Sur un de nos serveurs hébergés, nous devons installer et configurer rapidement un serveur FTP d'upload pour quelques-un de nos clients.

Notre plateforme de prédilection est désormais Ubuntu-Server étant donné le manque de visibilité de Mandriva. Voici décrites ci dessous les quelques étapes que nous avons suivi.

Installation de proftpd.

La distribution proftpd est contenu dans le repository universe d'Ubuntu que nous devons activer en décommentant dans le fichier /etc/apt/sources.list la ligne :

deb http://fr.archive.ubuntu.com/ubuntu/ edgy universe
deb-src http://fr.archive.ubuntu.com/ubuntu/ edgy universe

Ensuite on effectue un classique :

$ sudo apt-get update
$ sudo apt-get install proftpd

Dans le menu proposé, on choisit l'installation en "standalone" plutot qu'avec (x)inetd.

Configuration de proftpd.

La configuration par défaut laisse à désirer notamment au niveau de la sécurité.

Nous modifions donc le fichier /etc/proftpd/proftpd.conf en ajoutant les lignes suivantes :

## L'authentification s'appuye sur une liste explicite de comptes listés dans "/etc/proftpd/passwd"
AuthOrder mod_auth_file.c
AuthUserFile "/etc/proftpd/passwd"
AuthGroupFile "/etc/proftpd/group"

## Les utilisateurs sont chrootés dynamiquement lors de la connexion : il ne peuvent remonter le répertoire parent
DefaultRoot ~

## On désactive la bannière founrissant des informations sur la version du serveur
ServerIdent off

## les utilisateurs FTP n'ayant pas besoin de se logger autrement sur le serveur, leur shell est fixé à "/bin/false". La directive ci-dessous est nécessaire pour accepter ce fonctionnement.
RequireValidShell off

## Controle d'accès : par défaut tout est interdit !!
< LIMIT ALL>
  DenyAll
< /LIMIT>


## Controle d'accès : les utilisateurs peuvent écrire et lire dans leur répertoire respectif
< Directory ~ >
  < Limit READ WRITE RNFRM >
   AllowAll
  < /Limit >
  < Limit STOR >
   AllowAll
  < /Limit >
< /Directory >

# Umask 022 is a good standard umask to prevent new files and dirs
# (second parm) from being group and world writable.
Umask 022  022



Création des comptes FTP

Par défaut, tout compte déclaré dans le système et non  inclus dans le fichier "/etc/ftpusers" est apte à se connecter. Ce principe de black-list n'est évidemment pas acceptable au vu des risques encourus.

Nous préférons donc opter pour un système en liste blanche via les directives suivantes :

AuthOrder mod_auth_file.c
AuthUserFile "/etc/proftpd/passwd"
AuthGroupFile "/etc/proftpd/group"
 

ll faut ensuite à la fois créer les comptes dans le système (avec la commande useradd , par exemple) et pour la partie proftpd avec la commande :

/usr/sbin/ftpasswd --passwd --file=/etc/proftpd/passwd --name=mon_user --home=/home/mon_dir --shell=/bin/false --uid=1005

On notera que le uid (user identification number) fourni (ici "1005") doit correspondre à celui indiqué dans le fichier système /etc/password.