Contrôle de l'accès au serveur FTP

Vous pouvez utiliser les fichiers de configuration suivants dans le répertoire /etc/ftpd pour contrôler l'accès au serveur FTP.

• ftpusers est utilisé pour afficher une liste des utilisateurs qui se voient refuser l'accès au serveur FTP.

• ftphosts est utilisé pour autoriser ou refuser la connexion de différents hôtes à divers comptes sur le serveur FTP.

• ftpaccess est le fichier de configuration FTP principal. Le serveur FTP lit uniquement le fichier /etc/ftpd/ftpaccess s'il est appelé avec l'option -a. Lorsque le fichier ftpaccess est utilisé, tous les utilisateurs doivent être membres d'une classe pour être autorisé à accéder au serveur FTP. Vous pouvez spécifier de nombreuses directives ftpaccess qui s'appliquent uniquement à une classe particulière.

  Pour plus d'informations, reportez-vous aux pages de manuel ftpusers(4), ftphosts(4) et ftpaccess(4).

  ---

  Remarque - Dans tous les fichiers de configuration du serveur FTP, les lignes commençant par le signe # sont considérées comme des commentaires.

  ---

Définitions des classes de serveur FTP

Pour se connecter au serveur FTP, les utilisateurs doivent être membres d'une classe lorsque le fichier ftpaccess est utilisé. Pour ajouter la directive class au fichier ftpaccess, vous spécifiez le nom de class et la typelist d'utilisateurs qui sont autorisés à y accéder à partir d'un hôte particulier.

1. Connectez-vous en tant que superutilisateur ou endossez un rôle équivalent.

   Les rôles contiennent des autorisations et des commandes privilégiées. Pour plus d'informations sur les rôles, reportez-vous à la section Configuring RBAC (Task Map) du System Administration Guide: Security Services.

2. Ajoutez des entrées pour les utilisateurs anonymes (anonymous), invités (guest) et réels (real) dans le fichier ftpaccess.

   class class typelist addrglob[addrglob...]

   class

   Mot-clé utilisé pour définir les utilisateurs FTP.

   class

   Nom qui est défini par le mot-clé class. Chaque connexion est comparée à une liste de classes définies. L'utilisateur connecté est considéré comme un membre de la première classe qui correspond.

   typelist

   Une liste de mots-clés séparés par des virgules qui correspondent aux trois types d'utilisateurs : anonymous, guest et real.

   addrglob

   Nom de domaine ou adresse numérique glob. addrglob peut également être le nom d'un fichier, commençant par une barre oblique (`/`), qui contient d'autres globs d'adresse : address:netmask ou address/cidr.

   Voici quelques exemples d'adresses glob :

   • Adresse numérique IPv4 : 10.1.2.3

   • Nom de domaine glob *.provider.com

   • Adresse numérique IPv4 glob 10.1.2.*

   • Adresse numérique IPv4 : masque de réseau 10.1.2.0:255.255.255.0

   • Adresse numérique IPv4/CIDR 10.1.2.0/24

   • Adresse numérique IPv6 : 2000::56:789:21ff:fe8f:ba98

   • Adresse numérique IPv6/CIDR : 2000::56:789:21ff:fe8f:ba98/120

Exemple 28-1 Définition des classes du serveur FTP

class  local  real,guest,anonymous *.provider.com
class  remote real,guest,anonymous *

L'exemple précédent définit la classe local en tant qu'utilisateur de type real, guest ou anonymous qui se connecte à partir de *.provider.com. La dernière ligne définit remote en tant qu'utilisateur qui se connecte à partir de n'importe où excepté *.provider.com.

Définition de limites de connexions d'utilisateurs

Vous pouvez limiter le nombre de connexions simultanées par les utilisateurs d'une classe donnée à l'aide de directives qui sont définies dans le fichier ftpaccess. Chaque limite de connexion contient le nom d'une classe, une liste des jours de la semaine de type UUCP et un fichier du message à afficher si la limite est dépassée.

Pour définir les limites de connexions d'utilisateurs, suivez les étapes de la procédure suivante.

1. Connectez-vous en tant que superutilisateur ou endossez un rôle équivalent.

   Les rôles contiennent des autorisations et des commandes privilégiées. Pour plus d'informations sur les rôles, reportez-vous à la section Configuring RBAC (Task Map) du System Administration Guide: Security Services.

2. Ajoutez les entrées suivantes au fichier ftpaccess :

   limit class n times [message-file]

   limit

   Mot-clé qui est utilisé pour limiter les connexions simultanées par le nombre indiqué d'utilisateurs d'une classe définie sur des périodes de temps données.

   class

   Nom qui est défini par le mot-clé class. Chaque connexion est comparée à une liste de classes définies. L'utilisateur connecté est considéré comme un membre de la première classe qui correspond.

   n

   Nombre d'utilisateurs.

   times

   Jour de la semaine et heure de la journée auxquels la classe peut se connecter. Utilisez Any pour n'importe quel jour.

   message-file

   Fichier de message qui s'affiche si un utilisateur se voit refuser l'accès.

Exemple 28-2 Définition des limites de connexions d'utilisateurs

limit   anon     50  Wk0800-1800        /etc/ftpd/ftpmsg.deny
limit   anon    100  Any                /etc/ftpd/ftpmsg.deny
limit   guest   100  Any                /etc/ftpd/ftpmsg.deny

La première ligne de l'exemple ci-dessus présente une limite de 50 connexions simultanées autorisées pour les utilisateurs de la classe anon pendant les heures de travail hebdomadaires. La deuxième ligne limite les utilisateurs anon à 100 connexions simultanées en dehors des heures de travail. La dernière ligne montre une limite de 100 connexions guest qui sont autorisées à tout moment. Pour obtenir des informations sur la spécification des paramètres de jour et d'heure, reportez-vous à la page de manuel ftpaccess(4).

L'exemple indique en détails que le contenu du fichier /etc/ftpd/ftpmsg.deny est renvoyé lorsqu'une limite de connexion spécifiée est atteinte, en supposant que ftpmsg.deny existe. Pour plus d'informations sur l'utilisation de la commande /usr/sbin/ftpcount pour afficher le nombre et la limite de connexions pour chaque classe d'utilisateurs connectés à un moment donné, reportez-vous à la page de manuel ftpcount(1).

Les utilisateurs sont autorisés à se connecter au serveur FTP sauf si une limite spécifiée est atteinte. Les utilisateurs anonymes sont connectés en tant qu'utilisateur ftp. Les utilisateurs réels se connectent sous leur propre identité et les invités se connectent en tant qu'utilisateurs réels avec un environnement chroot pour limiter les privilèges d'accès.

Pour plus d'informations sur l'utilisation de la commande /usr/sbin/ftpwho pour vérifier les identités des utilisateurs connectés au serveur FTP, reportez-vous à la page de manuel ftpwho(1).

Contrôle du nombre de tentatives de connexion non valides

Si une connexion au serveur FTP échoue en raison d'un problème tel qu'une faute d'orthographe dans les informations requises, la connexion est généralement répétée. Un nombre spécifique de tentatives de connexion consécutives sont accordées à l'utilisateur avant qu'un message soit consigné dans le fichier syslog. À ce stade, l'utilisateur est déconnecté. Vous pouvez définir une limite d'échecs pour le nombre de tentatives de connexion en suivant les étapes de la procédure suivante.

1. Connectez-vous en tant que superutilisateur ou endossez un rôle équivalent.

   Les rôles contiennent des autorisations et des commandes privilégiées. Pour plus d'informations sur les rôles, reportez-vous à la section Configuring RBAC (Task Map) du System Administration Guide: Security Services.

2. Ajoutez les entrées suivantes au fichier ftpaccess.

   loginfails n

   loginfails

   Mot-clé qui permet d'affecter le nombre d'échecs de connexion autorisés avant que la connexion FTP soit interrompue.

   n

   Nombre de fois qu'une connexion peut échouer.

Exemple 28-3 Contrôle du nombre de tentatives de connexion non valides

loginfails 10

L'exemple ci-dessus indique que l'utilisateur est déconnecté du serveur FTP après 10 tentatives de connexion ayant abouti à un échec.

Interdiction de l'accès au serveur FTP à certains utilisateurs

Le fichier /etc/ftpd/ftpusers répertorie les noms des utilisateurs qui ne sont pas autorisés à se connecter au serveur FTP. Lorsqu'une connexion est effectuée, le serveur FTP vérifie le fichier /etc/ftpd/ftpusers afin de déterminer si l'accès doit être refusé à l'utilisateur. Si le nom de l'utilisateur n'est pas trouvé dans ce fichier, le serveur recherche ensuite dans le fichier /etc/ftpusers.

Si le nom de l'utilisateur est trouvé dans /etc/ftpusers, un message syslogd est écrit et contient une déclaration indiquant que la correspondance a été trouvée dans un fichier désapprouvé. Le message recommande également l'utilisation de /etc/ftpd/ftpusers au lieu de /etc/ftpusers.

Pour plus d'informations, reportez-vous aux pages de manuel syslogd(1M), in.ftpd(1M) et ftpusers(4).

1. Connectez-vous en tant que superutilisateur ou endossez un rôle équivalent.

   Les rôles contiennent des autorisations et des commandes privilégiées. Pour plus d'informations sur les rôles, reportez-vous à la section Configuring RBAC (Task Map) du System Administration Guide: Security Services.

2. Ajoutez des entrées au fichier /etc/ftpd/ftpusers pour les utilisateurs qui ne sont pas autorisés à se connecter au serveur FTP.

Exemple 28-4 Désactivation de l'accès au serveur FTP

root
daemon
bin
sys
adm
lp
uccp
nuucp
listen
nobody
noaccess
nobody4

L'exemple précédent répertorie les entrées standard dans le fichier ftpusers. Les noms d'utilisateur correspondent aux entrées de /etc/passwd. La liste inclut généralement l'utilisateur root et d'autres identités d'administration et d'applications du système.

L'entrée racine est incluse dans le fichier ftpusers comme mesure de sécurité. La stratégie de sécurité par défaut est d'interdire les connexions à distance pour root. La stratégie est également suivie pour la valeur par défaut qui est définie comme l'entrée CONSOLE dans /etc/default/loginfile. Reportez-vous à la page de manuel login(1).

Restriction de l'accès au serveur FTP par défaut

Outre les commandes mentionnées précédemment, vous pouvez ajouter des déclarations explicites dans le fichier ftpaccess pour restreindre l'accès au serveur FTP.

1. Connectez-vous en tant que superutilisateur ou endossez un rôle équivalent.

   Les rôles contiennent des autorisations et des commandes privilégiées. Pour plus d'informations sur les rôles, reportez-vous à la section Configuring RBAC (Task Map) du System Administration Guide: Security Services.

2. Ajoutez les entrées suivantes au fichier ftpaccess.
   1. Par défaut, tous les utilisateurs sont autorisés à accéder au serveur FTP (non virtuel) par défaut. Pour refuser l'accès à des utilisateurs spécifiques (autres que anonymous), ajoutez l'entrée suivante :

      defaultserver deny username [username...]

      defaultserver

      Mot-clé qui est utilisé pour identifier le serveur non virtuel auquel l'accès peut être refusé ou autorisé.

      username

      Nom de connexion d'un utilisateur avec un accès restreint au defaultserver.

   2. Afin d'autoriser l'accès aux utilisateurs qui ne sont pas répertoriés sur la ligne deny, ajoutez la ligne suivante :

      defaultserver allow username [username...]

   3. Pour empêcher l'accès aux utilisateurs anonymes, ajoutez l'entrée :

      defaultserver private

Exemple 28-5 Restriction de l'accès au serveur FTP par défaut

defaultserver deny *
defaultserver allow username

L'exemple précédent indique que le serveur FTP refuse l'accès à tous les utilisateurs à l'exception des utilisateurs anon et des utilisateurs qui sont répertoriés sur la ligne allow.

Vous pouvez également utiliser le fichier ftphosts pour refuser l'accès à des comptes de connexion donnés de divers hôtes. Pour plus d'informations, reportez-vous à la page de manuel ftphosts(4).