04/25 19:02] (Version actuelle) – zertrin | ||
---|---|---|---|
Ligne 1: | Ligne 1: | ||
[[: | [[: | ||
- | Le serveur FTP de FedeRez se trouve sur [[admin: | + | Le serveur FTP de FedeRez se trouve sur [[admin: |
====== Infos de connexion ====== | ====== Infos de connexion ====== | ||
Ligne 8: | Ligne 8: | ||
| **Port** | | **Port** | ||
| **Protocole** | | **Protocole** | ||
- | | **Login** | + | | **Login** |
| **Mot de passe** | Celui du compte LDAP. Cf https:// | | **Mot de passe** | Celui du compte LDAP. Cf https:// | ||
Ligne 37: | Ligne 37: | ||
</ | </ | ||
+ | Niveau sécurité, tous les échanges doivent se faire de façon chiffrée (aussi bien pour le canal de contrôle que pour les données) et tous les utilisateurs ont les mêmes droits sur le serveurs (uid ftp, group ftp). | ||
====== Mise en place ====== | ====== Mise en place ====== | ||
Pour la mise en place d'un serveur '' | Pour la mise en place d'un serveur '' | ||
- | Le choix de '' | + | Le choix de '' |
On commence par installer les paquets nécessaires (la doc à consulter dans ''/ | On commence par installer les paquets nécessaires (la doc à consulter dans ''/ | ||
- | apt-get install proftpd | + | |
On crée un utilisateur système " | On crée un utilisateur système " | ||
useradd --system --home-dir /srv/ftp --no-create-home --shell / | useradd --system --home-dir /srv/ftp --no-create-home --shell / | ||
Si l' | Si l' | ||
- | | + | |
- | qui doit renvoyer : | + | getent group ftp |
- | | + | qui doivent |
+ | ftp: | ||
+ | ftp:x:999: | ||
Sinon, on adapte avec : | Sinon, on adapte avec : | ||
groupadd --system ftp | groupadd --system ftp | ||
Ligne 58: | Ligne 61: | ||
On note ensuite l'uid et le gid de ftp : | On note ensuite l'uid et le gid de ftp : | ||
id ftp | id ftp | ||
+ | Dans notre cas, on a : '' | ||
- | On décommente dans ''/ | + | On modifie le fichier |
- | Include / | + | <file apache "/ |
- | Include / | + | ### Lignes à décommenter |
- | on change la ligne adapté pour avoir : | + | Include / |
- | DisplayLogin | + | Include / |
- | et on ajoute | + | |
- | AuthOrder mod_ldap.c | + | ### Ligne à modifier |
- | DefaultRoot /srv/ftp | + | DisplayLogin |
+ | |||
+ | ### Lignes à ajouter | ||
+ | # Autoriser uniquement les connexions depuis le LDAP | ||
+ | AuthOrder mod_ldap.c | ||
+ | # Chroot des utilisateurs dans /srv/ftp | ||
+ | DefaultRoot /srv/ftp | ||
+ | </ | ||
On crée ''/ | On crée ''/ | ||
Ligne 79: | Ligne 90: | ||
------- | ------- | ||
- | |||
En cas de questions, contacter admin@federez.net | En cas de questions, contacter admin@federez.net | ||
- | |||
</ | </ | ||
- | |||
- | Ainsi seuls les utilisateurs ayant un compte dans le LDAP pourront utiliser le FTP. | ||
On décommente dans ''/ | On décommente dans ''/ | ||
+ | <file apache "/ | ||
LoadModule mod_ldap.c | LoadModule mod_ldap.c | ||
+ | </ | ||
On modifie ''/ | On modifie ''/ | ||
Ligne 103: | Ligne 112: | ||
</ | </ | ||
</ | </ | ||
+ | Toutes les autres lignes devraient être commentées. | ||
- | On restreint les permissions sur ''/ | + | On restreint les permissions sur ''/ |
chmod o-r / | chmod o-r / | ||
Ligne 122: | Ligne 132: | ||
</ | </ | ||
</ | </ | ||
+ | Toutes les autres lignes devraient être commentées. | ||
- | Si rien ne marche, on pourra ajouter à ''/ | + | On configure ensuite les accès aux fichiers en créant le fichier ''/ |
+ | <file apache / | ||
+ | < | ||
+ | <Limit READ WRITE DIR> | ||
+ | DenyAll | ||
+ | </ | ||
+ | </ | ||
+ | < | ||
+ | <Limit READ DIR> | ||
+ | AllowAll | ||
+ | </ | ||
+ | <Limit WRITE> | ||
+ | AllowGroup sudoldap | ||
+ | # | ||
+ | DenyAll | ||
+ | </ | ||
+ | </ | ||
+ | < | ||
+ | <Limit WRITE> | ||
+ | AllowAll | ||
+ | </ | ||
+ | </ | ||
+ | </ | ||
+ | |||
+ | Enfin, on relance le service : | ||
+ | systemctl restart proftpd.service | ||
+ | En cas de soucis, on pourra ajouter à ''/ | ||
<file apache> | <file apache> | ||
- | Trace ldap:20 | + | Trace ldap:10 # niveau entre 0 et 10 |
Trace *:10 | Trace *:10 | ||
</ | </ | ||
- | + | On s' | |
- | On relance le service | + | <file apache / |
- | systemctl restart | + | / |
- | + | / | |
+ | { | ||
+ | weekly | ||
+ | missingok | ||
+ | rotate 7 | ||
+ | compress | ||
+ | delaycompress | ||
+ | notifempty | ||
+ | create 640 root adm | ||
+ | sharedscripts | ||
+ | postrotate | ||
+ | # reload could be not sufficient for all logs, a restart is safer | ||
+ | invoke-rc.d proftpd restart 2>/ | ||
+ | endscript | ||
+ | } | ||
+ | </ |
admin/services/ftp.1459983407.txt.gz · Dernière modification : 2016/04/07 00:56 de david