Il est intérressant de noter que PureFTPd à été développé dans une optique première de sécurité, contrairement à d'autres serveurs qui ont commencés par les fonctionnalités pour tenter de sécuriser leurs developpements ensuite (genre wu-ftpd ou proftpd...).
Connaissez vous d'autres serverus ftp n'ayant jamais eût de failles de sécurité ?
Il est même super facile de faire des serveurs ftp distincts par domaines (un peu comme les domaines virtuels avec Apache), on peut gerer le tout via un LDAP ou une base MySQL (users, droits, domaines...).
Quelqu'un à t'il une addresse qui explique un peu comment faire son LDAP pour gerer plusieurs domaines Apache + PureFTPd + exim ? Ou bien s'il existe un soft qui maintienne les configs des différents daemons ? Parce que si cela n'existe pas, il faudra l'inventer...
An attacker can use the globbing (wildcard) functionality available in some FTP daemons for a remote denial-of-service attack. This attack has been tested against ProFTP and PureFTPD. It has also been reported that some shells have this bug and can be exploited by a local user.
It is recommended that users watch their vendors for updates.
En effet. Toujours est-il que c'était avant la version 1.0, et que c'était un problème de déni de service, pas un exploit ou autre trou de sécurité.
Ce problème venant de la couche inférieure (la libc), je vois mal comment pure-ftpd aurait pu s'en prévenir, sauf à éviter l'utilisation de la libc pour cette fonctionnalité.
Désormais, on a le choix à la compilation:
soit on utilise le glob de la libc, soit on utilise le glob spécial pure-ftpd. On peut dans le dernier cas fixer une limite de récursion.
Une des fonctionnalités que je trouve vraiment géniale (peut-être n'est-ce pas exclusif à pure-ftpd), c'est le système d'utilisateurs FTP virtuels, avec système à la /etc/passwd, avec adduser, usermod, quota virtuels, chroot, etc...
On peut préciser l'ordre de recherche des utilisateurs (UNIX /etc/passwd, utilisateur virtuels PureDB, PAM, mysql, et les désactiver de façon sélective.
On peut générer des logs au format CLF (type Apache), pour profiter des nombreux outils de traitement de logs disponibles.
Comme je m'efforce de le faire comprendre à chaque fois, c'est le meilleur serveur FTP à mon sens, et de très loin.
L'essayer, c'est l'adopter ! (tm)
Un petit ./configure --without-banner à la compilation évitera déjà d'afficher le nom & la version du serveur FTP au login.
Ensuite un petit --with-paranoidmsg passé en paramètre de ton ./configure désactivera quasiment toutes les informations données aux utilisateurs.
Il suffit de chercher ;)
Quand à la gestion des droits par répertoire très honnètement je n'ai pas trop joué avec, mais je vois mal pour quel usage les permissions Unix standard ne te suffiraient pas.
# La sécurité avant tout
Posté par Jerome Demeyer . Évalué à 2.
Connaissez vous d'autres serverus ftp n'ayant jamais eût de failles de sécurité ?
Il est même super facile de faire des serveurs ftp distincts par domaines (un peu comme les domaines virtuels avec Apache), on peut gerer le tout via un LDAP ou une base MySQL (users, droits, domaines...).
Quelqu'un à t'il une addresse qui explique un peu comment faire son LDAP pour gerer plusieurs domaines Apache + PureFTPd + exim ? Ou bien s'il existe un soft qui maintienne les configs des différents daemons ? Parce que si cela n'existe pas, il faudra l'inventer...
[^] # Re: La sécurité avant tout
Posté par un nain_connu . Évalué à 1.
Euh pureftpd a été touché par la vulnérabilité 'glob'.
sur http://linux.oreillynet.com/pub/a/linux/2001/03/20/insecurities.htm(...)
Glob vulnerabilities
An attacker can use the globbing (wildcard) functionality available in some FTP daemons for a remote denial-of-service attack. This attack has been tested against ProFTP and PureFTPD. It has also been reported that some shells have this bug and can be exploited by a local user.
It is recommended that users watch their vendors for updates.
[^] # Re: La sécurité avant tout
Posté par bmc . Évalué à 10.
Ce problème venant de la couche inférieure (la libc), je vois mal comment pure-ftpd aurait pu s'en prévenir, sauf à éviter l'utilisation de la libc pour cette fonctionnalité.
Désormais, on a le choix à la compilation:
soit on utilise le glob de la libc, soit on utilise le glob spécial pure-ftpd. On peut dans le dernier cas fixer une limite de récursion.
Une des fonctionnalités que je trouve vraiment géniale (peut-être n'est-ce pas exclusif à pure-ftpd), c'est le système d'utilisateurs FTP virtuels, avec système à la /etc/passwd, avec adduser, usermod, quota virtuels, chroot, etc...
On peut préciser l'ordre de recherche des utilisateurs (UNIX /etc/passwd, utilisateur virtuels PureDB, PAM, mysql, et les désactiver de façon sélective.
On peut générer des logs au format CLF (type Apache), pour profiter des nombreux outils de traitement de logs disponibles.
Comme je m'efforce de le faire comprendre à chaque fois, c'est le meilleur serveur FTP à mon sens, et de très loin.
L'essayer, c'est l'adopter ! (tm)
[^] # Re: La sécurité avant tout
Posté par f l . Évalué à 1.
Moi je l'ai essayé et j'avoue que la verbosité excessive du soft m'a vraiment laissé perplexe
Quand on se log on a un message du genre:
" <<Welcome to >PureFTPd< v 1.01 <+> KIKOUUU!! <>
Running on Linux 2.4.16
There is xxx free space on drive /dev blahbalh"
Enfin j'exagere un peu :p mais je trouve qu'il donnait bcp trop d'infos sur le systeme.
Et j'avais pas trouvé comment le desactiver.
Sinon il a une gestion des droits par repetoire qui est moins avancée que celle de proftpd par ex
[^] # Re: La sécurité avant tout
Posté par ZeAuReLiEn . Évalué à 3.
Ensuite un petit --with-paranoidmsg passé en paramètre de ton ./configure désactivera quasiment toutes les informations données aux utilisateurs.
Il suffit de chercher ;)
Quand à la gestion des droits par répertoire très honnètement je n'ai pas trop joué avec, mais je vois mal pour quel usage les permissions Unix standard ne te suffiraient pas.
[^] # Re: La sécurité avant tout
Posté par Tony Flow . Évalué à 1.
Enfin, c'est toujours ça !
# Utilisateurs UNIX
Posté par gillesvalfre . Évalué à 1.
Comment empecher les utilisateurs UNIX de se connecter et de n'utiliser que les utilisateurs définis par pure-pw ??
Merci.
Suivre le flux des commentaires
Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.