Forum Linux.général serveur compromis / n'importe quel mot de passe FTP accepté

Posté par Xavier Faure (site web personnel) le 28 juillet 2013 à 10:42. Licence CC By‑SA.

Étiquettes :

juil.

2013

Bonjour,
je suis bien embêté : mon serveur kimsufi a été modifié à mon insu, quelqu'un ayant accès au compte FTP de la machine. Je croyais qu'il y avait un lien avec le problème de sécurité dont OVH a été victime mais je crois que dans mon cas, les choses sont encore plus simples : quelque soit le mot de passe qui est donné pour l'utilisateur "ftp", la connection est acceptée !

Il doit donc y avoir un gros trou de sécurité dans mon fichier proftpd.conf, fichier que j'avais bricolé il y a quelques mois. J'ai déclaré une section "anonymous" qui ne contient que cela :

User ftp
Group ftp
Useralias anonymous ftp
< Limit WRITE>
Denyall
DenyUser ovh
< /Limit >

… mais j'ai manifestement oublié quelque chose, mais quoi ?

Merci de m'aider !

# anonymous

Posté par NeoX le 28 juillet 2013 à 10:49. Évalué à 3.

Useralias anonymous ftp

ca veux dire qu'un compte se presentant sous le nom FTP
sera associé à anonymous (un compte sans login/pass)

cf l'exemple ici
http://www.proftpd.org/docs/configs/basic.conf

bref, ta connexion avec le compte ftp doit etre :
- limitée au dossier que tu as referencé
- interdite d'ecriture dans ce dossier (Limit Write Denyall)
- [^] # Re: anonymous
  
  Posté par Xavier Faure (site web personnel) le 28 juillet 2013 à 10:56. Évalué à 1.
  
  Merci NeoX pour ton aide,
  je comprends mieux mon erreur : je VEUX que "ftp" soit associé à un mot de passe. J'ai donc éliminé ma section Anonymous de proftpd.conf. Maintenant, que dois-je écrire dans ce fichier pour que l'utilisateur "ftp" soit accepté ? Pour le moment, après avoir supprimé la section Anonymous et redémarré le service profptd, je ne peux plus me connecter en tant que "ftp".
  
  Trust the Python !
  - [^] # Re: anonymous
    
    Posté par NeoX le 28 juillet 2013 à 11:09. Évalué à 3.
    
    il faut que l'utilisateur "ftp" existe sur ton systeme
    tout comme ton utilisateur xavier
    - [^] # Re: anonymous
      
      Posté par Xavier Faure (site web personnel) le 28 juillet 2013 à 11:15. Évalué à 1.
      
      L'utilisateur "ftp" existe : je peux modifier son mot de passe depuis l'interface Web du serveur; que veux-tu dire par "utilisateur xavier" ?
      
      Trust the Python !
      - [^] # Re: anonymous
        
        Posté par Xavier Faure (site web personnel) le 28 juillet 2013 à 11:29. Évalué à 1.
        
        Bon, je me réponds car je crois avoir compris. J'ai ajouté une section suivante qui semble répondre à mes problèmes.
        
        Un grand merci à Neox !
        
        < Anonymous /home/ovh/www/>
        User ftp
        Group ftp
        AnonRequirePassword on
        
        < Limit LOGIN>
        AllowAll
        < /Limit>
        < Anonymous>
        
        Trust the Python !
        
        [^] # Re: anonymous
        
        Posté par NeoX le 28 juillet 2013 à 12:29. Évalué à 3.
        
        je ne comprend pas ce que tu veux faire.
        
        là tu viens de faire un acces anonyme, qui demandera un mot de passe, et qui posera ses fichiers dans /home/ovh/www
        
        User ftp
        Group ftp
        
        c'est pour mettre les propriétaires des fichiers qui y seront deposer.
        
        [^] # Re: anonymous
        
        Posté par Xavier Faure (site web personnel) le 29 juillet 2013 à 09:15. Évalué à 1.
        
        Je reconnais que mes compétences sont plus que limitées, mais qu'entends-tu par accès anonyme ? Avec ce que j'ai mis en place, seul l'accès avec le couple d'identifiants ftp/mot de passe ftp est accepté. Or c'est bien ce que je voulais faire. Qu'est-ce que je ne comprends pas ?
        
        Trust the Python !
        
        [^] # Re: anonymous
        
        Posté par NeoX le 29 juillet 2013 à 10:18. Évalué à 3.
        
        que tu as mis la configuration dans le paragraphe Anonymous
        
        alors que tu peux mettre ce paragraphe en commentaire
        
        le reglage par defaut doit permettre à n'importe quel utilisateur ayant un compte sur le serveur (toi, ftp, tacopine) de se connecter en ftp au serveur et d'y deposer des ficheirs.
        
        [^] # Re: anonymous
        
        Posté par Xavier Faure (site web personnel) le 29 juillet 2013 à 10:27. Évalué à 2.
        
        Ah… merci : ce que tu dis m'ouvre enfin les yeux. Je vais donc me créer un compte et accéder autrement au serveur que par l'intermédiaire du compte "ftp" que j'utilisais jusqu'à présent.
        
        Merci de ta patience !
        
        Trust the Python !
        
        [^] # Re: anonymous
        
        Posté par NeoX le 29 juillet 2013 à 12:39. Évalué à 2.
        
        de rien,
        
        avec proftpd, je decommente la ligne DefaultRoot
        pour eviter que l'utilisateur se ballade en dehors de son dossier personnel
        
        # Use this to jail all users in their homes # DefaultRoot ~ DefaultRoot ~
        
        et j'ajoutes les lignes suivantes
        
        AllowStoreRestart On AllowRetrieveRestart On
        
        pour permettre de reprendre les transferts qui auraient pu etre interrompus par une ligne capricieuse
        (pratique quand tu transfers de gros fichiers, ca evite de redemarrer le transfert de zero)
        
        [^] # Re: anonymous
        
        Posté par Xavier Faure (site web personnel) le 29 juillet 2013 à 15:42. Évalué à 3.
        
        Merci Neox : j'aurais encore bien des questions mais je crains d'abuser. Je vais prendre le temps de lire la doc' de proftpd pour améliorer mes connaissances.
        
        Trust the Python !

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.