Forums Linux Autres OS Linux Debian

Pure FTPD config

Le
Tahar BEN ACHOUR
Bonjour à tous, J'ai besoin de renforcer la sécurité de mon serv=
eur ftp, j'utilise pure-ftpd et je voudrais faire en sorte à ce que celui=
qui fait 3 tentatives de connexion non réussies soit banni pendant un la=
ps de temps, est ce que c'est faisable ?  J'ai aussi activé l'option =
MaxClientPerIp à 1 mais j'ai l'impression que ça ne marche pas, je vien=
s d'ouvrir deux sessions depuis l'ip de ma machine et elles ont toutes les =
deux été acceptées pourtant lors du démarrage de mon serveur ces op=
tions sont passés et pris en considération Restarting ftp server: =
Running: /usr/sbin/pure-ftpd -l puredb:/etc/pure-ftpd/pureftpd.pdb -l pam -=
E -A -u 1000 -X -R -C 1 -x -b -c 20 -O clf:/var/log/pure-ftpd/transfer.log =
-B malgré cela j'arrive à logger avec le même utilisateur depuis=
une même ip plus d'une fois et sur le message d'accueil j'ai toujours 50=
utilisateurs autorisés, au lieux de 20 220- Welcome to =
Pure-FTPd [privsep] [TLS] - 220-You are user number 2 of 50 allo=
wed. 220-Local time is now 13:50. Server port: 21. 220-This is a privat=
e system - No anonymous login 220-IPv6 connections are also welcome on th=
is server. 220 You will be disconnected after 15 minutes of inactivity.=
Sinon une dernière question svp, comment changer le message d'ac=
cueil du moins le 220- Welcome to Pure-FTPd [privsep] [TLS] =
- Je vous remercie

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers debian-user-french-REQUEST@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmaster@lists.debian.org
Archive: http://lists.debian.org/1320757120.75507.YahooMailNeo@web26304.mail.ukl.yahoo.com
  • Partager ce contenu :
Vos réponses
Trier par : date / pertinence
daniel huhardeaux
Le #23945651
Bonjour

Le 08/11/2011 13:58, Tahar BEN ACHOUR a écrit :
Bonjour à tous,

J'ai besoin de renforcer la sécurité de mon serveur ftp, j'utilise pure-ftpd et je voudrais faire en sorte à ce que celui qui fait 3 tentatives de connexion non réussies soit banni pendant un laps de temps, est ce que c'est faisable ?



Une règle iptables de type ci dessous devrait le faire

# This rate-limits any source to 3 new FTP communication attempts every
3 minutes

iptables -N FTP_CHECK
iptables -A FTP_CHECK -m recent --set --name FTP
iptables -A FTP_CHECK -m recent --update --seconds 180 --hitcount 3
--name FTP -j DROP

# Secure FTP connections
iptables -A INPUT -p tcp --dport 21 -m state --state NEW -j FTP_CHECK

[...]

--
Daniel

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/
Répondre en citant
Jean-Michel OLTRA
Le #23945641
Bonjour,


Le mardi 08 novembre 2011, Tahar BEN ACHOUR a écrit...



J'ai besoin de renforcer la sécurité de mon serveur ftp, j'utilise pure-ftpd et je voudrais faire en sorte à ce que celui qui fait 3 tentatives de connexion non réussies soit banni pendant un laps de temps, est ce que c'est faisable ? 



fail2ban est ton ami.

220---------- Welcome to Pure-FTPd [privsep] [TLS] ----------
220-You are user number 2 of 50 allowed.
220-Local time is now 13:50. Server port: 21.
220-This is a private system - No anonymous login
220-IPv6 connections are also welcome on this server.
220 You will be disconnected after 15 minutes of inactivity.


Sinon une dernière question svp, comment changer le message d'accueil du moins le 220---------- Welcome to Pure-FTPd [privsep] [TLS] ----------



La doc de pure-ftpd tu dois lire !

/usr/share/doc/pure-ftpd-common/README.gz (chercher banner, par
exemple).

--
jm

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/
Répondre en citant
Tahar BEN ACHOUR
Le #23945741
Merci pour vos réponses, mais rien ne marche aucune option n'est prise en considération et en regardant mes logs j'ai le message suivant (?@?) [ER ROR] Unable to start a standalone server ça expliquerait pourquoi plusieu rs options qui ne peuvent être appliqué que si on est en mode STANDALON E, j'ai un inetd.conf avec la ligne


ftp    stream    t cp    nowait    root    /usr/sbin/tcpd /usr/sbin/pure-ftp d-wrapper


Mais le service inetd n'est pas installé ou démarré , d'ailleurs je ne voudrais pas l'utiliser, ni utiliser xinetd ou bien je n 'ai pas le choix pour pure-ftpd ?


Encore merci.



----- M ail original -----
De : Jean-Michel OLTRA À :
Cc :
Envo yé le : Mardi 8 Novembre 2011 14h28
Objet : Re: Pure FTPD config


    Bonjour,


Le mardi 08 novembre 2011, Tahar BEN ACHOUR a écrit...



J'ai besoin de renforcer la s écurité de mon serveur ftp, j'utilise


pure-ftpd et je voudrais fai re en sorte à ce que celui qui fait 3 tentatives de
connexion non r éussies soit banni pendant un laps de temps, est ce que c'est
faisab le ? 

fail2ban est ton ami.

220---------- Welcome to Pure-FTPd [privsep] [TLS] ----------
220-You are user number 2 of 50 allowed.
220-Local time is now 13:50. Server port: 21.
220-This is a private system - No anonymous login
220-IPv6 connections are al so welcome on this server.
220 You will be disconnected after 15 minu tes of inactivity.




Sinon une dernière question svp, comme nt changer le message d'accueil


du moins le 220---------- Welcome to P ure-FTPd [privsep] [TLS] ----------

La doc de pure-ftpd tu dois li re !

/usr/share/doc/pure-ftpd-common/README.gz (chercher banner, p ar
exemple).

--
jm

--
Lisez la FAQ de la li ste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet
"u nsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: h ttp://lists.debian.org/




--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/
Répondre en citant
Jean-Michel OLTRA
Le #23945791
Bonjour,


Le mardi 08 novembre 2011, Tahar BEN ACHOUR a écrit...


Merci pour vos réponses, mais rien ne marche aucune option n'est prise en considération et en regardant mes logs j'ai le message suivant (?@?) [ERROR] Unable to start a standalone server ça expliquerait pourquoi plusieurs options qui ne peuvent être appliqué que si on est en mode STANDALONE, j'ai un inetd.conf avec la ligne


ftp    stream    tcp    nowait    root    /usr/sbin/tcpd /usr/sbin/pure-ftpd-wrapper

Mais le service inetd n'est pas installé ou démarré, d'ailleurs je ne voudrais pas l'utiliser, ni utiliser xinetd ou bien je n'ai pas le choix pour pure-ftpd ?



Standalone, ou inetd, ça se paramètre dans
/etc/default/pure-ftpd-common. Par défaut, standalone, il me semble.
Donc standalone pour toi si tu n'y a pas touché (à vérifier) et ta ligne
ne sert à rien (surtout si inetd n'est pas installé !).

Il me semble que pure-ftpd ne démarre pas si une option est erronée. Il
me semble également qu'il y a une option de débogage, ou de verbosité,
que tu pourrais activer. Tu devrais peut-être regarder tes options de
plus près, quitte à les désactiver toutes et à les ré-activer une à une.
C'est assez bourrin, mais ça fonctionne !

D'ailleurs, ton serveur fonctionne t-il ? C'est à dire : peux tu te
loger dessus, et y effectuer des manipulations ?

--
jm

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/
Répondre en citant
Tahar BEN ACHOUR
Le #23945831
Le mardi 08 novembre 2011, Tahar BEN ACHOUR a écrit...




Standalone, ou inetd, ça se paramètre dans
/etc/default/pure- ftpd-common. Par défaut, standalone, il me semble.
Donc standalone po ur toi si tu n'y a pas touché (à vérifier) et ta ligne
ne sert à rien (surtout si inetd n'est pas installé !).



C'est déjà le cas je l'ai mis en STANDALONE dans mon /etc/default/pure-ftpd-common


Il me semble que pure-ftpd ne démarre pas si une option est erron ée. Il
me semble également qu'il y a une option de débogage, ou d e verbosité,
que tu pourrais activer. Tu devrais peut-être regarder tes options de
plus près, quitte à les désactiver toutes et à les ré-activer une à une.
C'est assez bourrin, mais ça fonctionne !



le démarrage de mon serveur passe les options suivantes /usr/sbin /pure-ftpd -l puredb:/etc/pure-ftpd/pureftpd.pdb -l pam -E -y 1:0 -A -u 100 0 -X -R -C 1 -x -b -c 20 -O clf:/var/log/pure-ftpd/transfer.log -B

J' ai activé des options en créant les fichiers nécessaires dans /etc/pu re-ftpd/conf

echo "clf:/var/log/pure-ftpd/transfer.log" > AltLog
ec ho 1000 >  MinUID
echo yes > ProhibitDotFilesRead
echo yes > BrokenCl ientsCompatibility
echo yes > NoAnonymous
echo yes > ProhibitDotFilesWr ite
echo yes > ChrootEveryone
echo yes > NoChmod
echo "/etc/pure-ftpd /pureftpd.pdb" > PureDB
echo 20 > MaxClientsNumber
echo no > PAMAuthent ication
echo no > UnixAuthentication
echo 1 > MaxClientsPerIP
echo "1 0" > PerUserLimits

et lors du démarrage du service toutes ces optio ns sont activées, sauf qu'elles ne semblent pas être prises en consid ération c'est ce que je n'arrive pas à comprendre, j'ai cherché dans la documentation et je n'ai pas l'impression d'avoir une erreur, d'ailleurs je n'ai pas de fichier de conf genre pure-ftpd.conf, je fait tout en ligne de commande et même par exemple j'ai fait une limite pour un utilisateur pour ouvrir une seule session uniquement et pourtant j'arrive à en ouvri r 4 ou 5 avec le même login.

je suis sous debian 5 et la version de pure-ftpd est 1.0.21-11.4

Merci pour votre aide.


D'ailleurs, ton serveur fonctionne t-il ? C'est à dire : peux tu te
loger dessus , et y effectuer des manipulations ?

--
jm

--
L isez la FAQ de la liste avant de poser une question :
http://wiki.debia n.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet
"unsubscribe"
vers ebian.org
En cas de soucis, contactez EN ANGLAIS n.org
Archive: http://lists.debian.org/




--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/
Répondre en citant
daniel huhardeaux
Le #23946001
Le 08/11/2011 15:22, Tahar BEN ACHOUR a écrit :
[...]
le démarrage de mon serveur passe les options suivantes /usr/sbin/pure-ftpd -l puredb:/etc/pure-ftpd/pureftpd.pdb -l pam -E -y 1:0 -A -u 1000 -X -R -C 1 -x -b -c 20 -O clf:/var/log/pure-ftpd/transfer.log -B

J'ai activé des options en créant les fichiers nécessaires dans /etc/pure-ftpd/conf

echo "clf:/var/log/pure-ftpd/transfer.log"> AltLog
echo 1000> MinUID
echo yes> ProhibitDotFilesRead
echo yes> BrokenClientsCompatibility
echo yes> NoAnonymous
echo yes> ProhibitDotFilesWrite
echo yes> ChrootEveryone
echo yes> NoChmod
echo "/etc/pure-ftpd/pureftpd.pdb"> PureDB
echo 20> MaxClientsNumber
echo no> PAMAuthentication
echo no> UnixAuthentication
echo 1> MaxClientsPerIP
echo "1 0"> PerUserLimits

et lors du démarrage du service toutes ces options sont activées, sauf qu'elles ne semblent pas être prises en considération c'est ce que je n'arrive pas à comprendre, j'ai cherché dans la documentation et je n'ai pas l'impression d'avoir une erreur, d'ailleurs je n'ai pas de fichier de conf genre pure-ftpd.conf, je fait tout en ligne de commande et même par exemple j'ai fait une limite pour un utilisateur pour ouvrir une seule session uniquement et pourtant j'arrive à en ouvrir 4 ou 5 avec le même login.



Si ton utilisateur existe deja, pure-pw usermod <login> -y 1 puis tu
reconstruits la base pwd. Plus qu'une seule connexion possible pour cet
utilisateur.

--
Daniel

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/
Répondre en citant
Tahar BEN ACHOUR
Le #23946101
Bonjour,


Si ton utilisateur existe deja, pure-pw usermod <login > -y 1 puis tu
reconstruits la base pwd. Plus qu'une seule connexion p ossible pour cet
utilisateur.




Oui quand je fais ça ça ma rche, mais je pensais passer des valeurs globales pour que ça s'applique à tous les utilisateurs, mais apparemment ce n'est pas le cas, j'ai fait un script pour modifier tous mes utilisateurs et les limiter à une seule session, mais par exemple si je veux par exemple une seule connexion Ftp pa r IP même en faisant echo 1 > /etc/pure-ftpd/conf/MaxClientsPerIP

J' arrive quand même à ouvrir plusieurs session depuis mon IP ! c'est ce q ue je n'arrive pas à comprendre en fait.

Merci pour votre aide

-- Daniel

-- Lisez la FAQ de la liste avant de poser une questio n :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER , envoyez un message avec comme objet
"unsubscribe"
vers debian-us
En cas de soucis, contactez EN ANGLA IS
Archive: http://lists.debian.org/4EB949D




--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/
Répondre en citant
Jean-Yves F. Barbier
Le #23946081
On Tue, 8 Nov 2011 15:41:56 +0000 (GMT)
Tahar BEN ACHOUR
...
J'arrive quand même à ouvrir plusieurs session depuis mon IP !
c'est ce que je n'arrive pas à comprendre en fait.



ça ne veut pas dire qu'elles soient toutes *actives*.

--
An Irishman is never at peace except when he's fighting.

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/
Répondre en citant
Poster une réponse
Anonyme