Sécurité : Un pas de plus vers la démocratisation du sftp
Posté par TeXitoi (Jabber id, page perso, ). Modéré le 22 février 2008.
Combiné au serveur sftp intégré à sshd, il est possible de limiter l'utilisateur à une partie du système de fichier ne possédant aucun binaire, aucune bibliothèque, ni aucun node, comme ça aurait du être le cas si le server sftp n'était pas intégré à sshd. Par exemple, les hébergeurs web pourront maintenant, grâce à cette fonctionnalité, remplacer ftp par sftp.
![[en]](../images/en.png)
Le commit (519 hits)-
La nouvelle chez Undeadly (332 hits)
![[fr]](../images/fr.png)
Les lutins sont prem's (957 hits)
> Lire la dépêche (51 commentaires, moyenne: 2,9).
Vous avez demandé le commentaire #907127.
Run by 
Cette page a été générée par Templeet en 0.0892s (dont 0.0093 de SQL).
Cette page est peut-être conforme xhtml 1.0.
Information sur le site.
Remplacer ? Pas tout à fait
Il y a de fortes chances que les hébergeurs Web gardent quand même le FTP, qui reste (hélas ?) le plus grand dénominateur commun.
Mais pour les geeks en herbe qui administrent leurs machines et pour les entreprises, c'est une excellente nouvelle. Plus de daemon FTP = un process de moins = moins d'administration et de failles potentielles. Surtout que ça pullulait à une certaine époque, les problèmes de sécurité avec les serveurs FTP...
[^]Re: Remplacer ? Pas tout à fait
Plus de FTP, c'est aussi plus de mots de passe en clair…
[^]Re: Remplacer ? Pas tout à fait
> Plus de FTP, c'est aussi plus de mots de passe en clair…
... et plus de vilains bricolages dans les firewall pour laisser passer le traffic FTP DATA en mode actif et en mode passif.
[^]Re: Remplacer ? Pas tout à fait
Pas tout à fait d'accord, il y aura sans doute toujours des mots de passes qu icirculeront en clair.
Bon, ftp en moins, c'est juste moins de mots de passe en claire, mais i lreste notamment le pop3 qui transite pour bcp de mailer en clair, notamment les mailers des FAI
[^]Re: Remplacer ? Pas tout à fait
Même quand la solution de chiffrement existe, elle n'est pas forcément utilisé. Y a qu'à voir tout les services web qui n'utilisent pas https.
Le wiki de l'association culture libre : collection d'œuvres sous licence art libre.
[^]Re: Remplacer ? Pas tout à fait
Dans la majeure partie des cas, le mot de passe de pop3 ne quitte pas le réseau du FAI, donc il y a légèrement moins de problème de sniffing (en termes de probabilités).
[^]Re: mots de passe POP3
Dans la majeure partie des cas, le mot de passe de pop3 ne quitte pas le réseau du FAI, donc il y a légèrement moins de problème de sniffing (en termes de probabilités).
pas toujours : j'utilise des adresses mail obtenues il y a longtemps avec des connexions accès libres chez tiscali et wanadoo. L'avantage : je ne perd pas mes adresses lorsque je change de FAI (ça m'est arrivé plusieurs fois depuis mes premiers forfaits 5h en 56k...). J'y accède en POP3 depuis de nombreux réseaux différents : celui de mon labo, le FAI chez moi, le FAI chez mes parents...
Ça faisait longtemps que ces histoires de mots de passe qui transitent en clair sur les réseaux m'ennuyaient. C'est une des raisons principales qui vont causer ma migration totale vers mon récent compte Gmail : Google permet le POP3S, l'IMAPS (en plus du webmail) : que du bonheur.
[^]Re: mots de passe POP3
De la sécurité sur gmail... Alors que ce site est exploité par une société étatsunienne sous le contrôle de NSA (National Security Agency). Je pense que c'est un leurre.
[^]Re: mots de passe POP3
En fait, je n'ai pas l'intention de poster des secrets défense dessus.
La NSA ne va pas piquer mes identifiants pour envoyer du spam porno ni pour voler mon identité sur divers sites web.
[^]Re: mots de passe POP3
C'est beaucoup plus subtil que ça ! Au minimum, il se peut que tu reçoives du spam ciblé. Il est aussi plus que probable que tes goûts, relations, idées soient analysées et que tu sois fiché par la NSA.
Tu peux voir http://epic.org/privacy/profiling/tia/ qui donne pas mal de renseignements sur Total Information Awareness (TIA) devenu Terrorism Information Awareness. Le fameux réseau Echelon en fait partie et son rôle déborde largement de sa dénomination puisqu'il sert aussi à l'espionnage économique et industriel. TCPA : http://www.lebars.org/sec/tcpa-faq.fr.html
Qu'est-ce que le TIA :
- http://www.erta-tcrg.org/analyses/tia.htm (en français)
- http://en.wikipedia.org/wiki/Information_Awareness_Office (en anglais)
- http://www.consciencedupeuple.com/html/le_projet_echelon.htm(...) (en français)
[^]Re: Remplacer ? Pas tout à fait
>>> Il y a de fortes chances que les hébergeurs Web gardent quand même le FTP, qui reste (hélas ?) le plus grand dénominateur commun.
s/plus grand dénominateur commun/plus petit dénominateur commun
[^]Re: Remplacer ? Pas tout à fait
s/plus petit dénominateur commun/plus petit commun multiple/ ?
[^]Re: Remplacer ? Pas tout à fait
PGCD, plus grand commun diviseur
[^]Re: Remplacer ? Pas tout à fait
PGCD toi même
[^]Re: Remplacer ? Pas tout à fait
Pour les hébergeurs web, je ne sais pas, mais je sais qu'au boulot ça nous permettra de nous simplifier pas mal la tache..
[^]Re: Remplacer ? Pas tout à fait
J'ignore si cela vous simplifiera la tache, en tout cas j'espère que cela vous simplifiera la tâche !
Répète après moi : "Windows est multi-taches, Linux est multi-tâches"
[^]Re: Remplacer ? Pas tout à fait
Oupss... Dans mon empressement à poster, j'en ai oublié les liens.
tache et [[tâche]] bien sûr... Wikipedia nous dit même que "tâche" vient d'une racine latine qui a donné "tasche", et qui se rapproche de "task" en anglais. Du coup, plus de raisons de faire l'erreur (mais je préfère ma phrase mnémotechnique quand même :-p )
Wiktionnary[1] nous donne même une étymologie
1 http://fr.wiktionary.org/wiki/tache
[+] [^]Re: Remplacer ? Pas tout à fait
Je ne comprends pas très bien. Faire passer du ftp dans un tunnel ssl ça n'a rien de neuf, là ça n'apporte qu'une simplification de la méthode.
Mais sérieusement intégrer ftp dans le démon ssh ça me chagrine légèrement. Ça fait une appli plus grosse, plus compliquée à maintenir, etc Moi qui croyait qu'unix voulais des appli petites et flexible.
Là ça fait un peu usine à gaz, même si c'est léger à l'exécution.
Debian Sid
[^]Re: Remplacer ? Pas tout à fait
Non, il s'agit de ce SFTP : <http://fr.wikipedia.org/wiki/SSH_file_transfer_protocol>. :-)
[^]Re: Remplacer ? Pas tout à fait
Attention, le lien sur wikipedia comporte deux caractères en trop. Le bon lien est http://fr.wikipedia.org/wiki/SSH_file_transfer_protocol
[^]Re: Remplacer ? Pas tout à fait
Au temps pour moi.
[^]Re: Remplacer ? Pas tout à fait
Et ça existe depuis très longtemps. La nouveauté, c'est de pouvoir facilement faire un chroot.
Avec le sftp actuel, par défaut, on a accès à tout ce que peut faire l'utilisateur sur la machine distante (i.e. en général, lecture à peu près partout dans / et lecture-écriture dans $HOME). Pour un fournisseur d'accès, c'est pas très classe, il ne veut pas que l'utilisateur puisse voir en dehors de son $HOME, bref, que le / qu'il voit soit son $HOME physique.
Sinon, sftp, c'est pas du tout un truc « lourd », c'est juste un programme que le démon ssh peut lancer, et qui obéit à quelques requetes assez simples (lister un répertoire, uploader et télécharger un fichier, ...).
Contrairement au ftp classique, y'a pas de bidouille à rouvrir une nouvelle connexion pour telecharger un fichier ou quoi, tout passe dans le même tunnel, et donc beaucoup moins de soucis avec les firewalls et les NATs.