[Ubuntu-QC] FTP et sécurité

Michael Faille michael.faille.1 at ens.etsmtl.ca
Jeu 8 Oct 07:35:20 BST 2009


Bonjours a tous,

@Gilbert Dion:

Pour toute config de server FTP, voici ce que je te conseille:
- Inetd ouvre les connection a la demande. Donc, ton processus ne sera pas
loader en memoir s'il n'eat pas utilisé. Utilise inetd pour une saine
gestion des connection tel que le contole de la concurence (xinetd: permet
plus de rigeur... mais n'est pas toujours necessaire, dans le cas ou inetd
fait ton affaire, car il est plus compliquer a configurer).
- l'utilisateur/group qui lance le démon FTP doit etre un autre que "root";
doit avoir un nom d'utilisateur/group qui représente le type de serveur ex:
nom:group ; protocole-server-:protocole-serverftp-server:ftp-server
- Sécurité des dossier: ce doit etre l'utilisateur qui démarre le server ftp
qui y a accès en lecture.
- La racine de ton server FTP doit etre la racine de l'endrois ou tu veux
que les clients FTP aillent accès.
- pour crypter les connexion: FTPs peu-etre utlilis si ton client le permet,
tant qu'a faire, il y a WEBDAV en https ou bien ssh qui sont bien supporter
par des client tel que filezilla...
- Bien sur, comme *Martin Gamache* a dit, changer le port FTP 21 pour un
autre qui n'est pas dans cette liste
http://en.wikipedia.org/wiki/List_of_TCP_and_UDP_port_numbers est efficase.
Mais n'oublie pas que c'est moins user friendly car tu dois adapter le port
sur le client.
- Il y a dautre chose que tu peu faire pour la sécurité d'un server FTP mais
pour des besoin maison, ce que je t'ai dit est suffisant.

note: Quand un utilisateur autre que route a le controle d'un démon tu dois
t'assurer qui a accès en ecriture a tous les endrois ou le démon doit avoir
accès sinon le serveur ftp ne partira pas.

@*Martin Gamache*: Par defaut, dans le cas des porte ouvertes sous windows,
le pire est causé par le upnp. Ce protocole discute avec le routeur pour
ouvrir des port entrant a la demande des logiciel qui l'utilise. Par defaut
c'est le cas dans windows XP. Seulement dans Vista et Seven, c'est port sont
débloqué a la demande de l'utilisateur par l'intermédiaire de "nag screen"
qui ce souvient de ton choix. Il y a une aure facon que windows 7 et vista
on pour protégé les réseaux mais encore la c'est tres mal utiliser dapres ce
que j'ai vue sur les pc de ceux que je connais. C'est quand on  choisi
qu'elle type de réseau on veu utilisé lorsqu'un nouveau ete détecté. Les
firewall sont ainsi configurer en conséquence. Ces choix sont : public,
privé, buisiness. Ceci-dit sa semble interessant, seulement je doute que le
commun des mortels ne les utilisent bien.

Dans le cas des licences, elles sont négocier que pour valider les clef au
moment nécéssaire. Dans ce cas, c'est le PC de l'usager qui initie la
connection donc aucun port en mode "listen" sont ouvert pour ça. C'est pas
plus dangereux que de naviguer sur le web dans des site plus ou moins
connues.

Comme j'aimes bien le dire, "un Windows bien configurer est plus sécuritaire
q'un *nix négliger."

---
Michael Faille


2009/10/8 Martin Gamache <martin.gamache at gmail.com>

> Je ne sais pas, mais par précaution, je change toujours le port d'un
> service pour lui donner un nombre non standard, du genre 51000.  Pour
> éviter de donner un port utilisé par autre chose, je consulte ceci :
>
> http://en.wikipedia.org/wiki/List_of_TCP_and_UDP_port_numbers
>
>
> Comme le port est non standard, les bots qui cherchent à exploiter les
> ouvertures ont la vie un peu plus difficile, du moins c'est que j'aime
> croire.  Peut-être que je me trompe.
>
> Cela dit, un ordi Ubuntu est comme une maison dont toutes les pièces ont
> une porte fermée à clé.  Une fois entré par la porte principale, ce
> n'est pas si facile de faire du trouble...  Dans Windows, en revanche,
> il y a des portes ouvertes, à ce que je sache, notamment parce MS veut
> pouvoir vérifier certaines choses dans votre PC (dont la légitimité de
> vos licenses...).
>
> Mais quelqu'un de plus qualifié pourra me corriger.
>
> Le jeudi 08 octobre 2009 à 00:54 -0400, Gilbert Dion a écrit :
> > Laisser le port 21 ouvert pour l'accès au serveur FTP présente-t-il du
> > danger pour la sécurité de mon système? Comme on peut le lire sur le
> > site de Gibson Research Corporation (grc.com - exécutez le programme
> > Shields Up! de ce site, qui vérifie les ports ouverts et les risques
> > qui y sont associés):
> >
> >
> > «FTP servers have many known security vulnerabilities and the payoff
> > from exploiting an insecure FTP server can be significant. This
> > system's open FTP port is inviting intruders to examine your system
> > more closely.»
> >
> >
> >
> > Mon Firewall (Firestarter) bloque toutes les connections entrantes
> > saut celle liée à FTP où tout le monde peut venir se servir. Mais
> > comme ceux qui exploitent ce genre d'ouverture s'en prennent
> > généralement à Windows, je suppose que je peux dormir tranquille? À
> > moins qu'il y ait des mesures à prendre pour Linux/Ubuntu itou?
> >
> >
> >
> > Gilbert
> >
>
>
> --
> Ubuntu-quebec mailing list
> Ubuntu-quebec at lists.ubuntu.com
> https://lists.ubuntu.com/mailman/listinfo/ubuntu-quebec
>
-------------- section suivante --------------
Une pièce jointe HTML a été nettoyée...
URL: https://lists.ubuntu.com/archives/ubuntu-quebec/attachments/20091008/20383c20/attachment-0001.htm 


Plus d'informations sur la liste de diffusion Ubuntu-quebec