Re: ftp sécurisé

To: <debian-user-french@lists.debian.org>
Subject: Re: ftp sécurisé
From: "P][ 233 <pii233@free.fr>]"@murphy.debian.org
Date: Tue, 18 Feb 2003 14:16:39 +0100
Message-id: <[🔎] 326415407.980438531.18022003.141640@smtp.noos.fr>
In-reply-to: <[🔎] 936972483.320108936.17022003.130403@smtp.noos.fr>

Hello,

après pas mal de recherches et d'expérimentations...

Le Mon, 17 Feb 2003 13:04:02 +0100, P][ 233 ]"@murphy.debian.org écrivait :
>Le Mon, 17 Feb 2003 07:36:02 +0100, Alain Tesio écrivait :
>>On Sat, 15 Feb 2003 19:15:39 +0100 (CET)
>>Autorises uniquement les connections depuis localhost et demandes aux
>>utilisateurs d'utiliser un tunnel ssh ?
>je ne suis pas sûr de comprendre exactement ce que tu veux dire.
>Tu parles peut-être de port forwarding comme j'essaye de faire, vu
>que je n'ai rien trouvé d'autre, pour créer un canal de transport ssl'isé
>dans lequel transite du ftp.
>C'est peut-être évident ou idiot ce que je raconte, mais je voudrais
>bien comprendre :)
On ne peut pas créer sur le serveur de tels ports avec ssh. C'est le
client qui décide. Il se logge sur la machine distante et forwarde un
port de la machine sur laquelle il vient de se logger vers un port
sur la machine depuis laquelle il se logge au travers de sa connection
ssh. Du coup, le transfert est crypté.
Le client doit donc avoir un compte sur la machine et doit se logger
avant de pouvoir se connecter au port forwardé.
Deux bonnes raisons pour penser que ça ne répond pas à mon besoin.

>Visiblement, je merde sur toute la ligne.
probablement.
Même le package stunnel indique qu'il ne peut pas être
utilisé avec ftp, probablement à cause de la négociation des ports.
Il reste encore un peu de boulot pour comprendre pourquoi.
Probablement que le forçage du numéro des ports en mode passif
n'est pas ce que je croyais, et qu'une fois établie sur un port
passif, la connexion change une nouvelle fois de port.
Ça permet de libérer la socket de service (21) pour se connecter
à une socket de service de data (ex: 2001-2101) puis celle-ci va
être accept()'ée et donc un nouveau changement de port, pas du
tout interceptable ni prévisible.
C'est ça le principe ?

Du coup, la solution, c'est proftpd avec mod_tls : finalement ça existe
un serveur ftp évolué avec liaisons cryptées.
Reste à savoir si les clients classiques arrivent à gérer ça (enfin, classiques,
je pense à smartftp sous windows, c'est pas vraiment classique).

P][ 233

Reply to:

References:
- Re: ftp sécurisé
  - From: "P][ 233 <pii233@free.fr>]"@murphy.debian.org

Prev by Date: Re: De l'intétêt de monter /usr en read-only
Next by Date: Re: De l'intétêt de monter /usr en read-only
Previous by thread: Re: ftp sécurisé
Next by thread: install woody sur powermac 4400
Index(es):
- Date
- Thread