Mémento 9.1 - FTP chiffré SSH
Le service SFTP sera activé sur la VM srvdmz.
La configuration traitera d'un accès SFTP sur le site WordPress ceci en respectant les droits d'accès et permissions exigés par le serveur Apache sur le dossier /var/www/wordpress/.
1 - Préambule
Pourquoi choisir le protocole SFTP plutôt que FTP ?
FTP est de base non sécurisé, ses Cdes et données ne sont pas chiffrées, on peut donc intercepter le MDP de connexion ou le contenu des fichiers échangés.
Le chiffrement FTPS est possible mais exige une configuration plus lourde.
SFTP est plus simple à mettre en œuvre. Il est fourni avec le paquet openssh-server et permet de base le chiffrement des Cdes et données transmises.
Il vérifie l’identité du client et chiffre les fichiers/dossiers échangés une fois la connexion sécurisée établie.
Il utilise les règles de chiffrement SSH (Secure SHell).
2 - Installation du serveur SFTP
Installez le paquet openssh-server :
[srvdmz@srvdmz:~$] sudo apt install openssh-server
La dépendance openssh-sftp-server a été ajoutée et des fichiers de configuration ont été créés dans /etc/ssh/.
3 - Création d'un dossier miroir pour WordPress
3.1 - Droits d'accès et permissions à préserver
L'utilisateur Apache sous Debian 10 étant par défaut www-data , vous avez attribué celui-ci et son groupe associé aux dossiers et fichiers de WordPress lors de l'installation du CMS.
Les scripts PHP de WordPress ont ainsi hérité des droits d'accès en écriture leur permettant de mettre à jour localement le contenu de /var/www/wordpress/.
Rappel des permissions utilisées par WordPress :
- Dossiers = 755
soit propriétaire u drwx, groupe g r-x, autres o r-x
- Fichiers = 644
soit propriétaire u rw-, groupe g r--, autres o r--
Les écritures effectuées depuis un client SFTP ne doivent pas modifier cette configuration au risque de voir WordPress ne plus pouvoir se mettre à jour.
Une technique pour éviter cela consiste à créer un dossier miroir du dossier Web de WordPress.
3.2 - Création du dossier miroir
L'outil bindfs liera le dossier Web /var/www/wordpress/ à un dossier miroir dédié aux accès SFTP. Les écritures effectuées à l'intérieur de ce dernier n'affecteront pas les droits d'accès et permissions du dossier Web.
Le dossier miroir appartiendra au groupe sftp-groupe et à l'utilisateur sftpdmz.
Commencez par la création du dossier miroir :
[srvdmz@srvdmz:~$] cd /home [srvdmz@srvdmz:~$] sudo mkdir -p sftpdmz/sites-web/wordpress
Créez ensuite son groupe sftp-groupe :
[srvdmz@srvdmz:~$] sudo addgroup sftp-groupe
et son utilisateur sftpdmz que vous lierez à sftp-groupe :
[srvdmz@srvdmz:~$] sudo useradd -d /home/sftpdmz/sites-web/wordpress -g sftp-groupe sftpdmz
Avant d'aller plus loin, effectuez les contrôles ci-après :
[srvdmz@srvdmz:~$] cat /etc/group | grep sftp-groupe
Retour :
sftp-groupe:x:1001:
[srvdmz@srvdmz:~$] cat /etc/passwd | grep sftpdmz
Retour :
sftpdmz:x:1001:1001::/home/sftpd.../wordpress:/bin/sh
[srvdmz@srvdmz:~$] id sftpdmz
Retour :
uid=1001(sftpdmz) gid=1001(sftp-groupe) groupes=1001(sftp-groupe)
[srvdmz@srvdmz:~$] groups sftpdmz
Retour :
sftpdmz : sftp-groupe
Enfin, appliquez ces permissions sur le dossier miroir :
[srvdmz@srvdmz:~$] sudo chown sftpdmz:sftp-groupe /home/sftpdmz/sites-web/wordpress [srvdmz@srvdmz:~$] sudo chmod 755 /home/sftpdmz/sites-web/wordpress
et terminez en créant un MDP pour l'utilisateur sftpdmz :
[srvdmz@srvdmz:~$] sudo passwd sftpdmz
3.3 - Utilisation de bindfs pour remplir le miroir
[srvdmz@srvdmz:~$] sudo apt install bindfs
Le paquet fuse est ajouté comme dépendance.
Pour remplir automatiquement le miroir, éditez fstab :
[srvdmz@srvdmz:~$] sudo nano /etc/fstab
et ajoutez les 2 lignes suivantes à la fin du fichier :
# Montage automatique du dossier miroir de WordPress bindfs#/var/www/wordpress /home/sftpdmz/sites-web/wordpress fuse force-user=sftpdmz,force-group=sftp-groupe,create-for-user=www-data,create-for-group=www-data,create-with-perms=ud=rwx:god=rx:uf=rw:gof=r,chgrp-ignore,chown-ignore,chmod-ignore 0 0
La deuxième ligne doit être écrite sur une seule ligne.
La Cde create-with-perms suit les permissions 755/644.
Redémarrez afin de traiter la Cde bindfs du fichier fstab :
[srvdmz@srvdmz:~$] sudo reboot
et vérifiez ensuite le contenu du dossier miroir :
[srvdmz@srvdmz:~$] sudo ls -l /home/sftpdmz/sites-web/wordpress
Retour :
-rw-r--r-- 1 sftpdmz sftp-groupe ... index.php
-rw-r--r-- 1 sftpdmz sftp-groupe ... license.txt
-rw-r--r-- 1 sftpdmz sftp-groupe ... readme.html
-rw-r--r-- 1 sftpdmz sftp-groupe ... wp-activ...
drwxr-xr-x 9 sftpdmz sftp-groupe ... wp-admin
-rw-r--r-- 1 sftpdmz sftp-groupe ... wp-blog...
-rw-r--r-- 1 sftpdmz sftp-groupe ... wp-comm...
-rw-r--r-- 1 sftpdmz sftp-groupe ... wp-conf...
-rw-r--r-- 1 sftpdmz sftp-groupe ... wp-conf...
drwxr-xr-x 7 sftpdmz sftp-groupe ... wp-content
-rw-r--r-- 1 sftpdmz sftp-groupe ... wp-cron.php
...
ainsi que celui du dossier /var/www/wordpress/ :
[srvdmz@srvdmz:~$] sudo ls -l /var/www/wordpress
Retour :
-rw-r--r-- 1 www-data www-data ... index.php
-rw-r--r-- 1 www-data www-data ... license.txt
-rw-r--r-- 1 www-data www-data ... readme.html
-rw-r--r-- 1 www-data www-data ... wp-activ...
drwxr-xr-x 9 www-data www-data ... wp-admin
-rw-r--r-- 1 www-data www-data ... wp-blog...
-rw-r--r-- 1 www-data www-data ... wp-comm...
-rw-r--r-- 1 www-data www-data ... wp-conf...
-rw-r--r-- 1 www-data www-data ... wp-conf...
drwxr-xr-x 7 www-data www-data ... wp-content
-rw-r--r-- 1 www-data www-data ... wp-cron.php
...
Constat :
- Les permissions dossiers/fichiers sont identiques.
- Les utilisateurs/groupes sont correctement affectés.
4 - Réglages SFTP et test de connexion locale
Editez le fichier de configuration du démon SSH :
[srvdmz@srvdmz:~$] sudo nano /etc/ssh/sshd_config
Commentez les 2 lignes suivantes :
X11Forwarding yes Subsystem sftp /usr/lib/openssh/sftp-server
et ajoutez en fin de fichier ce groupe de lignes :
# Configuration sshd de l'hôte srvdmz Subsystem sftp internal-sftp Port 384 PermitRootLogin no Match User sftpdmz ChrootDirectory /home/sftpdmz/sites-web X11Forwarding no AllowTcpForwarding no ForceCommand internal-sftp -u 022
Explications :
- Choix sous-système internal-sftp et non sftp-serveur.
- Port SSH 384 au lieu du port 22 par défaut.
- Accès SSH interdit en tant qu'utilisateur root.
- Accès SSH restreint à l'utilisateur sftpdmz.
- Accès limité au dossier racine /home/.../sites-web/.
- Transfert d'affichage graphique X11 désactivé.
- Redirection de port TCP, tunnel SSH, désactivée.
- Cdes limitées à celles du sous-système internal-sftp.
- Umask 022 = 755 (dossiers) et 644 (fichiers).
Vérifiez afin que le ChrootDirectory (limite dossier racine) fonctionne que le propriétaire des dossiers sftpdmz et sites-web soit bien l'utilisateur root :
[srvdmz@srvdmz:~$] ls -l /home [srvdmz@srvdmz:~$] ls -l /home/sftpdmz
Retour :
drwxr-xr-x 3 root root 4096 févr. 15 14:02 sftpdmz
drwxr-xr-x 3 root root 4096 févr. 15 14:03 sites-web
Redémarrez le serveur SSH :
[srvdmz@srvdmz:~$] sudo systemctl restart ssh [srvdmz@srvdmz:~$] sudo systemctl status ssh
Retour :
● ssh.service - OpenBSD Secure Shell server
Loaded: loaded (/lib/systemd/system/ssh.servic...
Active: active (running) since Sat 202...; 7s ago
Docs: man:sshd(8)
man:sshd_config(5)
Process: 1371 ExecStartPre=/usr/sbi... =0/SUCCESS)
Main PID: 1372 (sshd)
Tasks: 1 (limit: 679)
Memory: 1.3M
CGroup: /system.slice/ssh.service
└─1372 /usr/sbin/sshd -D
... srvdmz systemd[1]: Starting OpenBSD Secure ...
... srvdmz sshd[1372]: ...ening on 0.0.0.0 port 384.
... srvdmz sshd[1372]: ...tening on :: port 384.
... srvdmz systemd[1]: Started OpenBSD Secure ...
Avant de continuer, ajoutez une image dans le dossier partagé par l'hôte de VirtualBox.
Testez ensuite une connexion locale :
[srvdmz@srvdmz:~$] sudo sftp -o Port=384 sftpdmz@loupvirtuel.fr
Retour :
The authenticity ... '[loupvirtuel.fr]:384 ([192...
ECDSA key fingerprint is SHA256:7Qg/NS...
Are you sure ... continue connecting (yes/no)? yes
Warning: Permanently added '[loupvirtuel.fr] ...
sftpdmz@loupvirtuel.fr's password: Votre MDP sftpdmz
Connected to sftpdmz@loupvirtuel.fr.
sftp> ls
wordpress
sftp> cd wordpress/wp-content/uploads
sftp> ls
2020
et déposez l'image (Ex : logo.png) dans uploads :
sftp> put /home/srvdmz/Partages/logo.png
Uploading /home... /logo.png to /wordpress...
/home/srvdmz/Partages/logo.png 100% ... 00:00
sftp> quit
Vérifiez l'attribution des droits d'accès et permissions :
[srvdmz@srvdmz:~$] sudo ls -l /var/www/wordpress/wp-content/uploads/logo.png
Retour :
-rw-r--r-- 1 www-data www-data ... /var/.../logo.png
Résultat OK :
Droits d'accès à www-data et permissions à 644.
5 - Connexion distante depuis debian10-vm1
5.1 - Ajout sur la VM du client SFTP FileZilla
Installez le client graphique sur la VM debian10-vm1 :
[client-linux@debian10-vm1:~$] sudo apt install filezilla
Ouvrez ensuite l'application graphique FTP/SFTP :
- Menu Applications > Internet > Icône FileZilla
Cliquez sur l'icône située la plus à gauche de la barre des icônes afin d'ouvrir le Gestionnaire de Sites et cliquez sur le bouton Nouveau Site.
Créez le site loupvirtuel.fr comme montré ci-dessous :
- Onglet Général
- Onglet Avancé
et traitez pour finir la fenêtre de gestion des MDP :
5.2 - Test de connexion distante
Vous êtes maintenant prêt pour effectuer un test. Cliquez sur la flèche située à droite de l'icône du Gestionnaire de Sites et sélectionnez loupvirtuel.fr .
La connexion débute :
- Une fenêtre Clé de l'hôte inconnue s'ouvre.
- Cochez Toujours faire confiance à cet hôte... et validez.
La connexion SFTP est à présent établie et sécurisée :
Cliquez sur le cadenas orange pour découvrir les détails du chiffrement.
6 - Contrôle de bon fonctionnement du SFTP
- Client FileZilla de debian10-vm1
a) Vous devez pouvoir :
- Télécharger dans /home/client-linux/Documents.
- Envoyer un dossier/fichier dans /wordpress.
- Créer un nouveau dossier/fichier dans /wordpress.
- Supprimer un dossier/fichier dans /wordpress.
- Modifier un dossier/fichier dans /wordpress.
b) Vous ne devez pas pouvoir :
- Naviguer au delà de la racine / (Chroot).
c) Les droits d'accès et permissions affichés pour le dossier distant /wordpress doivent être :
- 755 pour les dossiers et 644 pour les fichiers.
- Propriétaire sftpdmz (uid=1001).
- Groupe sftp-groupe (gid=1001).
- VM srvdmz
Affichez les droits d'accès et permissions pour le dossier /var/www/wordpress/.../uploads/ :
[srvdmz@srvdmz:~$] sudo ls -l /var/www/wordpress/wp-content/uploads
Retour :
total 24
drwxr-xr-x 3 www-data www-data ...
-rw-r--r-- 1 www-data www-data ... logo.png
-rw-r--r-- 1 www-data www-data ... test-sftp.txt
...
Soit :
- 755 pour les dossiers et 644 pour les fichiers.
- Propriétaire www-data (uid=33).
- Groupe www-data (gid=33).
6.1 - Réparation des permissions au cas où ...
En cas de problème, utilisez les Cdes ci-dessous pour rétablir en une fois les bonnes permissions sur tous les fichiers et dossiers de WordPress :
[srvdmz@srvdmz:~$] cd /var/www/wordpress [srvdmz@srvdmz:~$] sudo find . -type d -exec chmod 755 {} \; [srvdmz@srvdmz:~$] sudo find . -type f -exec chmod 644 {} \;
Corrigez ensuite votre configuration et effectuez un nouveau contrôle de bon fonctionnement.
J'espère que cela vous a plu. Le
mémento 9.2 vous attend pour la
mise en place du protocole FTPS
avec le serveur VsFTPd. A bientôt.
Top ton tuto
Bravo!
Je vais dépoussiérer une machine et lui installer IPfire, + un serveur + PiHole
Question :
Si j’installe IPfire sur Cette machien avec virtualbox, je vais pouvoir utiliser mon IPfire avec desPortables en externe ?