Blog Blog - Serveur Debian - Commentaires

Serveur Debian - vsftpd - Seza

Seza — Fri, 10 Oct 2008 23:47:49 +0200

Personnellement je n'aime pas filezilla et encore moins les logiciels qui ont la facheuse tendance à accuser les autres quand ça ne marche pas. (je l'ai déjà vu plusieurs fois ce message avec filezilla).

Pour être honnête filezilla n'est pas terrible et est plutôt capricieux. Le protocole FTP n'a pas changé depuis ..... au moins ça alors comment ceci peut être une histoire de mise à jour ?

Bon plus sérieusement ce qui m'a fait tiquer c'est le FEATURE qui ne liste que PASV, et vu que tu dit l'avoir configurer le client en ftp actif, il faudrait vérifier que tu as bien mis

port_enable=YES

sinon il ne proposera pas la commande port.

Serveur Debian - vsftpd - patrick

patrick — Fri, 10 Oct 2008 21:24:48 +0200

merci beaucoup pour ces précisions !

je dois t'avouer que je trouve vsftpd un peu difficile à utiliser, la dernière version de filezilla refuse de se connecter en ftps explicit, disant d'upgrader la version du serveur ftp.

alors voici ce que j'ai fais:
apt-get install vsftpd libdb3-util ftp libcap-dev
wget dernièreversiondevsftpd
wget https://dev.openwrt.org/cgi-bin/tra...
cat 005-exit_status_const.patch | patch -p1
nano builddefs.h

define VSF_BUILD_SSL

make
mv /usr/sbin/vsftpd /usr/sbin/vsftpdbk
cp vsftpd /usr/sbin
/etc/init.d/vsftpd restart
vsftpd -v = 2.0.7 (pour l'instant)

maintenant, si j'ai bien compris tes explications, je n'ai pas besoin de changer les règles de iptables (conserver 21, 20), mais enlever le modprobe ip_conntrack_ftp ports=21

comment dois-je procéder si je ne veux pas définir une plage de port à ouvrir. car le vsftpd semble supporter seulement le mode passif en ftps explicit, ce qui va m'obliger à ouvrir une plage. j'ai bien essayé de dire au client ftps - explicit : mode active, mais il s'arrête à LIST. la commande FEATURE retourne seulement PASV...

patrick

Serveur Debian - vsftpd - Seza

Seza — Tue, 07 Oct 2008 01:14:29 +0200

En ce qui concerne le FTPS, il faut savoir qu'il y a deux type de FTPS.

Le FTPS explicit utilise les ports 21 pour la connection et 20 pour les données. Rien ne change donc pour iptables. Il est appelé explicit car il faut précisé au client ftp d'utiliser SSL ou TSL sur le port 21. Généralement dans le client ftp ceci s'appelle « FTP over SSL explicit » ou « FTP over TSL explicit ».

Le FTPS implicit utilise les ports 990 pour la connection et 989 pour les données. Pour iptables il suffit dans changer respectivement ces deux ports. Puisqu'il utilise un port spécifique l'utilisation du SSL ou TLS est déjà entendue donc implicite. Généralement dans le client ftp ceci s'appelle « FTP over SSL implicit » ou « FTP over TSL implicit ».

Dans mon tuto j'utilise le FTPS explicit, c'estpour ça que je n'ai rien préciser sur iptables car rien ne change.

Par contre en SSL (explicit ou implicit) ip_conntrack ne fonctionne pas car les données sont cryptées, tu peux donc décharger ce module. Ceci impose d'utiliser le client FTP en mode passif. Si tu dois absolument utiliser le mode actif la solution existe plus haut dans les commentaires. Elle consiste à définir une plage de ports spécifique au FTP pour les transfert de data.

A noter la nuance entre le SSL et TLS, ici vsftp gère les deux type de protocole (le TLS étant l'évolution du SSL version 3). Dans le client FTP l'un comme l'autre peuvent être utilisé.

A noter que pour paramétrer vsftpd pour utiliser du FTPS implicit il faut ajouter la ligne de configuration suivante

 : 
listen_port=990

et changer celle-ci :
connect_from_port_20=NO

L'utiliser du FTPS implicit impose qu'on ne puisse plus se connecter en FTPS explicit ou FTP.
Alors que le FTPS explicit peut être combiner au FTP classique en désactivant ces options :

force_local_data_ssl=NO

force_local_logins_ssl=NO
force_anon_data_ssl=NO

force_anon_logins_ssl=NO

Serveur Debian - vsftpd - patrick

patrick — Tue, 07 Oct 2008 00:15:13 +0200

Excellent !!! Ça fonctionne très bien.

Cependant, pourrais-tu nous indiquer comment configurer le iptables pour une connection FTPS ?

Je pense que les ports 115, 989, 990 doivent être ouvert en INPUT ? Est-ce que j'oublie quelque chose ? Par exemple, est-ce que
modprobe ip_conntrack_ftp ports=21 reste 21 ?

Encore une fois, merci !
Patrick

Serveur Debian - vsftpd - Seza

Seza — Mon, 06 Oct 2008 23:47:34 +0200

@patrick : Le fait que tu puisse te connecter depuis ton serveur avec la commande « ftp 127.0.0.1 21 » prouve que le serveur ftp fonctionne correctement. Donc en effet il faudrait s'orianté sur iptables.

Le serveur FTP doit écouter le port 21 , il faut donc autoriser les connexions entrantes sur ce port :

iptables -t filter -A INPUT -i eth0 -p tcp -d $MYIP --dport 21 -j ACCEPT

Les réponses du serveur ftp doivent aussi parvenir au client :

iptables -t filter -A OUTPUT -o eth0 -p tcp -s $MYIP --sport 21 -m state --state RELATED,ESTABLISHED -j ACCEPT

Avec tous ça le client distant communique mais les transferts doivent aussi être autorisés :

iptables -t filter -A INPUT -i eth0 -p tcp -d $MYIP --dport 20 -j ACCEPT iptables -t filter -A OUTPUT -o eth0 -p tcp -s $MYIP --sport 21 -m state --state RELATED,ESTABLISHED -j ACCEPT

Avec ceci les clients distants pourront se servir du serveur ftp en mode actif sans problème mais si ton serveur doit utiliser un client ftp (pour se connecter sur un serveur de backup par exemple) ou tester ton serveur ftp avec la commande « ftp 127.0.0.1 21 » tu dois ouvrir iptables aussi ainsi :

iptables -t filter -A INPUT -i eth0 -p tcp -d $MYIP --sport 21 -m state --state RELATED,ESTABLISHED -j ACCEPT iptables -t filter -A OUTPUT -o eth0 -p tcp -s $MYIP --dport 21 -j ACCEPT iptables -t filter -A INPUT -i eth0 -p tcp -d $MYIP --sport 20 -m state --state RELATED,ESTABLISHED -j ACCEPT iptables -t filter -A OUTPUT -o eth0 -p tcp -s $MYIP --dport 21 -j ACCEPT

C'est pas vraiment subtil mais on s'embrouille très vite :)

Serveur Debian - vsftpd - patrick

patrick — Mon, 06 Oct 2008 20:47:18 +0200

bonjour,

je n'arrive pas à me connecter de l'extérieur. cependant, pas de problème avec la commande :

ftp 127.0.0.1 21

je n'utilise pas FTPS pour l'instant, avant je veux voir si une connection "classic" fonctionne.

j'ai l'impression que c'est la configuration de iptables qui pose problème, la voici. voyez-vous une erreur ?

...
iptables -t filter -A INPUT -i eth0 -d $MYIP -p tcp --dport 21 -j ACCEPT
iptables -t filter -A INPUT -i eth0 -d $MYIP -p tcp --sport 20 -j ACCEPT

iptables -t filter -A OUTPUT -o eth0 -s $MYIP -p tcp --dport 21 -j ACCEPT
iptables -t filter -A OUTPUT -o eth0 -s $MYIP -p tcp --sport 20 -j ACCEPT

modprobe ip_conntrack_ftp ports=21

le module semble bien être chargé :
lsmod | grep ftp
ip_conntrack_ftp 7760 0
ip_conntrack 49088 1 ip_conntrack_ftp

le message d'erreur quand je me connecte de l'extérieur est :
ETIMEDOUT - Connection attempt timed out

je peux me connecter au serveur sur ssh, http etc... seulement le ftp pose problème. une idée, car vraiment je ne sais pas quoi faire.

merci d'avance !
pat

Serveur Debian - apache - Seza

Seza — Mon, 06 Oct 2008 06:17:01 +0200

@patrick : Je pense que tu as répondu à ta propre question, installe apache et php comme tu le souhaite de manière à pouvoir configuré des virtuals hosts dessus (comme dans mon tutoriel). Ensuite il te reste à créer ces fameux virtual host. Un virtual host représente un site, et l'option « DocumentRoot » te permet de préciser la racine du dit site par exemple dans ton cas « /home/nobody/site1 » etc... Il ne te reste plus qu'à faire de même avec vsftpd et créer un utilisateur pour « /home/nobody/site1 » etc... ainsi le chaque compte ftp pointera sur chaque site que tu souhaites héberger.

Serveur Debian - apache - patrick

patrick — Sat, 04 Oct 2008 04:31:42 +0200

bonjour,

premièrement, je tiens à te remercier pour le partage de tes connaissances sur la gestion d'un serveur sous debian.

ma question est plutôt simple, j'aimerais éventuellement avoir plusieurs sites hébergés sur mon serveur. vsftpd est configuré pour utiliser des vitual users sous /home/nobody, donc je dois créer /home/nobody/site1, /home/nobody/site2, etc ?

j'ai toujous compilé apache et php sans trop savoir toutes les options à passer à configure... je vais peut-être cette fois-ci utilisé apt-get...

merci !

Serveur Debian - versionning de fichiers - Merwok

Merwok — Thu, 21 Aug 2008 21:06:03 +0200

Pas mal ce guide, merci :)

Je préfère largement les systèmes de gestion de versions décentralisés (Mercurial ♥) aux centralisés (dont Subversion est le meilleur, je reconnais), mais les scripts sont des bons modèles.

Cordialement

Serveur Debian - Iptables - Seza

Seza — Mon, 04 Aug 2008 20:12:33 +0200

EDIT : J'ai fait une petite mise à jour du tuto pour que ça soit plus clair.

Serveur Debian - Iptables - Seza

Seza — Mon, 04 Aug 2008 19:52:38 +0200

Oui ! Exact dans la précipitation je n'ai pas fait attention.

Néanmoins cette ligne n'est pas obligatoire si les connexions déjà établies sont autorisées par la ligne :

iptables -t filter -A OUTPUT -o eth0 -s 10.0.0.2 -m state --state RELATED,ESTABLISHED -j ACCEPT

La ligne que j'ai indiqué avec le --dport permet à la machine distante d'utiliser sont client ssh pour se connecter elle-même à une machine.

Serveur Debian - Iptables - Jb

Jb — Mon, 04 Aug 2008 14:04:23 +0200

La règle qu'il faut ajouter en OUTPUT n'est pas
iptables -t filter -A OUTPUT -o eth0 -s 10.0.0.2 -p tcp --dport 22 -j ACCEPT
mais
iptables -t filter -A OUTPUT -o eth0 -s 10.0.0.2 -p tcp --sport 22 -j ACCEPT
(il suffit de changer dport en sport), en effet, les connexions quittant le serveur SSH ont pour ORIGINE le port 22 mais pour DESTINATION un port arbitraire, déterminé par le client.

Serveur Debian - Iptables - Seza

Seza — Wed, 30 Jul 2008 12:11:55 +0200

Je n'ai jamais eu ce genre de problème. As-tu vérifié que les règles étais bien lancée au démarage ? J'imagine que oui. Et ça ne te le fait que pour SSH ou pour toutes les règles entrées ?

Désolé de poser autant de questions mais il faut des infos pour cerner le problème (quand on y arrive).

Serveur Debian - Iptables - Gaara

Gaara — Wed, 30 Jul 2008 06:26:15 +0200

Rien changé car comme dit plus haut, il me suffit de redémarrer iptables pour que cela marche ...
La règle n'est pas prise en compte lors du redémarrage du serveur, mais que lorsque je redémarre iptables ...

Bizarre non ?

Serveur Debian - installation de l'OS - Seza

Seza — Fri, 25 Jul 2008 18:54:56 +0200

Merci du conseil, je ne me suis pas sérieusement penché sur ntpdate sont fonctionnement étant très simple. Ta remarque est très judicieuse et je te remercie pour le conseil.

Serveur Debian - mysql - Seza

Seza — Fri, 25 Jul 2008 18:52:51 +0200

Oui ils sont désactivé en connaissance de cause, InnoDB fonctionne parfaitement sans log binaire.
Les logs binaires sont très utile pour géré les restaurations en cas de crash, la réplication de serveur etc... mais sont aussi consommateur de ressources.
Pour ma toute petite machine qui tient se blog j'ai fais ce choix de ne pas le utiliser. Je fais un instanné avec mysqldump de temps en temps et ça me suffit en terme de sauvegarde. Tant pis si je perd quelques post ou quelques commentaires.
Bien entendu c'est un choix à faire en connaissance des risques que l'on prend (et que j'aurais du expliquer dans ce tuto sûrement).

Serveur Debian - mysql - megar

megar — Fri, 25 Jul 2008 18:23:45 +0200

Oula, grosse erreur:
Tu utilises inno-db (bien !)
mais tu désactives les logs binaires. C'est pas bien du tout ça. D'ailleurs je ne savais pas qu'on pouvait utiliser innodb sans les binlog (tu es sûr qu'ils ne sont pas activés quand même ?)
Je crois que la gestion transactionnelle les utilise. Mais sinon, en cas de crash, c'est les logs qui peuvent te sauver la vie (si tu as une sauvegarde des fichiers de la base à chaud).
Mais si tu fais tes sauvegardes avec mysqldump, désactivier les logs, c'est une mauvaise habitude, surtout sur des serveurs plus consistants.

Serveur Debian - installation de l'OS - megar

megar — Fri, 25 Jul 2008 17:24:51 +0200

Utiliser ntpdate, c'est bien. Planifier l'exécution c'est très bien. Mais utiliser ntpd, c'est encore mieux, car cela évite d'avoir des "trous" quand l'horloge passe de 3:33:00 à 3:33:45 (ou pire à 3:32:10).
En effet, ntpd va "accélérer" ou "réduire" l'horloge pour être toujours synchrone.

J'ai acheté une carte mère le mois dernier qui avait un décalage de 6 minutes par heure (!!!). Je l'ai renvoyée et juré de ne plus acheter de carte mère d'entrée de gamme (pourtant une grande marque)

Serveur Debian - Iptables - Seza

Seza — Fri, 18 Jul 2008 13:05:55 +0200

Ton ssh est bien sur le port 22 ? Tu n'a pas changer le port pour le sécuriser par hasard ?

Serveur Debian - Iptables - Gaara

Gaara — Fri, 18 Jul 2008 11:26:22 +0200

Bonjour,

Pour se qui est de l'IP j'ai mit celle de mon serveur et j'ai aussi supprimé le proto UDP.
Par contre cela ne marche toujours pas, je dois toujours redémarrer iptables-conf pour que ma règle 22 soit prise en compte... ?

Cordialement.