Re: ftp-upload avec ftps ?
Le mercredi 06 septembre 2017 à 23:12 +0200, Pierre L. a écrit :
> Le 06/09/2017 à 22:06, Thierry Bugier a écrit :
> > Et si on est en mode SSL explicite c'est au client de réclamer un
> > basculement en SSL. du coup si le client ne la réclame pas et
> > envoie
> > des identifiants, ils seront envoyés en clair. Même si le serveur
> > les
> > rejette car la communication n'est pas chiffrée, des identifiant
> > (potentiellement VALIDES) auront transité en clair.
>
> Il apparaît pourtant possible de configurer le serveur FTP pour qu'il
> rejette systématiquement les connexions non chiffrées...
> Le login/pass et tout le reste passera en chiffré automatiquement,
> sur
> la demande du serveur. Je pense qu'il s'agit de la config par défaut
> ?
> Chez proftpd (désolé pour l'anglais :s)
> http://www.proftpd.org/docs/howto/TLS.html :
>
> Question: Does FTPS protect both the control connection *and* the
> data
> connections?
> Question: Short answer: yes.
>
> The long answer is, of course, that it depends. In the case of
> > mod_tls|, it depends on your |TLSRequired| setting. If you use:
>
> TLSRequired on
>
> then you are configuring |mod_tls| to *require* SSL/TLS protection
> for
> both control connections (/e.g./ protecting the username and password
> used to log in) /and/ data connections. If you have:
>
> TLSRequired off
>
> then it is up to the FTPS client whether both control and data
> connections will be protected via SSL/TLS. Other |TLSRequired|
> settings
> can be used to specify specific combinations: data connections only,
> control connections only, authentication plus data data connections
> only, /etc/. The |TLSRequired| documentation
> <http://www.proftpd.org/contrib/mod_tls.html#TLSRequired> has the
> details.
> (dommage, erreur 404 pour le lien vers la doc°)
>
> > Je ne dis pas le contraire, mais ssh est si facile à mettre en
> > oeuvre
> > et sans risque majeur d'erreur !
> >
> > apt install openssh-server et hop ! (après les paranos iront
> > désactiver
> > le port forwarding et autres joyeusetés)
>
> Justement j'essaie de temps en temps à heure perdue de comprendre
> comment ces histoires d’échanges de clés entre serveurs fonctionnent,
> j'ai rien capté ! Je pense utiliser rsync via SSH, avec tâches cron
> derrière qui gèrent l'automatisme du truc... Où trouver ces clés, où
> les
> installer pour que ca fonctionne sans les mots de passe, comment bien
> configurer le serveur ssh (et les clients) pour un max de sécurité
> (virer "root" me parait la base car j'aime pas beaucoup savoir que
> mon
> serveur pourra être administrable par n'importe qui via internet,
> éviter
> que les autres comptes utilisateurs puissent fouiner dans tout le
> système... etc...). Mais là c'est un autre sujet ;))) (apparemment
> assez touffu !)
>
Bonjour
La versions stable actuelle de debian désactive par défaut le compte
root. Même si on si on met les bons identifiants, la phase
d'authentification échouera (paramètre PermitRootLogin). Par contre il
doit être possible de s'authentifier avec une clé.
J'ai quelques notes à propos de la génération d'une paire de clés et
l'installation de la clé publique sur un serveur.
https://howto-it.dethegeek.eu.org/index.php?title=Authentification_ssh_
sans_mot_de_passe
J'ai aussi repris un billet de blog intéressant sur la sécurisation de
ssh
https://howto-it.dethegeek.eu.org/index.php?title=Openssh_-_Restreindre
_les_fonctionnalit%C3%A9s_de_tunnel
et j'ai une brève note / brouillon sur quelques configurations de
sécurité
https://howto-it.dethegeek.eu.org/index.php?title=S%C3%A9curiser_linux
Reply to: