Comment configurer FTP avec TLS dans Ubuntu
Installation de VSFTPD
VSFTPD (Daemon FTP très sécurisé) est un logiciel utilisé pour configurer FTP sur un serveur. Dans ce tutoriel, VSFTPD sera utilisé pour configurer le serveur FTP sur la machine. Avant d'installer VSFTPD, mettez à jour les référentiels dans votre serveur en émettant la commande suivante.
ubuntu @ ubuntu: ~ $ sudo apt-get update -y
Ensuite, installez VSFTPD en utilisant la commande suivante.
ubuntu @ ubuntu: ~ $ sudo apt-get install vsftpd -y
Enfin, vérifiez l'installation en vérifiant la version de VSFTPD avec la commande suivante.
ubuntu @ ubuntu: ~ $ vsftpd -v
La commande ci-dessus publiera la version de VSFTPD si l'installation est réussie.
FTP en mode actif
En mode actif, le client FTP démarre la session en établissant la connexion de contrôle TCP à partir de n'importe quel port aléatoire de la machine client vers le port 21 du serveur. Ensuite, le client commence à écouter sur un port aléatoire X pour une connexion de données et informe le serveur via la connexion de contrôle TCP que le client attend la connexion de données sur le port x. Après cela, le serveur établit une connexion de données de son port 20 vers le port X sur la machine client.
Un problème peut survenir lorsque le client est derrière un pare-feu et le port X est bloqué. Dans ce cas, le serveur n'est pas en mesure d'établir une connexion de données avec le client. Pour éviter ce problème, le serveur FTP est principalement utilisé en mode passif, dont nous discuterons plus loin dans cet article. Par défaut, VSFTPD utilise le mode passif, nous devrons donc le changer en mode actif.
Tout d'abord, ouvrez le fichier de configuration VSFTPD.
ubuntu @ ubuntu: ~ $ sudo nano / etc / vsftpd.confli
Ajouter la ligne suivante à la fin du fichier.
pasv_enable = non
Assurez-vous également que l'option «connect_from_port_20» est définie sur «Oui.«Cette option garantit que la connexion de données est établie sur le port 20 du serveur.
Ensuite, créez un répertoire que le serveur FTP utilisera pour stocker des fichiers. Pour ce tutoriel, nous configurerons '.
ubuntu @ ubuntu: ~ $ sudo mkdir / home / ubuntu / ftp
Maintenant, spécifiez ce répertoire dans le fichier de configuration en modifiant l'option «local_root». Le paramètre suivant configurera le chemin racine du serveur.
local_root = / home / ubuntu / ftp
L'option 'write_enable' doit être activée pour permettre aux utilisateurs d'écrire sur le serveur FTP.
Chaque fois que vous modifiez le fichier de configuration, redémarrez toujours le serveur.
ubuntu @ ubuntu: ~ $ sudo systemctl redémarrer vsftpd
Définir un mot de passe pour un utilisateur
Le client FTP se connecte avec le serveur à l'aide d'un nom d'utilisateur et d'un mot de passe. Définissez le mot de passe de votre utilisateur sur la machine à l'aide de la commande suivante.
ubuntu @ ubuntu: ~ $ sudo passwd ubuntu
La commande ci-dessus demandera le mot de passe pour l'utilisateur «Ubuntu».
Configuration du pare-feu pour le mode actif
Si FTP est utilisé en mode actif, le serveur FTP utilisera deux ports pour communiquer avec le client, les ports 21 et 22. Le port 21 est utilisé pour transmettre des commandes au client, et le port 20 est utilisé pour transférer des données vers n'importe quel port aléatoire du client. Nous utiliserons UFW pour configurer le pare-feu sur le serveur. Installez UFW en utilisant la commande suivante.
ubuntu @ ubuntu: ~ $ sudo apt-get install ufw
Maintenant, du côté du serveur, nous ouvrirons les ports 20, 21 et 22 (pour la connexion SSH).
ubuntu @ ubuntu: ~ $ sudo ufw autoriser de n'importe quel port proto tcp
Activer et vérifier l'état de l'UFW en utilisant les commandes suivantes.
ubuntu @ ubuntu: ~ $ sudo ufw activer
ubuntu @ ubuntu: ~ $ sudo ufw statut
NOTE: Si vous configurez votre serveur FTP sur le cloud, vous devrez également autoriser les ports 20, 21 et 22 dans le groupe de sécurité.
AVERTISSEMENT: Activez toujours le port 22, ainsi que les ports requis, avant d'activer UFW sur le système distant. Par défaut, UFW bloque le trafic du port 22, vous ne pourrez donc pas accéder à votre serveur distant à l'aide de SSH si vous activez UFW sans autoriser le trafic à partir du port 22.
Installation du client FTP
Maintenant, notre serveur est configuré en mode actif, et nous pouvons y accéder du côté client. Pour l'application client, nous utiliserons FileZilla, une application client FTP. Installez Filezilla à l'aide de la commande suivante.
ubuntu @ ubuntu: ~ $ sudo apt-get install filezilla -y
Ouvrez l'application client FTP et entrez l'adresse IP publique et d'autres informations d'identification du serveur FTP.
Lorsque vous cliquez sur «QuickConnect», vous vous connecteras au serveur FTP et être automatiquement adopté dans le répertoire spécifié dans l'option «local_root» dans le fichier de configuration «/ home / ubuntu / ftp».
Problèmes en mode actif
L'utilisation de FTP en mode actif soulève des problèmes lorsque le client est derrière le pare-feu. Après avoir saisi les commandes de contrôle initiales, lorsque le serveur crée une connexion de données avec le client sur un port aléatoire, le port peut être bloqué par le pare-feu sur le client, ce qui fait échouer le transfert de données. FTP peut être utilisé en mode passif pour résoudre ces problèmes de pare-feu.
FTP en mode passif
En mode passif, le client crée une connexion de contrôle avec le serveur du port 21 du serveur. Le client envoie ensuite la commande spéciale «PASV» pour informer le serveur que la connexion de données sera établie par le client au lieu du serveur. En réponse, le client reçoit le serveur IP et le numéro de port aléatoire (ce numéro de port sera configuré sur le serveur). Le client utilise ce numéro IP et de port pour créer une connexion de données avec le serveur. En mode passif, les connexions de données et de contrôle sont établies par le client, de sorte que le pare-feu ne perturbe pas la communication entre le client et le serveur.
Ouvrez le fichier de configuration FTP dans votre éditeur préféré.
ubuntu @ ubuntu: ~ $ sudo nano / etc / vsftpd.confli
Définissez l'option 'PASV_ENABLE' sur «Oui» dans le fichier afin que le serveur puisse communiquer avec le client en mode passif. Définissez également l'option «local_root» pour spécifier le répertoire racine du serveur et définir l'option `` write_enable '' sur `` Oui '' pour permettre aux utilisateurs de télécharger des fichiers sur le serveur.
Comme indiqué précédemment, la connexion de données est établie par le client, et le serveur envoie sa propriété intellectuelle et un port aléatoire au client pour créer une connexion de données. Ce port aléatoire sur le serveur peut être spécifié à partir d'une plage de ports dans le fichier de configuration.
La connexion de données entre le serveur et le client sera établie sur un port entre 1024 et 1048. Redémarrez le serveur FTP après avoir modifié le fichier de configuration.
ubuntu @ ubuntu: ~ $ sudo systemctl redémarrer vsftpd
Configuration du pare-feu en mode passif
Si nous utilisons FTP en mode passif, la connexion de données sera établie sur n'importe quel port de 1024 à 1048, il est donc nécessaire d'autoriser tous ces ports sur le serveur FTP.
ubuntu @ ubuntu: ~ $ sudo ufw autoriser de n'importe quel port proto tcp
Après avoir autorisé tous les ports sur le pare-feu, activez l'UFW en exécutant la commande suivante.
ubuntu @ ubuntu: ~ $ sudo ufw activer
Autoriser toujours les ports sur le serveur avant d'activer le pare-feu; Sinon, vous ne pourrez pas accéder à votre serveur via SSH en tant qu'UFW, qui bloque le port 22 par défaut.
Tester la connexion
Maintenant, nous avons configuré le serveur FTP en mode passif et pouvons vérifier la connexion FTP avec l'application client. Ouvrez Filezilla dans votre système pour le faire.
Après être entré dans l'hôte, nom d'utilisateur, mot de passe et port, vous pouvez maintenant vous connecter avec votre serveur. Maintenant que vous êtes connecté au serveur FTP en mode passif, vous pouvez télécharger des fichiers sur le serveur.
Configuration des certificats SSL avec le serveur FTP
Par défaut, le serveur FTP établit la connexion entre le client et le serveur sur un canal non garanti. Ce type de communication ne doit pas être utilisé si vous souhaitez partager des données sensibles entre le client et le serveur. Pour communiquer sur un canal sécurisé, il est nécessaire d'utiliser des certificats SSL.
Générer des certificats SSL
Nous utiliserons des certificats SSL pour configurer une communication sécurisée entre le client et le serveur. Nous générerons ces certificats en utilisant OpenSSL. La commande suivante générera des certificats SSL pour votre serveur.
ubuntu @ ubuntu: ~ $ sudo openssl req -x509 -Nodes -Day 365 -Newkey RSA: 2048 -Keyout / etc / ssl / private / vsftpd.pem -out / etc / ssl / private / vsftpd.pem
Lorsque vous exécutez la commande ci-dessus, on vous pose des questions. Après avoir répondu à ces questions, les certificats seront générés. Vous pouvez vérifier les certificats dans le terminal.
ubuntu @ ubuntu: ~ $ sudo ls / etc / ssl / private /
Utilisation de certificats dans le fichier de configuration
Maintenant, nos certificats sont prêts à l'emploi. Nous allons configurer le 'VSftpd.Fichier Conf 'pour utiliser les certificats SSL pour la communication. Ouvrez le fichier de configuration avec la commande suivante.
ubuntu @ ubuntu: ~ $ sudo nano / etc / vsftpd.confli
Ajoutez les lignes suivantes à la fin des fichiers. Ces modifications garantiront que le serveur FTP utilise les certificats SSL nouvellement générés pour communiquer en toute sécurité avec le client.
ssl_enable = oui
force_local_data_ssl = non
force_local_logins_ssl = non
ssl_tlsv1 = oui
ssl_sslv2 = non
ssl_sslv3 = non
rsa_cert_file = / etc / ssl / private / vsftpd.pem
rsa_private_key_file = / etc / ssl / private / vsftpd.pem
Redémarrez le serveur FTP pour appliquer ces modifications.
ubuntu @ ubuntu: ~ $ sudo systemctl redémarrer vsftpd
Après avoir redémarré le serveur, essayez de vous connecter avec votre serveur à l'aide de l'application client Filezilla. Cette fois, la demande client vous demandera de faire confiance à ces certificats.
Si vous avez des certificats d'une autorité de certificat de confiance, cet avertissement ne devrait pas apparaître. Nous avons généré nos certificats en utilisant OpenSSL, qui n'est pas une autorité de certificats de confiance, c'est pourquoi il a demandé l'authentification du certificat dans notre cas. Maintenant, nous pouvons communiquer entre le client et le serveur sur un canal sécurisé.
Configuration anonyme
Vous pouvez également activer la connexion anonyme sur votre serveur FTP. Avec cette configuration activée, tout utilisateur peut se connecter au serveur FTP avec n'importe quel nom d'utilisateur et mot de passe. Les paramètres suivants dans le fichier de configuration rendront le serveur FTP accessible de manière anonyme.
La configuration ci-dessus définit le chemin racin.
NOTE: Assurez-vous que le chemin «/ home / ubuntu / ftp / anon» existe sur le serveur FTP.
Maintenant, redémarrez le serveur FTP.
ubuntu @ ubuntu: ~ $ sudo systemctl redémarrer vsftpd
Après avoir redémarré le serveur, nous essaierons de nous connecter au serveur via le navigateur Google Chrome. Aller à l'URL suivante.
ftp: // 3.8.12.52
L'URL ci-dessus vous amènera au répertoire racine du serveur FTP, comme spécifié dans le fichier de configuration. Avec une connexion anonyme désactivée, lorsque vous essayez de vous connecter au serveur FTP à l'aide d'un navigateur, on vous demandera d'abord l'authentification, puis vous serez emmené dans le répertoire racine du serveur.
Configurer l'accès local
Nous pouvons également autoriser ou bloquer l'accès local au serveur FTP en modifiant le fichier de configuration. Actuellement, nous pouvons accéder localement à notre serveur FTP sans utiliser l'application client FTP, mais nous pouvons bloquer cet accès. Pour ce faire, nous devons modifier le paramètre «local_enable».
Tout d'abord, redémarrez le serveur FTP.
ubuntu @ ubuntu: ~ $ sudo systemctl redémarrer vsftpd
Après avoir redémarré le serveur, essayez d'accéder au serveur FTP localement en utilisant l'interface de ligne de commande. Connectez-vous à votre serveur distant à l'aide de SSH.
ubuntu @ ubuntu: ~ $ ssh ubuntu @ 3.8.12.52 -I
Maintenant, émettez la commande suivante pour vous connecter au serveur FTP localement à l'aide de l'interface de ligne de commande.
ubuntu @ ubuntu: ~ $ ftp localhost
Lorsque vous exécutez la commande ci-dessus, il lancera une erreur de 500.
Conclusion
Le protocole de transfert de fichiers est utilisé depuis de nombreuses années pour transférer des fichiers et des documents sur Internet. VSFTPD est l'un des packages utilisés comme serveur FTP sur votre machine. VSFTPD contient diverses configurations que vous pouvez utiliser pour personnaliser votre serveur FTP. Ce tutoriel vous a montré comment configurer un serveur FTP avec TLS pour une sécurité améliorée. Pour en savoir plus sur les configurations FTP, visitez le lien suivant.
http: // vsftpd.bêtes.org / vsftpd_conf.html