Le 06/09/2017 à 22:06, Thierry Bugier a écrit : > Et si on est en mode SSL explicite c'est au client de réclamer un > basculement en SSL. du coup si le client ne la réclame pas et envoie > des identifiants, ils seront envoyés en clair. Même si le serveur les > rejette car la communication n'est pas chiffrée, des identifiant > (potentiellement VALIDES) auront transité en clair. Il apparaît pourtant possible de configurer le serveur FTP pour qu'il rejette systématiquement les connexions non chiffrées... Le login/pass et tout le reste passera en chiffré automatiquement, sur la demande du serveur. Je pense qu'il s'agit de la config par défaut ? Chez proftpd (désolé pour l'anglais :s) http://www.proftpd.org/docs/howto/TLS.html :
Question: Does FTPS protect both the control connection *and* the data connections? Question: Short answer: yes. The long answer is, of course, that it depends. In the case of |mod_tls|, it depends on your |TLSRequired| setting. If you use: TLSRequired on then you are configuring |mod_tls| to *require* SSL/TLS protection for both control connections (/e.g./ protecting the username and password used to log in) /and/ data connections. If you have: TLSRequired off then it is up to the FTPS client whether both control and data connections will be protected via SSL/TLS. Other |TLSRequired| settings can be used to specify specific combinations: data connections only, control connections only, authentication plus data data connections only, /etc/. The |TLSRequired| documentation <http://www.proftpd.org/contrib/mod_tls.html#TLSRequired> has the details. (dommage, erreur 404 pour le lien vers la doc°) > Je ne dis pas le contraire, mais ssh est si facile à mettre en oeuvre > et sans risque majeur d'erreur ! > > apt install openssh-server et hop ! (après les paranos iront désactiver > le port forwarding et autres joyeusetés) Justement j'essaie de temps en temps à heure perdue de comprendre comment ces histoires d’échanges de clés entre serveurs fonctionnent, j'ai rien capté ! Je pense utiliser rsync via SSH, avec tâches cron derrière qui gèrent l'automatisme du truc... Où trouver ces clés, où les installer pour que ca fonctionne sans les mots de passe, comment bien configurer le serveur ssh (et les clients) pour un max de sécurité (virer "root" me parait la base car j'aime pas beaucoup savoir que mon serveur pourra être administrable par n'importe qui via internet, éviter que les autres comptes utilisateurs puissent fouiner dans tout le système... etc...). Mais là c'est un autre sujet ;))) (apparemment assez touffu !)
signature.asc
Description: OpenPGP digital signature