Installer et configurer un serveur FTPS

Ce guide vous montre comment installer, configurer et utiliser un serveur FTP de manière sécurisée.

• Protocole FTP
  • Mode actif
  • Mode Passif
• Configuration de la machine virtuelle (VM)
  • Problèmes avec le NAT
  • Sur la VM
• Côté client
• Sécuriser le protocole
  • SFTP ? FTPS ?
  • Configurer FTPS

Protocole FTP #

• Le protocole FTP permet de copier des fichiers sur une machine distante ;
• Il peut s’utiliser de deux façons différentes :
  • mode passif,
  • mode actif ;
• Il opère sur deux ports :
  • un port pour établir la connexion (port control, port 21),
  • un port pour transférer les données (port data, port 20).

Mode actif

En mode actif, c’est le client FTP qui détermine le port à utiliser pour permettre le transfert des données. Ainsi, pour que l’échange des données puisse se faire, le serveur FTP initialisera la connexion de son port de données (port 20) vers le port spécifié par le client. Le client devra alors configurer son pare-feu pour autoriser les nouvelles connexions entrantes afin que l’échange des données se fasse. (Source)

Mode Passif

En mode passif, le serveur FTP détermine lui-même le port de connexion à utiliser pour permettre le transfert des données (data connexion) et le communique au client. La plage de port est variable de 1024 à 65535. En cas de présence d’un pare-feu devant le serveur, celui-ci devra être configuré pour autoriser la connexion de données. L’avantage de ce mode est que le serveur FTP n’initialise aucune connexion. Ce mode fonctionne sans problème avec des clients derrière une passerelle NAT. Dans les nouvelles implémentations, le client initialise et communique directement par le port 21 du serveur ; cela permet de simplifier les configurations des pare-feu serveur. (Source)

Configuration de la machine virtuelle (VM) #

Problèmes avec le NAT

La configuration réseau Network Address Translation (NAT) n’est pas la plus adaptée avec les VMs. En effet :

• En mode actif, le client se connecte au serveur sur le port 21 pour envoyer des commandes (ls, put, get, etc.). Quand le serveur doit transférer des données (liste de fichiers, upload/download), il ouvre une connexion vers le client sur un port aléatoire que le client a annoncé. Problèmes :
  • Un NAT change l’adresse IP locale du client en adresse publique pour sortir sur Internet,
  • Quand le serveur FTP en mode actif essaye de se connecter vers l’adresse IP publique du client pour envoyer les données :
    • Le NAT doit savoir sur quel ordinateur local rediriger la connexion,
    • Si la passerelle NAT n’a pas créé la correspondance (table d’état), elle ignore le paquet. C’est ce qui nous arrive ici !
• En mode passif, le serveur ne se connecte pas au client :
  • Le serveur ouvre un port lui-même (dans une plage passive, ex. 30000-30100) et dit au client de l’utiliser ;
  • Le client initie la connexion ;
  • Problème : il faut publier toute la plage de ports ! (Problème surmontable tout de même : restreindre la plage, écrire un script pour publier les ports)

Sur la VM

1. Configurer l’interface réseau de la VM en Accès par Pont (Bridge Mode). La VM obtient une IP directement via le DHCP du réseau local et se comporte alors comme n’importe quelle machine sur le réseau local ,

On peut ajouter une seconde interface réseau NAT au besoin, avec redirection de ports pour garder des configurations précédentes, mais ce n’est pas nécessaire.

2. Inspecter les interfaces réseaux :

ip addr show

et noter l’adresse IP.

3. Installer le serveur ftp vsftpd :

sudo apt install vsftpd

4. Configurer le serveur ftp en mode passif :

# Bonne habitude à prendre : faire un backup du fichier original de config !
# Le remettre en place en cas de pb : sudo cp /etc/vsftpd.conf_bk /etc/vsftpd.conf
sudo cp /etc/vsftpd.conf /etc/vsftpd.conf_bk
sudo vim /etc/vsftpd.conf

Configurer le serveur FTP avec les paramètres suivants (man vsftpd) :

#adresse IPv4 du serveur (renseigner la votre)
pasv_address=X.X.X.X

listen=YES
listen_ipv6=NO
pasv_enable=YES
pasv_min_port=50000
pasv_max_port=50000
anonymous_enable=NO
local_enable=YES
write_enable=YES
chroot_local_user=YES
xferlog_enable=YES
log_ftp_protocol=YES
allow_writeable_chroot=YES

Consulter la documentation de la configuration pour en apprendre plus sur chacune de ces options

1. (Re)lancer le service pour appliquer la nouvelle configuration :

sudo systemctl restart vsftpd
sudo systemctl status vsftpd

Pour debug en cas d’erreurs, lancer le serveur ftp en standalone (et non sous forme de service géré par systemd) : sudo /usr/sbin/vsftp /etc/vsftp.conf. Vous verrez les erreurs s’afficher sur stdout. Si rien ne s’affiche, c’est que la configuration est correcte.

Côté client #

1. (Re)configurer SSH si nécessaire. Modifier votre .ssh/config :
   1. Renseigner l’adresse IP du serveur FTP (donnée par le serveur DHCP du réseau local),
   2. Ne pas préciser de port (laisser le port par défaut).
2. Se connecter au serveur FTP, avec, par exemple, le client lftp:

sudo apt install lftp
IP=<ip de votre VM>
lftp -u paul,paul "ftp://$IP"
help

3. Copier un fichier avec put :

put /chemin/local/fichier.txt -o /chemin/distant/fichier.txt

4. Télécharger un fichier avec get :

get /chemin/distant/fichier.txt -o /chemin/local/fichier.txt

Scripter (exemple) :

#!/bin/bash

# Configuration
HOST="ftp.exemple.com"
USER="mon_utilisateur"
PASS="mon_motdepasse"
LOCAL_DIR="/chemin/local"
REMOTE_DIR="/chemin/distant"

# Commande lftp
lftp -f "
open $HOST
user $USER $PASS
lcd $LOCAL_DIR
cd $REMOTE_DIR
# Copier tous les fichiers .txt du dossier local vers le serveur
mput *.txt
bye
"

Sécuriser le protocole #

SFTP ? FTPS ?

• SFTP (SSH File Transfer Protocol) : Transfert de fichier sur protocole SSH (rien à voir avec le protocole FTP) ;
• FTPS (FTP over TLS/SSL) : FTP chiffré avec certificat TLS.

Le protocole FTP classique est à proscrire en production, car les mots de passe (et fichiers secrets) circulent en clair sur le réseau (comme une basic auth). Utiliser FTPS ou SFTP.

Mesures de sécurité importantes à prendre en compte :

• Désactiver les comptes anonymes ;
• Limiter les utilisateurs à leur répertoire (chroot) ;
• Utiliser des mots de passe forts ou clés SSH pour SFTP ;
• Ouvrir uniquement le port nécessaire dans le firewall (21 pour FTP, 990 pour FTPS). Nous y reviendrons quand on abordera le pare-feu ufw.

Configurer FTPS

1. Se créer un certificat SSL auto-signé avec openssl :

sudo openssl req -x509 -nodes -days 365 -newkey rsa:2048 -keyout /etc/ssl/private/vsftpd.key -out /etc/ssl/private/vsftpd.pem
sudo chmod 600 /etc/ssl/private/vsftpd.key

2. Configurer le serveur FTP pour utiliser le protocole TLS (toujours dans le fichier /etc/vsftpd.conf) :

# vsftpd.conf sécurisé

# IP de la VM (à renseigner)
pasv_address=X.X.X.X

listen=YES
anonymous_enable=NO
local_enable=YES
write_enable=YES
chroot_local_user=YES
allow_writeable_chroot=YES

# => TLS pour FTPS <=
ssl_enable=YES
force_local_data_ssl=YES
force_local_logins_ssl=YES
rsa_cert_file=/etc/ssl/private/vsftpd.pem
rsa_private_key_file=/etc/ssl/private/vsftpd.key

# Mode passif
pasv_enable=YES
pasv_min_port=30000
pasv_max_port=30100

3. Tester, côté client :

lftp -u "$USER","$PASSWORD" "ftp://$IP"
set ssl:verify-certificate no (car certificat auto-signé, lftp refuse par défaut)
ls

Vérifiez que vous êtes bien chrooté (impossible de sortir de votre home). Essayez avec Filezilla, logiciel open source FTP très commode (avec Connexion Explicite sur TLS si disponible).