Sujet: Serfeur ftp SSL sous Debian
24/08/2007 @ 21:11:37: max: Serfeur ftp SSL sous Debian
Je reprends nos bouts de conversation de la shoutbox.

Mais tout d'abord la question:


Un bon serveur ftp en SSL sous debian avec virtual user, vous me proposez ?
(j'utilise pure-ftpd, mais il ne fait "que" le TLS)



Zion me propose IIS parce que je me suis moqué de lui.

Ovh dit vsftpd, que j'ai déjà essayé mais j'ai besoin de pouvoir créer des utilisateurs dans une table externe (sql ou ldap).


kortenberg et philfr disent que scp c'est mieux et je suis d'accord avec eux, mais je demande une solution en ftp et en ssl.

Le scp est la solution de secouer si on me file une bonne doc pour chrooter un utilisateur dans son répertoire $HOME. Et pas un truc où il faut recompiler et patcher.


Rude le Max. Hep, c'est vendredi thème cow-boy ! Yaaaaahoooo !



















24/08/2007 @ 21:16:03: rfr: Serfeur ftp SSL sous Debian
Si je ne m'abuse, TLSv1 +/- = à SSLv3 ... C'est quoi le problème alors?
24/08/2007 @ 21:17:34: rfr: Serfeur ftp SSL sous Debian
C'est pas bon proftpd?

http://www.proftpd.org/features.html
24/08/2007 @ 21:35:34: kortenberg: Serfeur ftp SSL sous Debian
Je ne suis pas pour scp/sftp puisque tu veux faire du FTPS.
Mais ma question est pourquoi tu insistes pour avoir du SSL "pur" vu le peu de différence entre SSL et TLS (TLS c'est le nouveau nom/version/RFC de l'SSL qui date de son acquisition par l'IETF)
24/08/2007 @ 21:48:11: ovh: Serfeur ftp SSL sous Debian
http://www.pcinpact.com/forum/lofiversion/index.php/t69552.html
24/08/2007 @ 22:31:58: cauet: Serfeur ftp SSL sous Debian
C'est clair que recompiler openSSH pour chrooter les utilisateurs dans leur $HOME c'est pas ça qui fera augmenter la popularité de SCP..
25/08/2007 @ 00:29:50: max: Serfeur ftp SSL sous Debian
Un petit récap:

il y existe:

ftps et sftp

sftp, c'est une connexion ftp dans un tunnel ssh. Même problème que le scp (voir plus haut)


Donc on revient sur le ftps. il en existe deux sortes:

- ceux qui se connectent classiquement sur le port 21 et qui bascule en mode chiffré (chiffrement explicite), que ce soit avec TLS ou SSL.
- ceux qui se connectent directement en SSL/TLS, à la connexion, sur un autre port: le 990; on parle alors de chiffrement implicite.

C'est de ce dernier dont j'ai besoin (c'est pour un client coincé dans un réseau d'entreprise dont l'admin a décidé que le ftp, ce serait en ssl et point barre).



25/08/2007 @ 01:23:57: philfr: Serfeur ftp SSL sous Debian
Tu as essayé wzdftpd (package standard debian) ?

Il a l'air de faire ce que tu veux...

25/08/2007 @ 01:50:50: rfr: Serfeur ftp SSL sous Debian
Question: How come mod_tls does not support "implicit" FTPS (i.e. automatically encrypting sessions on port 990)?
Answer: The short answer is because the Draft no longer specifies support for such a mode. Here is a description of why the alternatives to the current mode (client-requested encryption using standard control channel) are "bad".

The long answer is covered in Eric Rescorla's excellent book, "SSL and TLS". There tend to be two different strategies used when adding new features to a protocol: separate ports for protocol variants, or upward negotiation. Port 443 for HTTPS is an example of the separate ports strategy. The drawback to the separate ports approach is that there is a finite number of ports available, and so this approach does not scale well. The benefit is that use of separate ports tends to require smaller changes to client and server code. Upward negotiation is more flexible, but requires that the protocol support some sort of feature negotiation or extension discovery, allowing clients and servers to easily agree to negotiate "upward" into a secure channel. The authors of the FTPS Draft felt that upward negotiation was the more appropriate of these two approaches for encrypting FTP channels.
25/08/2007 @ 02:37:11: cauet: Serfeur ftp SSL sous Debian
En fait, je viens de tester (pour la première fois) SFTP via SSH2.
(openSSH et FileZilla)
C'est que ca marche pas mal ce truc !
Si les gugus de chez openSSH pouvaient se décider à intégrer la fonctionnalité chroot et qu'on puisse la paramétrer.
Quel utilisateur doit être chrooter, etc... ce serait carrément :dawalove:

Mais bon... :sweat:
Qu'est-ce qu'ils foutent? :ohwell:
25/08/2007 @ 11:17:02: kortenberg: Serfeur ftp SSL sous Debian
Tu as essayé wzdftpd (package standard debian) ?

Il a l'air de faire ce que tu veux...


+1
http://www.wzdftpd.net/trac/wiki/Documentation/TLS
25/08/2007 @ 11:23:16: max: Serfeur ftp SSL sous Debian
Merci philfr, et merci rfr, j'avais continuer mes lectures hier soir et en effet, il en ressortait que le ftps sur le port 990, c'est pourri et vieux.

Je crois donc que j'ai vais aller lire le lien de philfr pour la culture générale et dire au client que son admin est un con et rester avec pure-ftpd + TLS qui fonctionne très bien.
25/08/2007 @ 12:40:54: ovh: Serfeur ftp SSL sous Debian
Et vsftpd t'en veux po ? :boude:

:neowen:
25/08/2007 @ 12:50:41: Altar: Serfeur ftp SSL sous Debian
Si mais vsftpd ne supporte pas les utilisateurs virtuels :itm:
25/08/2007 @ 13:29:41: ovh: Serfeur ftp SSL sous Debian
Si mais vsftpd ne supporte pas les utilisateurs virtuels :itm:

Si :itm: http://www.andesi.org/index.php?node=121#A4
Et avec les users en mysql, c'est expliqué ici, il faut utiliser pam_mysql : http://www.pcinpact.com/forum/lofiversion/index.php/t69552.html
25/08/2007 @ 13:55:36: Altar: Serfeur ftp SSL sous Debian

Si :itm: http://www.andesi.org/index.php?node=121#A4
Et avec les users en mysql, c'est expliqué ici, il faut utiliser pam_mysql : http://www.pcinpact.com/forum/lofiversion/index.php/t69552.html


Ah tiens, je ne savais pas :petrus: Je dormirai moins con ce soir :oh:
25/08/2007 @ 14:22:05: max: Serfeur ftp SSL sous Debian
oui avec pam_mysql et tout ce qui va bien.

Mais le hic, c'est que dans vsftpd, c'est de pouvoir utiliser des droits différents pour les utilisateurs virtuels. Je crois qu'ils doivent tous utiliser les droits d'un même utilisateur.

25/08/2007 @ 16:27:21: cauet: Serfeur ftp SSL sous Debian
puant ca en effet...
05/09/2007 @ 17:27:08: max: Serfeur ftp SSL sous Debian
Alors je crois que je vais me tourner vers scp...

Le probleme du ftp avec SSL, ce sont les firewall. Deja le ftp en temps normal est casse-bonbon avec son passive/active mode mais ici c'est encore pire. En temps normal, votre firewall est capable de reconnaitre un retour d'information du serveur vers le client quand il s'agit d'un connection ftp et il laisse passer. Mais si c'est chiffré.... Vous l'aurez compris, il ne laisse pas passer.


Donc donc donc, j'étudie la possibilité de ssh en chroot avec des outils commes rssh ou autres...Je vous tiens au courrant...
05/09/2007 @ 18:27:52: max: Serfeur ftp SSL sous Debian
scponly semble être utile et simple à installer sous Debian...

Je pense que j'ai un gagnant...
Retour