subject:"\[Ubuntu\-QC\] FTP et sécurité"

[Ubuntu-QC] FTP et sécurité

2009-10-07 Thread Gilbert Dion

Laisser le port 21 ouvert pour l'accès au serveur FTP présente-t-il du
danger pour la sécurité de mon système? Comme on peut le lire sur le site de
Gibson Research Corporation (grc.com - exécutez le programme Shields Up! de
ce site, qui vérifie les ports ouverts et les risques qui y sont associés):
*
*
*«FTP servers have many known security vulnerabilities and the payoff from
exploiting an insecure FTP server can be significant. This system's open FTP
port is inviting intruders to examine your system more closely.»*

Mon Firewall (Firestarter) bloque toutes les connections entrantes saut
celle liée à FTP où tout le monde peut venir se servir. Mais comme ceux qui
exploitent ce genre d'ouverture s'en prennent généralement à Windows, je
suppose que je peux dormir tranquille? À moins qu'il y ait des mesures à
prendre pour Linux/Ubuntu itou?

Gilbert
-- 
Ubuntu-quebec mailing list
Ubuntu-quebec@lists.ubuntu.com
https://lists.ubuntu.com/mailman/listinfo/ubuntu-quebec

Re: [Ubuntu-QC] FTP et sécurité

2009-10-07 Thread Martin Gamache

Je ne sais pas, mais par précaution, je change toujours le port d'un
service pour lui donner un nombre non standard, du genre 51000.  Pour
éviter de donner un port utilisé par autre chose, je consulte ceci :

http://en.wikipedia.org/wiki/List_of_TCP_and_UDP_port_numbers


Comme le port est non standard, les bots qui cherchent à exploiter les
ouvertures ont la vie un peu plus difficile, du moins c'est que j'aime
croire.  Peut-être que je me trompe.

Cela dit, un ordi Ubuntu est comme une maison dont toutes les pièces ont
une porte fermée à clé.  Une fois entré par la porte principale, ce
n'est pas si facile de faire du trouble...  Dans Windows, en revanche,
il y a des portes ouvertes, à ce que je sache, notamment parce MS veut
pouvoir vérifier certaines choses dans votre PC (dont la légitimité de
vos licenses...).

Mais quelqu'un de plus qualifié pourra me corriger.

Le jeudi 08 octobre 2009 à 00:54 -0400, Gilbert Dion a écrit :
> Laisser le port 21 ouvert pour l'accès au serveur FTP présente-t-il du
> danger pour la sécurité de mon système? Comme on peut le lire sur le
> site de Gibson Research Corporation (grc.com - exécutez le programme
> Shields Up! de ce site, qui vérifie les ports ouverts et les risques
> qui y sont associés):
> 
> 
> «FTP servers have many known security vulnerabilities and the payoff
> from exploiting an insecure FTP server can be significant. This
> system's open FTP port is inviting intruders to examine your system
> more closely.»
> 
> 
> 
> Mon Firewall (Firestarter) bloque toutes les connections entrantes
> saut celle liée à FTP où tout le monde peut venir se servir. Mais
> comme ceux qui exploitent ce genre d'ouverture s'en prennent
> généralement à Windows, je suppose que je peux dormir tranquille? À
> moins qu'il y ait des mesures à prendre pour Linux/Ubuntu itou?
> 
> 
> 
> Gilbert 
> 


-- 
Ubuntu-quebec mailing list
Ubuntu-quebec@lists.ubuntu.com
https://lists.ubuntu.com/mailman/listinfo/ubuntu-quebec

Re: [Ubuntu-QC] FTP et sécurité

2009-10-07 Thread Michael Faille

Bonjours a tous,

@Gilbert Dion:

Pour toute config de server FTP, voici ce que je te conseille:
- Inetd ouvre les connection a la demande. Donc, ton processus ne sera pas
loader en memoir s'il n'eat pas utilisé. Utilise inetd pour une saine
gestion des connection tel que le contole de la concurence (xinetd: permet
plus de rigeur... mais n'est pas toujours necessaire, dans le cas ou inetd
fait ton affaire, car il est plus compliquer a configurer).
- l'utilisateur/group qui lance le démon FTP doit etre un autre que "root";
doit avoir un nom d'utilisateur/group qui représente le type de serveur ex:
nom:group ; protocole-server-:protocole-serverftp-server:ftp-server
- Sécurité des dossier: ce doit etre l'utilisateur qui démarre le server ftp
qui y a accès en lecture.
- La racine de ton server FTP doit etre la racine de l'endrois ou tu veux
que les clients FTP aillent accès.
- pour crypter les connexion: FTPs peu-etre utlilis si ton client le permet,
tant qu'a faire, il y a WEBDAV en https ou bien ssh qui sont bien supporter
par des client tel que filezilla...
- Bien sur, comme *Martin Gamache* a dit, changer le port FTP 21 pour un
autre qui n'est pas dans cette liste
http://en.wikipedia.org/wiki/List_of_TCP_and_UDP_port_numbers est efficase.
Mais n'oublie pas que c'est moins user friendly car tu dois adapter le port
sur le client.
- Il y a dautre chose que tu peu faire pour la sécurité d'un server FTP mais
pour des besoin maison, ce que je t'ai dit est suffisant.

note: Quand un utilisateur autre que route a le controle d'un démon tu dois
t'assurer qui a accès en ecriture a tous les endrois ou le démon doit avoir
accès sinon le serveur ftp ne partira pas.

@*Martin Gamache*: Par defaut, dans le cas des porte ouvertes sous windows,
le pire est causé par le upnp. Ce protocole discute avec le routeur pour
ouvrir des port entrant a la demande des logiciel qui l'utilise. Par defaut
c'est le cas dans windows XP. Seulement dans Vista et Seven, c'est port sont
débloqué a la demande de l'utilisateur par l'intermédiaire de "nag screen"
qui ce souvient de ton choix. Il y a une aure facon que windows 7 et vista
on pour protégé les réseaux mais encore la c'est tres mal utiliser dapres ce
que j'ai vue sur les pc de ceux que je connais. C'est quand on  choisi
qu'elle type de réseau on veu utilisé lorsqu'un nouveau ete détecté. Les
firewall sont ainsi configurer en conséquence. Ces choix sont : public,
privé, buisiness. Ceci-dit sa semble interessant, seulement je doute que le
commun des mortels ne les utilisent bien.

Dans le cas des licences, elles sont négocier que pour valider les clef au
moment nécéssaire. Dans ce cas, c'est le PC de l'usager qui initie la
connection donc aucun port en mode "listen" sont ouvert pour ça. C'est pas
plus dangereux que de naviguer sur le web dans des site plus ou moins
connues.

Comme j'aimes bien le dire, "un Windows bien configurer est plus sécuritaire
q'un *nix négliger."

---
Michael Faille


2009/10/8 Martin Gamache 

> Je ne sais pas, mais par précaution, je change toujours le port d'un
> service pour lui donner un nombre non standard, du genre 51000.  Pour
> éviter de donner un port utilisé par autre chose, je consulte ceci :
>
> http://en.wikipedia.org/wiki/List_of_TCP_and_UDP_port_numbers
>
>
> Comme le port est non standard, les bots qui cherchent à exploiter les
> ouvertures ont la vie un peu plus difficile, du moins c'est que j'aime
> croire.  Peut-être que je me trompe.
>
> Cela dit, un ordi Ubuntu est comme une maison dont toutes les pièces ont
> une porte fermée à clé.  Une fois entré par la porte principale, ce
> n'est pas si facile de faire du trouble...  Dans Windows, en revanche,
> il y a des portes ouvertes, à ce que je sache, notamment parce MS veut
> pouvoir vérifier certaines choses dans votre PC (dont la légitimité de
> vos licenses...).
>
> Mais quelqu'un de plus qualifié pourra me corriger.
>
> Le jeudi 08 octobre 2009 à 00:54 -0400, Gilbert Dion a écrit :
> > Laisser le port 21 ouvert pour l'accès au serveur FTP présente-t-il du
> > danger pour la sécurité de mon système? Comme on peut le lire sur le
> > site de Gibson Research Corporation (grc.com - exécutez le programme
> > Shields Up! de ce site, qui vérifie les ports ouverts et les risques
> > qui y sont associés):
> >
> >
> > «FTP servers have many known security vulnerabilities and the payoff
> > from exploiting an insecure FTP server can be significant. This
> > system's open FTP port is inviting intruders to examine your system
> > more closely.»
> >
> >
> >
> > Mon Firewall (Firestarter) bloque toutes les connections entrantes
> > saut celle liée à FTP où tout le monde peut venir se servir. Mais
> > comme ceux qui exploitent ce genre d'ouverture s'en prennent
> > généralement à Windows, je suppose que je peux dormir tranquille? À
> > moins qu'il y ait des mesures à prendre pour Linux/Ubuntu itou?
> >
> >
> >
> > Gilbert
> >
>
>
> --
> Ubuntu-quebec mailing list
> Ubuntu-quebec@lists.ubuntu.com
> https://l

Re: [Ubuntu-QC] FTP et sécurité

2009-10-08 Thread Fabian Rodriguez

Gilbert Dion wrote:
> Laisser le port 21 ouvert pour l'accès au serveur FTP présente-t-il du
> danger pour la sécurité de mon système? 

Je ne connais pas de raison d'utiliser FTP quand SFTP ou SSH (SCP)
permettent de faire la même chose en en 100% libre tant sur Windows, Mac
OS que Linux. Voir:
http://en.wikipedia.org/wiki/File_Transfer_Protocol#Security_problems

Sans chiffrement le mot de passe d'une connection FTP sera "sniffée"
assez facilement, de par le design du protocole FTP. C'est un peu comme
utiliser telnet vs. SSH pour les accès à distance.

Filezilla me paraît bien pour les clients (sous Ubuntu c'est le paque
"filezilla"):
http://filezilla-project.org/download.php?type=client

A+

Fabian

-- 
Ubuntu-quebec mailing list
Ubuntu-quebec@lists.ubuntu.com
https://lists.ubuntu.com/mailman/listinfo/ubuntu-quebec

Re: [Ubuntu-QC] FTP et sécurité

2009-10-08 Thread David Montminy

Gilbert Dion wrote:
> Laisser le port 21 ouvert pour l'accès au serveur FTP présente-t-il du 
> danger pour la sécurité de mon système? Comme on peut le lire sur le 
> site de Gibson Research Corporation (grc.com  - exécutez 
> le programme Shields Up! de ce site, qui vérifie les ports ouverts et 
> les risques qui y sont associés):
> /
> /
> /«FTP servers have many known security vulnerabilities and the payoff 
> from exploiting an insecure FTP server can be significant. This system's 
> open FTP port is inviting intruders to examine your system more closely.»/
> 
> Mon Firewall (Firestarter) bloque toutes les connections entrantes saut 
> celle liée à FTP où tout le monde peut venir se servir. Mais comme ceux 
> qui exploitent ce genre d'ouverture s'en prennent généralement à 
> Windows, je suppose que je peux dormir tranquille? À moins qu'il y ait 
> des mesures à prendre pour Linux/Ubuntu itou?
> 
> Gilbert 
> 

Le problème de FTP c'est qu'il s'agit d'un protocol qui a été pensé bien 
avant la venue d'internet "commercial" (Le premier brouillon date de 
1971, le RFC "final" date de 1985). FTP a plusieurs problèmes:

1) L'authentification se fait en clair, sans encryption.
2) FTP utilise 2 ports: le port 21 et un port dynamique, choisi a chaque 
connection... ce qui rend la configuration des pare-feu (firewall) et 
des routers particulièrement problématique
http://www.ncftp.com/ncftpd/doc/misc/ftp_and_firewalls.html

À mon avis les alternatives sont meilleures:
1) SCP: Secure copy, une extention du protocole SSH qui permet de 
transfére des fichiers. Aucune configuration spéciale nécessaire sinon 
ouvrir le port SSH (port 22)
http://fr.wikipedia.org/wiki/Secure_copy
2) Webdav: un peu plus compliqué à installer et configurer, mais ce 
protocole est supporté nativement sur toutes les platformes. (incluant 
Windows 98)
http://fr.wikipedia.org/wiki/WebDAV

3) Dropbox ou Ubuntu-one permet de synchroniser des fichiers à distance
http://en.wikipedia.org/wiki/Dropbox_%28storage_provider%29
http://en.wikipedia.org/wiki/Ubuntu_One

David Montminy

-- 
Ubuntu-quebec mailing list
Ubuntu-quebec@lists.ubuntu.com
https://lists.ubuntu.com/mailman/listinfo/ubuntu-quebec

Re: [Ubuntu-QC] FTP et sécurité

2009-10-08 Thread Mathieu Trudel-Lapierre

2009/10/8 Fabian Rodriguez :

[...]

> Je ne connais pas de raison d'utiliser FTP quand SFTP ou SSH (SCP)
> permettent de faire la même chose en en 100% libre tant sur Windows, Mac
> OS que Linux. Voir:
> http://en.wikipedia.org/wiki/File_Transfer_Protocol#Security_problems
>

+1

SFTP se sert des mêmes commandes que FTP une fois la connection
établie... Et c'est si bien intégré dans Nautilus :)

Par contre, la suggestion de Martin de changer de port, c'est pas fou
du tout. Je remarque parfois des tentatives de connections sur mon
serveur SSH quand le port n'est pas changé... Mais il existe aussi des
moyens de contrer ce genre de chose, voir DenyHosts (paquet
"denyhosts").

/ Matt

-- 
Ubuntu-quebec mailing list
Ubuntu-quebec@lists.ubuntu.com
https://lists.ubuntu.com/mailman/listinfo/ubuntu-quebec

Re: [Ubuntu-QC] FTP et sécurité

2009-10-08 Thread Etienne Savard

Bonjour,

Je seconde la proposition: utilise SSH/SFTP au lieu de FTP.  Assure-toi
aussi de faire toutes les mises à jour de sécurité sur une base régulière.

Pour SSH, il y a ce petit guide très intéressant qui présente les 20
meilleurs trucs pour sécuriser un serveur OpenSSH:
http://www.cyberciti.biz/tips/linux-unix-bsd-openssh-server-best-practices.html

Étienne.

Le 8 octobre 2009 10:15, Mathieu Trudel-Lapierre  a
écrit :

> 2009/10/8 Fabian Rodriguez :
>
> [...]
>
> > Je ne connais pas de raison d'utiliser FTP quand SFTP ou SSH (SCP)
> > permettent de faire la même chose en en 100% libre tant sur Windows, Mac
> > OS que Linux. Voir:
> > http://en.wikipedia.org/wiki/File_Transfer_Protocol#Security_problems
> >
>
> +1
>
> SFTP se sert des mêmes commandes que FTP une fois la connection
> établie... Et c'est si bien intégré dans Nautilus :)
>
> Par contre, la suggestion de Martin de changer de port, c'est pas fou
> du tout. Je remarque parfois des tentatives de connections sur mon
> serveur SSH quand le port n'est pas changé... Mais il existe aussi des
> moyens de contrer ce genre de chose, voir DenyHosts (paquet
> "denyhosts").
>
> / Matt
>
> --
> Ubuntu-quebec mailing list
> Ubuntu-quebec@lists.ubuntu.com
> https://lists.ubuntu.com/mailman/listinfo/ubuntu-quebec
>
-- 
Ubuntu-quebec mailing list
Ubuntu-quebec@lists.ubuntu.com
https://lists.ubuntu.com/mailman/listinfo/ubuntu-quebec

[Ubuntu-QC] FTP et sécurité

Re: [Ubuntu-QC] FTP et sécurité

Re: [Ubuntu-QC] FTP et sécurité

Re: [Ubuntu-QC] FTP et sécurité

Re: [Ubuntu-QC] FTP et sécurité

Re: [Ubuntu-QC] FTP et sécurité

Re: [Ubuntu-QC] FTP et sécurité

7 matches

Site Navigation

Mail list logo

Footer information