Re: ftp-upload avec ftps ?
Le mercredi 06 septembre 2017 à 19:29 +0200, Pierre L. a écrit :
> Salut,
>
> Le 06/09/2017 à 16:44, Thierry Bugier a écrit :
> > SFTP est pour l'envoi de fichier par serveur SSH, FTPS est pour
> > l'envoi
> > de fichiers avec un serveur FTP prenant en charge SSL/TLS. FTP(S)
> > requiert l'ouverture d'au moins 2 ports: 22 pour le canal de
> > commandes
> > et 1 port ou une plage de ports pour le transfert de fichiers.
>
> FTPS, oui c'est le transfert entre un client FTP et un serveur FTP.
> Le S
> pour la version sécurisée par chiffrement
> Port 21 selon la convention, mais on peut le changer. C'est par ici
> que
> le client viendra "causer" au serveur.
> Puis le serveur proposera une fourchette de port (passif) pour le
> transfert de fichiers.
>
> > Il faut aussi configurer le mode passif ou actif sur les
> > passerelles du client,
> > et du serveur...
>
> Uniquement du coté serveur. Le client reçoit automatiquement les
> infos à
> propos des ports passifs à utiliser ;)
> Parfois dans un client graphique comme Filezilla, c'est mieux de lui
> annoncer qu'il s'agit d'un serveur explicit (avec ports passifs).
>
> > Bref, un vrai bazar, sans compter que la transmission des
> > identifiants peut encore se faire en clair avant le basculement en
> > mode chiffré.
>
> A mon avis c'est l'inverse. Il y a échange de clés dans un premier,
> rendant la connexion chiffrée, et une fois que le client a accepté,
> hop
> le client envoie l'identifiant + pass au serveur, le tout entant
> chiffré.
Et si on est en mode SSL explicite c'est au client de réclamer un
basculement en SSL. du coup si le client ne la réclame pas et envoie
des identifiants, ils seront envoyés en clair. Même si le serveur les
rejette car la communication n'est pas chiffrée, des identifiant
(potentiellement VALIDES) auront transité en clair.
Comme on n'a pas forcément la main sur la configuration des clients,
c'est très dangereux, et ceux qui ne maîtrisent pas assez bien le sujet
auront vite fait de se mettre en péril.
>
> > Du coup j'ai estimé il y a pas mal d'années que FTP est un
> > protocole
> > obsolète et quelques lectures que j'ai pu avoir vont dans ce sens.
> > SFTP
> > est bien plus facile à mettre en oeuvre et est plus sûr.
>
> Le FTP c'est vieux comme les rues,
> c'est dans les vieux pots.... ;)
Je ne dis pas le contraire, mais ssh est si facile à mettre en oeuvre
et sans risque majeur d'erreur !
apt install openssh-server et hop ! (après les paranos iront désactiver
le port forwarding et autres joyeusetés)
> Et en plus si c'est chiffré comme il faut, c'est pénard ;)
> Petit bouquinage rapide du soir : https://fr.wikipedia.org/wiki/FTPS
>
> Je pense ne pas avoir raconté de bêtises, si un "sage" peut confirmer
> ;)
>
Reply to: