Je reprends nos bouts de conversation de la shoutbox.

Mais tout d'abord la question:




Zion me propose IIS parce que je me suis moqué de lui.

Ovh dit vsftpd, que j'ai déjà essayé mais j'ai besoin de pouvoir créer des utilisateurs dans une table externe (sql ou ldap).


kortenberg et philfr disent que scp c'est mieux et je suis d'accord avec eux, mais je demande une solution en ftp et en ssl.

Le scp est la solution de secouer si on me file une bonne doc pour chrooter un utilisateur dans son répertoire $HOME. Et pas un truc où il faut recompiler et patcher.


Rude le Max. Hep, c'est vendredi thème cow-boy ! Yaaaaahoooo !

Si je ne m'abuse, TLSv1 +/- = à SSLv3 ... C'est quoi le problème alors?

C'est pas bon proftpd?

http://www.proftpd.org/features.html

Je ne suis pas pour scp/sftp puisque tu veux faire du FTPS.
Mais ma question est pourquoi tu insistes pour avoir du SSL "pur" vu le peu de différence entre SSL et TLS (TLS c'est le nouveau nom/version/RFC de l'SSL qui date de son acquisition par l'IETF)

http://www.pcinpact.com/forum/lofiversion/index.php/t69552.html

C'est clair que recompiler openSSH pour chrooter les utilisateurs dans leur $HOME c'est pas ça qui fera augmenter la popularité de SCP..

Un petit récap:

il y existe:

ftps et sftp

sftp, c'est une connexion ftp dans un tunnel ssh. Même problème que le scp (voir plus haut)


Donc on revient sur le ftps. il en existe deux sortes:

- ceux qui se connectent classiquement sur le port 21 et qui bascule en mode chiffré (chiffrement explicite), que ce soit avec TLS ou SSL.
- ceux qui se connectent directement en SSL/TLS, à la connexion, sur un autre port: le 990; on parle alors de chiffrement implicite.

C'est de ce dernier dont j'ai besoin (c'est pour un client coincé dans un réseau d'entreprise dont l'admin a décidé que le ftp, ce serait en ssl et point barre).

Tu as essayé wzdftpd (package standard debian) ?

Il a l'air de faire ce que tu veux...

Question: How come mod_tls does not support "implicit" FTPS (i.e. automatically encrypting sessions on port 990)?
Answer: The short answer is because the Draft no longer specifies support for such a mode. Here is a description of why the alternatives to the current mode (client-requested encryption using standard control channel) are "bad".

The long answer is covered in Eric Rescorla's excellent book, "SSL and TLS". There tend to be two different strategies used when adding new features to a protocol: separate ports for protocol variants, or upward negotiation. Port 443 for HTTPS is an example of the separate ports strategy. The drawback to the separate ports approach is that there is a finite number of ports available, and so this approach does not scale well. The benefit is that use of separate ports tends to require smaller changes to client and server code. Upward negotiation is more flexible, but requires that the protocol support some sort of feature negotiation or extension discovery, allowing clients and servers to easily agree to negotiate "upward" into a secure channel. The authors of the FTPS Draft felt that upward negotiation was the more appropriate of these two approaches for encrypting FTP channels.

En fait, je viens de tester (pour la première fois) SFTP via SSH2.
(openSSH et FileZilla)
C'est que ca marche pas mal ce truc !
Si les gugus de chez openSSH pouvaient se décider à intégrer la fonctionnalité chroot et qu'on puisse la paramétrer.
Quel utilisateur doit être chrooter, etc... ce serait carrément

Mais bon...
Qu'est-ce qu'ils foutent?

+1
http://www.wzdftpd.net/trac/wiki/Documentation/TLS

Merci philfr, et merci rfr, j'avais continuer mes lectures hier soir et en effet, il en ressortait que le ftps sur le port 990, c'est pourri et vieux.

Je crois donc que j'ai vais aller lire le lien de philfr pour la culture générale et dire au client que son admin est un con et rester avec pure-ftpd + TLS qui fonctionne très bien.

Et vsftpd t'en veux po ?

Si mais vsftpd ne supporte pas les utilisateurs virtuels

Si http://www.andesi.org/index.php?node=121#A4
Et avec les users en mysql, c'est expliqué ici, il faut utiliser pam_mysql : http://www.pcinpact.com/forum/lofiversion/index.php/t69552.html

Ah tiens, je ne savais pas Je dormirai moins con ce soir

oui avec pam_mysql et tout ce qui va bien.

Mais le hic, c'est que dans vsftpd, c'est de pouvoir utiliser des droits différents pour les utilisateurs virtuels. Je crois qu'ils doivent tous utiliser les droits d'un même utilisateur.

puant ca en effet...

Alors je crois que je vais me tourner vers scp...

Le probleme du ftp avec SSL, ce sont les firewall. Deja le ftp en temps normal est casse-bonbon avec son passive/active mode mais ici c'est encore pire. En temps normal, votre firewall est capable de reconnaitre un retour d'information du serveur vers le client quand il s'agit d'un connection ftp et il laisse passer. Mais si c'est chiffré.... Vous l'aurez compris, il ne laisse pas passer.


Donc donc donc, j'étudie la possibilité de ssh en chroot avec des outils commes rssh ou autres...Je vous tiens au courrant...

scponly semble être utile et simple à installer sous Debian...

Je pense que j'ai un gagnant...