L'internet rapide et permanent

Outils pour utilisateurs

Outils du site

Vous êtes ici : L'internet rapide et permanent » Les protocoles applicatifs » FTP » Jouons avec Pure-ftpd » Installation de base

Différences

Ci-dessous, les différences entre deux révisions de la page.

Lien vers cette vue comparative

Les deux révisions précédentesRévision précédente
Prochaine révision		Révision précédente
090_applicatifs:205ftp:900pureftpd:10_installation [le 16/02/2025 à 14:36] – supprimée - modification externe (Date inconnue) 127.0.0.1090_applicatifs:205ftp:900pureftpd:10_installation [le 24/03/2025 à 16:28] (Version actuelle) – ↷ Liens modifiés en raison d'un déplacement. prof
Ligne 1: Ligne 1:
 +====== Installation de base ======
 +Jouons un peu avec ce serveur FTP. Ce sera l'occasion de voir plus en détails les commandes du protocole. Pour les besoins de cette manipulation, une machine virtuelle fera l'affaire. Lorsque nous aurons fait le tour du problème, nous pourrons placer notre serveur où ce sera le plus judicieux.
  
 +L'hôte virtuel a pour adresse IP 192.168.10.76 et fonctionne avec une Debian squeeze. Pour tout dire, il s'agit d'un DomU Xen, hébergé sur Une Debian squeeze « xénifiée ».
 +
 +Ce réseau est accessible par le réseau 192.168.0.0/24 où se trouve le poste de travail (Ubuntu 10.10, en attendant de passer à [[http://archlinux.org|Arch Linux]]).
 +
 +Il n'y a pas ici de NAT, ni d'un côté ni de l'autre, il y a juste un tunnel ''OpenVpn'' entre les deux réseaux IP, si vous voulez tout savoir.
 +
 +Voici la vraie installation :
 +{{ 090_applicatifs:205ftp:topo-vraie.png?720 |Topologie réelle}}
 +Mais qui fonctionnellement peut se résumer ainsi :
 +{{ 090_applicatifs:205ftp:topo-simple.png?360 |Topologie simplifiée}}
 +Nous avons donc fonctionnellement deux réseaux IP ''192.168.10.0/24'' et ''192.168.0.0/24'' simplement routés entre eux. Le tunnel peut être omis, mais si nous voulons le détail d'un tcptraceroute :
 +<code>
 +Tracing the path to 192.168.10.76 on TCP port 21 (ftp), 30 hops max
 +  192.168.0.254  0.168 ms  0.143 ms  0.185 ms
 +  192.168.25.3  47.686 ms  46.795 ms  46.018 ms
 +  192.168.10.76 [open]  45.906 ms  47.400 ms  50.886 ms
 +</code>
 +
 +===== Installation =====
 +C'est simple :
 +  aptitude install pure-ftpd
 +Qui installe aussi ''pure-ftpd-common''. Il y a d'autres versions de ce serveur :
 +<code>
 +# aptitude search pure-ftpd
 +p   mysqmail-pure-ftpd-logger      - real-time logging system in MySQL - Pure-FTPd traffic-logger                    
 +i   pure-ftpd                      - Secure and efficient FTP server                                                 
 +i A pure-ftpd-common               - Pure-FTPd FTP server (Common Files)                                             
 +p   pure-ftpd-ldap                 - Secure and efficient FTP server with LDAP user authentication                   
 +p   pure-ftpd-mysql                - Secure and efficient FTP server with MySQL user authentication                  
 +p   pure-ftpd-postgresql           - Secure and efficient FTP server with PostgreSQL user authentication       
 +</code>
 +Nous n'allons pas monter une usine à gaz et les identifications des utilisateurs fournies par le paquet ''pure-ftpd'' nous suffisent largement. Les logs dans un simple fichier texte suffiront également.
 +
 +L'installation se termine par le démarrage du serveur en mode « standalone » avec la ligne de commande :
 +  Starting ftp server: Running: /usr/sbin/pure-ftpd -l pam -8 UTF-8 -E -O clf:/var/log/pure-ftpd/transfer.log -u 1000 -B 
 +==== Quelques mots à propos de pure-ftpd ====
 +Ce serveur, dans sa version « vanilla » n'est pas prévu pour s'appuyer sur un fichier de configuration. Cette dernière se fait par une liste d'arguments, ce qui explique cette ligne de commande un peu incantatoire. Le mainteneur du paquet Debian a toutefois jugé nécessaire, pour rester dans l'harmonie Debian, de créer un « wrapper » qui lit un tas de fichiers situés dans ''/etc/pure-ftpd/'' ainsi qu'un fichier ''/etc/default/pure-ftpd-common''. Ce « wrapper » ne fait que construire la ligne de commande nécessaire au démarrage de ''pure-ftpd''.
 +
 +Comme nous n'utiliserons pas ce serveur de façon intensive, nous le ferons fonctionner plutôt à travers le super-serveur ''inetd''. Pour cette raison, nous ne nous intéresserons pas plus que ça à la particularité Debian.
 +
 +Analysons tout de même la ligne de commande construite par défaut lors de l'installation :
 +  *''-l pam'' indique que l'authentification des utilisateurs se fait à travers PAM. Peut-être choisirons-nous quelque chose de plus simple ;
 +  *''-8 UTF-8'' n'est pas documentée mais elle semble vouloir indiquer que l'on souhaite utiliser UTF-8 ;
 +  *''-E'' interdit les connexions anonymes ;
 +  *''-O clf:/var/log/pure-ftpd/transfer.log'' permet d'indiquer où et avec quel format le serveur va consigner les transferts de fichiers effectués. Ici, dans un format similaire à celui d'Apache ;
 +  *''-u 1000'' interdit aux utilisateurs dont ''l'uid'' est inférieure à 1000 de se connecter au serveur, autrement dit, les comptes « système » ;
 +  *''-B'' démarre le serveur en tâche de fond (sera inutile pour nous).
 +Pure-ftpd propose plusieurs méthodes d'identification des utilisateurs. PAM en est une, mais si nous souhaitons isoler les comptes FTP des comptes locaux, mieux vaut utiliser une logique d'utilisateurs virtuels. Sans aller jusqu'à une base SQL ou un annuaire LDAP, notre serveur propose une méthode « maison », gérée avec un outil ''pure-pw'' que nous utiliserons.
 +
 +Apriori, nous ne souhaitons pas créer de zone publique (connexions anonymes).
 +
 +Il pourra être nécessaire d'étudier quelques techniques pour préserver cette pauvre bande passante : Nombre limité de connexions simultanées, nombre limité d'utilisateurs simultanés, limitation du débit des transferts...
 +
 +Nous savons que par défaut FTP laisse passer en clair les identifiants des utilisateurs. Peut-être faudra-t-il envisager de mettre en œuvre TLS.
 +
 +Nous mettrons en place un filtrage de paquets (Netfilter) sur le serveur virtuel, il faudra l'adapter pour que FTP fonctionne correctement.
 +==== Mode opératoire ====
 +Dans un premier temps, nous allons désactiver le démarrage en mode « daemonized ». Pour les essais, nous ferons démarrer le serveur dans un shell et lorsque nous aurons arrêté une configuration convenable, nous configurerons ''inetd'' pour qu'il prenne en charge notre serveur FTP.
 +===== Recherche d'une configuration =====
 +==== L'authentification ====
 +Le support des utilisateurs virtuels se fait par un fichier de structure assez similaire au ''/etc/passwd''. Il est maintenu par la commande ''pure-pw''.
 +
 +Comme ces utilisateurs sont virtuels, ils n'ont aucune existence sur le système. il est nécessaire de créer un compte système que le serveur pourra emprunter pour effectuer les opérations de lecture et d'écriture pour le compte de ces utilisateurs virtuels. Un seul compte utilisateur suffit, si l'on veut rester simple, chaque utilisateur virtuel disposant de son propre espace, dans lequel il est emprisonné (chroot).
 +=== Préparation du système ===
 +Commençons par arrêter le serveur « standalone » :
 +  # /etc/init.d/pure-ftpd stop
 +Puis modifions ''/etc/default/pure-ftpd-common'' comme suit :
 +  STANDALONE_OR_INETD=inetd
 +De cette manière, le script ''init'' ne cherchera plus à démarrer ''pure-ftpd'' comme un service.
 +
 +Nous allons maintenant créer un groupe ''ftpgroup'' :
 +  # groupadd ftpgroup
 + Nous créons un utilisateur ''ftpuser'' qui appartient à ce groupe, qui n'a pas de répertoire par défaut, qui n'a pas de shell et qui n'a pas non plus de mot de passe :
 +  # useradd -g ftpgroup -d /dev/null -s /bin/false ftpuser
 +Nous créons un répertoire qui contiendra les répertoires des utilisateurs virtuels :
 +  # mkdir /home/ftpusers
 +=== Création d'un compte virtuel ===
 +Avec la commande ''pure-pw'' créons un compte ''test'' :
 +  # pure-pw useradd test -u ftpuser -d /home/ftpusers/test
 +Cette commande nécessitera d'entrer un mot de passe pour notre utilisateur ''test''. Nous pouvons vérifier :
 +<html><pre class="code">
 +# pure-pw show test
 +
 +Login              : test
 +<span class="hly">Password           : $1$GrGl3h50$VHP8e646FLXfk7qUUnA7G1
 +UID                : 1001 (ftpuser)
 +GID                : 1001 (ftpgroup)
 +Directory          : /home/ftpusers/test/./</span>
 +Full name          : 
 +Download bandwidth : 0 Kb (unlimited)
 +Upload   bandwidth : 0 Kb (unlimited)
 +Max files          : 0 (unlimited)
 +Max size           : 0 Mb (unlimited)
 +Ratio              : 0:0 (unlimited:unlimited)
 +Allowed local  IPs : 
 +Denied  local  IPs : 
 +Allowed client IPs : 
 +Denied  client IPs : 
 +Time restrictions  : 0000-0000 (unlimited)
 +Max sim sessions   : 0 (unlimited)
 +</pre></html>
 +Tout ceci laisse entendre qu'il est possible de configurer finement chaque compte virtuel. Il sera intéressant de lire le manuel de ''pure-pw''...
 +Le mot de passe est chiffré, mieux vaut donc ne pas l'oublier, ou alors il faudra en générer un nouveau (''pure-pw'' permet de le faire); cet utilisateur empruntera bien le compte système ''ftpuser'' pour ses opérations de lecture/écriture, son répertoire de base sera bien ''/home/ftpusers/'', le ''./'' qui suit signifie qu'il sera prisonnier de son répertoire, ce que nous ne manquerons pas de vérifier.
 +
 +Ce n'est pas tout. ''Pure-pw'' a créé (par défaut) un fichier ''/etc/pure-ftpd/pureftpd.passwd'', mais ''pure-ftpd'' n'utilisara pas directement ce fichier pour l'authentification. Pour des raisons de rapidité, il faut créer un fichier formaté spécialement, toujours avec la commande ''pure-pw'' :
 +  # pure-pw mkdb
 +qui crée, toujours par défaut, un fichier ''/etc/pure-ftpd/pureftpd.pdb''.
 +=== Premier test ===
 +Nous démarrons le serveur avec les options suivantes :
 +  # pure-ftpd -j -l puredb:/etc/pure-ftpd/pureftpd.pdb
 +
 +  * ''-j'' fera que le répertoire de l'utilisateur sera automatiquement créé s'il n'existe pas déjà ;
 +  * ''-l'' indique le mode d'authentification (puredb) et le fichier à consulter.
 +
 +Nous pouvons dans une autre console, observer deux choses :
 +  # ps aux | grep pure
 +  root     23658  0.0  0.3  24888  1668 pts/0    S+   18:44   0:00 pure-ftpd (SERVER) 
 +  
 +et :
 +  # netstat -laputen | grep pure
 +  tcp        0 0.0.0.0:21    0.0.0.0:      LISTEN      0          71232       23658/pure-ftpd (SE
 +  tcp6    0    0 :::21         :::           LISTEN      0          71234       23658/pure-ftpd (SE
 +Nous avons un serveur qui tourne (c'est tant mieux), sous l'identité ''root'' (oups ?) et qu'il écoute sur toutes les interfaces, aussi bien en IPv4 qu'en IPv6.
 +
 +Avec notre ''FileZilla'' nous nous connections au serveur 192.168.10.76 avec comme identifiant ''test'' et son mot de passe et nous voyons dans le liste du haut :
 +<html><pre class="code">
 +Statut : Connexion à 192.168.10.76:21...
 +Statut : Connexion établie, attente du message d'accueil...
 +Réponse : 220---------- Welcome to Pure-FTPd [privsep] [TLS] ----------
 +Réponse : 220-You are user number 1 of 50 allowed.
 +Réponse : 220-Local time is now 18:30. Server port: 21.
 +Réponse : 220-IPv6 connections are also welcome on this server.
 +Réponse : 220 You will be disconnected after 15 minutes of inactivity.
 +Commande : USER test
 +Réponse : 331 User test OK. Password required
 +Commande : PASS ********
 +Réponse : 230-User test has group access to:  ftpgroup  
 +Réponse : 230 OK. Current directory is /
 +Commande : OPTS UTF8 ON
 +Réponse : 200 OK, UTF-8 enabled
 +Statut : Connecté
 +Statut : Récupération du contenu du dossier...
 +Commande : PWD
 +Réponse : 257 "/" is your current location
 +Statut : Succès de la lecture du contenu du dossier
 +</pre></html>
 +Tout s'est bien passé. Sur le serveur, le dossier a été créé (par ftpuser) :
 +  # ls -l /home/ftpusers/
 +  total 4
 +  drwxr-xr-x 2 ftpuser ftpgroup 4096  1 janv. 18:30 test
 +Si nous essayons de remonter dans l'arborescence (''..''), nous avons :
 +<html><pre class="code">
 +Statut : Récupération du contenu du dossier...
 +Commande : CDUP
 +Réponse : 250 OK. Current directory is /
 +Commande : PWD
 +Réponse : 257 "/" is your current location
 +Statut : Succès de la lecture du contenu du dossier
 +</pre></html>
 +''CDUP'' (Change Directory UP) pour aller vers le répertoire parent a bien été exécutée, mais ''test'' est resté prisonnier de son répertoire.
 +
 +Tant que notre client est connecté, revoyons un peu :
 +  # ps aux | grep pure
 +  root     23658  0.0  0.3  24888  1672 pts/0    S+   18:44   0:00 pure-ftpd (SERVER)                                
 +  ftpuser  23666  0.0  0.2  37540  1480 pts/0    S+   18:49   0:00 pure-ftpd (IDLE)                                  
 +  root     23667  0.0  0.1  37512  1000 pts/0    S+   18:49   0:00 pure-ftpd (PRIV)
 +et :
 +  # netstat -laputen | grep pure
 +  tcp       0 0.0.0.0:21           0.0.0.0:              LISTEN      0    71232     23658/pure-ftpd (SE
 +  tcp       0 192.168.10.76:21     192.168.0.16:34924      ESTABLISHED 0    71309     23666/pure-ftpd (ID
 +  tcp6    0   0 :::21                :::*                    LISTEN      0    71234     23658/pure-ftpd (SE
 +Nous avons un nouveau service qui tourne sous l'identité ''ftpuser'', en mode ''IDLE'' parce que nous ne faisons rien de particulier en ce moment et un troisième service (PRIV).
 +
 +Le service ''IDLE'' a bien établi une connexion en IPv4 entre le client (192.168.0.16:34924) et le serveur (192.168.10.76:21). Autrement dit, les échanges entre client et serveur vont se faire sous l'identité ''ftpuser'' (ouf !).
 +
 +Tout ceci est plutôt encourageant.
Installation de base: Dernière modification le: 01/01/1970 à 00:00 par