Stations de travail en ligne OnWorks Linux et Windows

Logo

Hébergement gratuit en ligne pour les postes de travail

<Précédent | Table des matières | Suivant>

1.4. Sécurisation du FTP


Il y a des options dans /etc/vsftpd.conf pour aider à rendre vsftpd plus sécurisé. Par exemple, les utilisateurs peuvent être limités à leurs répertoires personnels en décommentant :


chroot_local_user=OUI


Vous pouvez également limiter une liste spécifique d'utilisateurs à leurs répertoires personnels :


chroot_list_enable=OUI chroot_list_file=/etc/vsftpd.chroot_list


Après avoir décommenté les options ci-dessus, créez un /etc/vsftpd.chroot_list contenant une liste d'utilisateurs un par ligne. Redémarrez ensuite vsftpd :


sudo systemctl redémarrer vsftpd.service


Également /etc/ftpusers fichier est une liste d'utilisateurs qui sont refusée Accès FTP. La liste par défaut comprend root, démon, personne, etc. Pour désactiver l'accès FTP pour d'autres utilisateurs, ajoutez-les simplement à la liste.


FTP peut également être crypté en utilisant FTPS. Différent de SFTP, FTPS est FTP sur Secure Socket Layer (SSL). SFTP est une session de type FTP sur un SSH lien. Une différence majeure est que les utilisateurs de SFTP doivent avoir un coquille compte sur le système, au lieu d'un pas de connexion coquille. Fournir à tous les utilisateurs un shell peut ne pas être idéal pour certains environnements, tels qu'un hôte Web partagé. Cependant, il est possible de restreindre ces comptes à SFTP uniquement et de désactiver l'interaction avec le shell. Consultez la section sur OpenSSH-Server pour en savoir plus.


Configurer FTPS, Éditer /etc/vsftpd.conf et en bas ajouter :


ssl_enable=Oui


Notez également les options liées au certificat et à la clé :


rsa_cert_file=/etc/ssl/certs/ssl-cert-snakeoil.pem rsa_private_key_file=/etc/ssl/private/ssl-cert-snakeoil.key


Par défaut, ces options sont définies sur le certificat et la clé fournis par le package ssl-cert. Dans un environnement de production, ils doivent être remplacés par un certificat et une clé générés pour l'hôte spécifique. Pour plus d'informations sur les certificats, voir Section 5, « Certificats » [p. 198].


Maintenant, redémarrez vsftpd, et les utilisateurs non anonymes seront obligés d'utiliser FTPS:


sudo systemctl redémarrer vsftpd.service


Pour permettre aux utilisateurs avec un shell de /usr/sbin/nologin accès au FTP, mais n'ont pas d'accès shell, modifiez / etc / shells

ajouter le pas de connexion shell:


# /etc/shells : shells de connexion valides

/bin/csh

/ Bin / sh

/usr/bin/es

/usr/bin/ksh

/bin/ksh

/usr/bin/rc

/usr/bin/tcsh

/ bin / tcsh

/usr/bin/esh

/bin/tiret

/ bin / bash



/bin/rbash

/usr/bin/écran

/usr/sbin/nologin


Ceci est nécessaire car, par défaut, vsftpd utilise PAM pour l'authentification, et le /etc/pam.d/vsftpd

le fichier de configuration contient :


authentification requise pam_shells.so


La coquilles Le module PAM restreint l'accès aux shells répertoriés dans le / etc / shells fichier.


Les clients FTP les plus courants peuvent être configurés pour se connecter à l'aide de FTPS. Le client FTP en ligne de commande lftp a également la possibilité d'utiliser FTPS.


  

 

<Précédent | Table des matières | Suivant>

  

Meilleur système d'exploitation Cloud Computing chez OnWorks :