Pure FTPD config
Le
Tahar BEN ACHOUR

Bonjour à tous,
J'ai besoin de renforcer la sécurité de mon serv=
eur ftp, j'utilise pure-ftpd et je voudrais faire en sorte à ce que celui=
qui fait 3 tentatives de connexion non réussies soit banni pendant un la=
ps de temps, est ce que c'est faisable ? J'ai aussi activé l'option =
MaxClientPerIp à 1 mais j'ai l'impression que ça ne marche pas, je vien=
s d'ouvrir deux sessions depuis l'ip de ma machine et elles ont toutes les =
deux été acceptées pourtant lors du démarrage de mon serveur ces op=
tions sont passés et pris en considération Restarting ftp server: =
Running: /usr/sbin/pure-ftpd -l puredb:/etc/pure-ftpd/pureftpd.pdb -l pam -=
E -A -u 1000 -X -R -C 1 -x -b -c 20 -O clf:/var/log/pure-ftpd/transfer.log =
-B malgré cela j'arrive à logger avec le même utilisateur depuis=
une même ip plus d'une fois et sur le message d'accueil j'ai toujours 50=
utilisateurs autorisés, au lieux de 20 220- Welcome to =
Pure-FTPd [privsep] [TLS] - 220-You are user number 2 of 50 allo=
wed. 220-Local time is now 13:50. Server port: 21. 220-This is a privat=
e system - No anonymous login 220-IPv6 connections are also welcome on th=
is server. 220 You will be disconnected after 15 minutes of inactivity.=
Sinon une dernière question svp, comment changer le message d'ac=
cueil du moins le 220- Welcome to Pure-FTPd [privsep] [TLS] =
- Je vous remercie
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers debian-user-french-REQUEST@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmaster@lists.debian.org
Archive: http://lists.debian.org/1320757120.75507.YahooMailNeo@web26304.mail.ukl.yahoo.com
eur ftp, j'utilise pure-ftpd et je voudrais faire en sorte à ce que celui=
qui fait 3 tentatives de connexion non réussies soit banni pendant un la=
ps de temps, est ce que c'est faisable ? J'ai aussi activé l'option =
MaxClientPerIp à 1 mais j'ai l'impression que ça ne marche pas, je vien=
s d'ouvrir deux sessions depuis l'ip de ma machine et elles ont toutes les =
deux été acceptées pourtant lors du démarrage de mon serveur ces op=
tions sont passés et pris en considération Restarting ftp server: =
Running: /usr/sbin/pure-ftpd -l puredb:/etc/pure-ftpd/pureftpd.pdb -l pam -=
E -A -u 1000 -X -R -C 1 -x -b -c 20 -O clf:/var/log/pure-ftpd/transfer.log =
-B malgré cela j'arrive à logger avec le même utilisateur depuis=
une même ip plus d'une fois et sur le message d'accueil j'ai toujours 50=
utilisateurs autorisés, au lieux de 20 220- Welcome to =
Pure-FTPd [privsep] [TLS] - 220-You are user number 2 of 50 allo=
wed. 220-Local time is now 13:50. Server port: 21. 220-This is a privat=
e system - No anonymous login 220-IPv6 connections are also welcome on th=
is server. 220 You will be disconnected after 15 minutes of inactivity.=
Sinon une dernière question svp, comment changer le message d'ac=
cueil du moins le 220- Welcome to Pure-FTPd [privsep] [TLS] =
- Je vous remercie
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers debian-user-french-REQUEST@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmaster@lists.debian.org
Archive: http://lists.debian.org/1320757120.75507.YahooMailNeo@web26304.mail.ukl.yahoo.com
Le 08/11/2011 13:58, Tahar BEN ACHOUR a écrit :
Une règle iptables de type ci dessous devrait le faire
# This rate-limits any source to 3 new FTP communication attempts every
3 minutes
iptables -N FTP_CHECK
iptables -A FTP_CHECK -m recent --set --name FTP
iptables -A FTP_CHECK -m recent --update --seconds 180 --hitcount 3
--name FTP -j DROP
# Secure FTP connections
iptables -A INPUT -p tcp --dport 21 -m state --state NEW -j FTP_CHECK
[...]
--
Daniel
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/
Le mardi 08 novembre 2011, Tahar BEN ACHOUR a écrit...
fail2ban est ton ami.
La doc de pure-ftpd tu dois lire !
/usr/share/doc/pure-ftpd-common/README.gz (chercher banner, par
exemple).
--
jm
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/
ftp stream t cp nowait root /usr/sbin/tcpd /usr/sbin/pure-ftp d-wrapper
Mais le service inetd n'est pas installé ou démarré , d'ailleurs je ne voudrais pas l'utiliser, ni utiliser xinetd ou bien je n 'ai pas le choix pour pure-ftpd ?
Encore merci.
----- M ail original -----
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/
Le mardi 08 novembre 2011, Tahar BEN ACHOUR a écrit...
Standalone, ou inetd, ça se paramètre dans
/etc/default/pure-ftpd-common. Par défaut, standalone, il me semble.
Donc standalone pour toi si tu n'y a pas touché (à vérifier) et ta ligne
ne sert à rien (surtout si inetd n'est pas installé !).
Il me semble que pure-ftpd ne démarre pas si une option est erronée. Il
me semble également qu'il y a une option de débogage, ou de verbosité,
que tu pourrais activer. Tu devrais peut-être regarder tes options de
plus près, quitte à les désactiver toutes et à les ré-activer une à une.
C'est assez bourrin, mais ça fonctionne !
D'ailleurs, ton serveur fonctionne t-il ? C'est à dire : peux tu te
loger dessus, et y effectuer des manipulations ?
--
jm
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/
C'est déjà le cas je l'ai mis en STANDALONE dans mon /etc/default/pure-ftpd-common
le démarrage de mon serveur passe les options suivantes /usr/sbin /pure-ftpd -l puredb:/etc/pure-ftpd/pureftpd.pdb -l pam -E -y 1:0 -A -u 100 0 -X -R -C 1 -x -b -c 20 -O clf:/var/log/pure-ftpd/transfer.log -B
J' ai activé des options en créant les fichiers nécessaires dans /etc/pu re-ftpd/conf
echo "clf:/var/log/pure-ftpd/transfer.log" > AltLog
ec ho 1000 > MinUID
echo yes > ProhibitDotFilesRead
echo yes > BrokenCl ientsCompatibility
echo yes > NoAnonymous
echo yes > ProhibitDotFilesWr ite
echo yes > ChrootEveryone
echo yes > NoChmod
echo "/etc/pure-ftpd /pureftpd.pdb" > PureDB
echo 20 > MaxClientsNumber
echo no > PAMAuthent ication
echo no > UnixAuthentication
echo 1 > MaxClientsPerIP
echo "1 0" > PerUserLimits
et lors du démarrage du service toutes ces optio ns sont activées, sauf qu'elles ne semblent pas être prises en consid ération c'est ce que je n'arrive pas à comprendre, j'ai cherché dans la documentation et je n'ai pas l'impression d'avoir une erreur, d'ailleurs je n'ai pas de fichier de conf genre pure-ftpd.conf, je fait tout en ligne de commande et même par exemple j'ai fait une limite pour un utilisateur pour ouvrir une seule session uniquement et pourtant j'arrive à en ouvri r 4 ou 5 avec le même login.
je suis sous debian 5 et la version de pure-ftpd est 1.0.21-11.4
Merci pour votre aide.
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/
Si ton utilisateur existe deja, pure-pw usermod <login> -y 1 puis tu
reconstruits la base pwd. Plus qu'une seule connexion possible pour cet
utilisateur.
--
Daniel
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/
Oui quand je fais ça ça ma rche, mais je pensais passer des valeurs globales pour que ça s'applique à tous les utilisateurs, mais apparemment ce n'est pas le cas, j'ai fait un script pour modifier tous mes utilisateurs et les limiter à une seule session, mais par exemple si je veux par exemple une seule connexion Ftp pa r IP même en faisant echo 1 > /etc/pure-ftpd/conf/MaxClientsPerIP
J' arrive quand même à ouvrir plusieurs session depuis mon IP ! c'est ce q ue je n'arrive pas à comprendre en fait.
Merci pour votre aide
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/
Tahar BEN ACHOUR
...
ça ne veut pas dire qu'elles soient toutes *actives*.
--
An Irishman is never at peace except when he's fighting.
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/