Re: Pure FTPD config
Bonjour Le 08/11/2011 13:58, Tahar BEN ACHOUR a écrit : Bonjour à tous, J'ai besoin de renforcer la sécurité de mon serveur ftp, j'utilise pure-ftpd et je voudrais faire en sorte à ce que celui qui fait 3 tentatives de connexion non réussies soit banni pendant un laps de temps, est ce que c'est faisable ? Une règle iptables de type ci dessous devrait le faire # This rate-limits any source to 3 new FTP communication attempts every 3 minutes iptables -N FTP_CHECK iptables -A FTP_CHECK -m recent --set --name FTP iptables -A FTP_CHECK -m recent --update --seconds 180 --hitcount 3 --name FTP -j DROP # Secure FTP connections iptables -A INPUT -p tcp --dport 21 -m state --state NEW -j FTP_CHECK [...] -- Daniel -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists Pour vous DESABONNER, envoyez un message avec comme objet unsubscribe vers debian-user-french-requ...@lists.debian.org En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org Archive: http://lists.debian.org/4eb92ada.7040...@tootai.net
Re: Pure FTPD config
Bonjour, Le mardi 08 novembre 2011, Tahar BEN ACHOUR a écrit... J'ai besoin de renforcer la sécurité de mon serveur ftp, j'utilise pure-ftpd et je voudrais faire en sorte à ce que celui qui fait 3 tentatives de connexion non réussies soit banni pendant un laps de temps, est ce que c'est faisable ? fail2ban est ton ami. 220-- Welcome to Pure-FTPd [privsep] [TLS] -- 220-You are user number 2 of 50 allowed. 220-Local time is now 13:50. Server port: 21. 220-This is a private system - No anonymous login 220-IPv6 connections are also welcome on this server. 220 You will be disconnected after 15 minutes of inactivity. Sinon une dernière question svp, comment changer le message d'accueil du moins le 220-- Welcome to Pure-FTPd [privsep] [TLS] -- La doc de pure-ftpd tu dois lire ! /usr/share/doc/pure-ftpd-common/README.gz (chercher banner, par exemple). -- jm -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists Pour vous DESABONNER, envoyez un message avec comme objet unsubscribe vers debian-user-french-requ...@lists.debian.org En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org Archive: http://lists.debian.org/2008132805.GH4575@espinasse
Re : Pure FTPD config
Merci pour vos réponses, mais rien ne marche aucune option n'est prise en considération et en regardant mes logs j'ai le message suivant (?@?) [ERROR] Unable to start a standalone server ça expliquerait pourquoi plusieurs options qui ne peuvent être appliqué que si on est en mode STANDALONE, j'ai un inetd.conf avec la ligne ftp stream tcp nowait root /usr/sbin/tcpd /usr/sbin/pure-ftpd-wrapper Mais le service inetd n'est pas installé ou démarré, d'ailleurs je ne voudrais pas l'utiliser, ni utiliser xinetd ou bien je n'ai pas le choix pour pure-ftpd ? Encore merci. - Mail original - De : Jean-Michel OLTRA jm.oltra.antis...@espinasse.net À : debian-user-french@lists.debian.org Cc : Envoyé le : Mardi 8 Novembre 2011 14h28 Objet : Re: Pure FTPD config Bonjour, Le mardi 08 novembre 2011, Tahar BEN ACHOUR a écrit... J'ai besoin de renforcer la sécurité de mon serveur ftp, j'utilise pure-ftpd et je voudrais faire en sorte à ce que celui qui fait 3 tentatives de connexion non réussies soit banni pendant un laps de temps, est ce que c'est faisable ? fail2ban est ton ami. 220-- Welcome to Pure-FTPd [privsep] [TLS] -- 220-You are user number 2 of 50 allowed. 220-Local time is now 13:50. Server port: 21. 220-This is a private system - No anonymous login 220-IPv6 connections are also welcome on this server. 220 You will be disconnected after 15 minutes of inactivity. Sinon une dernière question svp, comment changer le message d'accueil du moins le 220-- Welcome to Pure-FTPd [privsep] [TLS] -- La doc de pure-ftpd tu dois lire ! /usr/share/doc/pure-ftpd-common/README.gz (chercher banner, par exemple). -- jm -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists Pour vous DESABONNER, envoyez un message avec comme objet unsubscribe vers debian-user-french-requ...@lists.debian.org En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org Archive: http://lists.debian.org/2008132805.GH4575@espinasse -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists Pour vous DESABONNER, envoyez un message avec comme objet unsubscribe vers debian-user-french-requ...@lists.debian.org En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org Archive: http://lists.debian.org/1320760632.60464.yahoomail...@web26307.mail.ukl.yahoo.com
Re: Re : Pure FTPD config
Bonjour, Le mardi 08 novembre 2011, Tahar BEN ACHOUR a écrit... Merci pour vos réponses, mais rien ne marche aucune option n'est prise en considération et en regardant mes logs j'ai le message suivant (?@?) [ERROR] Unable to start a standalone server ça expliquerait pourquoi plusieurs options qui ne peuvent être appliqué que si on est en mode STANDALONE, j'ai un inetd.conf avec la ligne ftp stream tcp nowait root /usr/sbin/tcpd /usr/sbin/pure-ftpd-wrapper Mais le service inetd n'est pas installé ou démarré, d'ailleurs je ne voudrais pas l'utiliser, ni utiliser xinetd ou bien je n'ai pas le choix pour pure-ftpd ? Standalone, ou inetd, ça se paramètre dans /etc/default/pure-ftpd-common. Par défaut, standalone, il me semble. Donc standalone pour toi si tu n'y a pas touché (à vérifier) et ta ligne ne sert à rien (surtout si inetd n'est pas installé !). Il me semble que pure-ftpd ne démarre pas si une option est erronée. Il me semble également qu'il y a une option de débogage, ou de verbosité, que tu pourrais activer. Tu devrais peut-être regarder tes options de plus près, quitte à les désactiver toutes et à les ré-activer une à une. C'est assez bourrin, mais ça fonctionne ! D'ailleurs, ton serveur fonctionne t-il ? C'est à dire : peux tu te loger dessus, et y effectuer des manipulations ? -- jm -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists Pour vous DESABONNER, envoyez un message avec comme objet unsubscribe vers debian-user-french-requ...@lists.debian.org En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org Archive: http://lists.debian.org/2008140623.GI4575@espinasse
Re : Re : Pure FTPD config
Le mardi 08 novembre 2011, Tahar BEN ACHOUR a écrit... Standalone, ou inetd, ça se paramètre dans /etc/default/pure-ftpd-common. Par défaut, standalone, il me semble. Donc standalone pour toi si tu n'y a pas touché (à vérifier) et ta ligne ne sert à rien (surtout si inetd n'est pas installé !). C'est déjà le cas je l'ai mis en STANDALONE dans mon /etc/default/pure-ftpd-common Il me semble que pure-ftpd ne démarre pas si une option est erronée. Il me semble également qu'il y a une option de débogage, ou de verbosité, que tu pourrais activer. Tu devrais peut-être regarder tes options de plus près, quitte à les désactiver toutes et à les ré-activer une à une. C'est assez bourrin, mais ça fonctionne ! le démarrage de mon serveur passe les options suivantes /usr/sbin/pure-ftpd -l puredb:/etc/pure-ftpd/pureftpd.pdb -l pam -E -y 1:0 -A -u 1000 -X -R -C 1 -x -b -c 20 -O clf:/var/log/pure-ftpd/transfer.log -B J'ai activé des options en créant les fichiers nécessaires dans /etc/pure-ftpd/conf echo clf:/var/log/pure-ftpd/transfer.log AltLog echo 1000 MinUID echo yes ProhibitDotFilesRead echo yes BrokenClientsCompatibility echo yes NoAnonymous echo yes ProhibitDotFilesWrite echo yes ChrootEveryone echo yes NoChmod echo /etc/pure-ftpd/pureftpd.pdb PureDB echo 20 MaxClientsNumber echo no PAMAuthentication echo no UnixAuthentication echo 1 MaxClientsPerIP echo 1 0 PerUserLimits et lors du démarrage du service toutes ces options sont activées, sauf qu'elles ne semblent pas être prises en considération c'est ce que je n'arrive pas à comprendre, j'ai cherché dans la documentation et je n'ai pas l'impression d'avoir une erreur, d'ailleurs je n'ai pas de fichier de conf genre pure-ftpd.conf, je fait tout en ligne de commande et même par exemple j'ai fait une limite pour un utilisateur pour ouvrir une seule session uniquement et pourtant j'arrive à en ouvrir 4 ou 5 avec le même login. je suis sous debian 5 et la version de pure-ftpd est 1.0.21-11.4 Merci pour votre aide. D'ailleurs, ton serveur fonctionne t-il ? C'est à dire : peux tu te loger dessus, et y effectuer des manipulations ? -- jm -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists Pour vous DESABONNER, envoyez un message avec comme objet unsubscribe vers debian-user-french-requ...@lists.debian.org En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org Archive: http://lists.debian.org/2008140623.GI4575@espinasse -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists Pour vous DESABONNER, envoyez un message avec comme objet unsubscribe vers debian-user-french-requ...@lists.debian.org En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org Archive: http://lists.debian.org/1320762164.4725.yahoomail...@web26306.mail.ukl.yahoo.com
Re: Re : Re : Pure FTPD config
Le 08/11/2011 15:22, Tahar BEN ACHOUR a écrit : [...] le démarrage de mon serveur passe les options suivantes /usr/sbin/pure-ftpd -l puredb:/etc/pure-ftpd/pureftpd.pdb -l pam -E -y 1:0 -A -u 1000 -X -R -C 1 -x -b -c 20 -O clf:/var/log/pure-ftpd/transfer.log -B J'ai activé des options en créant les fichiers nécessaires dans /etc/pure-ftpd/conf echo clf:/var/log/pure-ftpd/transfer.log AltLog echo 1000 MinUID echo yes ProhibitDotFilesRead echo yes BrokenClientsCompatibility echo yes NoAnonymous echo yes ProhibitDotFilesWrite echo yes ChrootEveryone echo yes NoChmod echo /etc/pure-ftpd/pureftpd.pdb PureDB echo 20 MaxClientsNumber echo no PAMAuthentication echo no UnixAuthentication echo 1 MaxClientsPerIP echo 1 0 PerUserLimits et lors du démarrage du service toutes ces options sont activées, sauf qu'elles ne semblent pas être prises en considération c'est ce que je n'arrive pas à comprendre, j'ai cherché dans la documentation et je n'ai pas l'impression d'avoir une erreur, d'ailleurs je n'ai pas de fichier de conf genre pure-ftpd.conf, je fait tout en ligne de commande et même par exemple j'ai fait une limite pour un utilisateur pour ouvrir une seule session uniquement et pourtant j'arrive à en ouvrir 4 ou 5 avec le même login. Si ton utilisateur existe deja, pure-pw usermod login -y 1 puis tu reconstruits la base pwd. Plus qu'une seule connexion possible pour cet utilisateur. -- Daniel -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists Pour vous DESABONNER, envoyez un message avec comme objet unsubscribe vers debian-user-french-requ...@lists.debian.org En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org Archive: http://lists.debian.org/4eb949d6.4010...@tootai.net
Re : Re : Re : Pure FTPD config
Bonjour, Si ton utilisateur existe deja, pure-pw usermod login -y 1 puis tu reconstruits la base pwd. Plus qu'une seule connexion possible pour cet utilisateur. Oui quand je fais ça ça marche, mais je pensais passer des valeurs globales pour que ça s'applique à tous les utilisateurs, mais apparemment ce n'est pas le cas, j'ai fait un script pour modifier tous mes utilisateurs et les limiter à une seule session, mais par exemple si je veux par exemple une seule connexion Ftp par IP même en faisant echo 1 /etc/pure-ftpd/conf/MaxClientsPerIP J'arrive quand même à ouvrir plusieurs session depuis mon IP ! c'est ce que je n'arrive pas à comprendre en fait. Merci pour votre aide -- Daniel -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists Pour vous DESABONNER, envoyez un message avec comme objet unsubscribe vers debian-user-french-requ...@lists.debian.org En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org Archive: http://lists.debian.org/4eb949d6.4010...@tootai.net -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists Pour vous DESABONNER, envoyez un message avec comme objet unsubscribe vers debian-user-french-requ...@lists.debian.org En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org Archive: http://lists.debian.org/1320766916.58490.yahoomail...@web26304.mail.ukl.yahoo.com
Re: Pure FTPD config
On Tue, 8 Nov 2011 15:41:56 + (GMT) Tahar BEN ACHOUR tahar...@yahoo.fr wrote: ... J'arrive quand même à ouvrir plusieurs session depuis mon IP ! c'est ce que je n'arrive pas à comprendre en fait. ça ne veut pas dire qu'elles soient toutes *actives*. -- An Irishman is never at peace except when he's fighting. -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists Pour vous DESABONNER, envoyez un message avec comme objet unsubscribe vers debian-user-french-requ...@lists.debian.org En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org Archive: http://lists.debian.org/2008165012.006074fe@anubis.defcon1