Mémento 9.11 - FTP chiffré SSH
Le service SFTP sera activé sur la VM srvdmz.
La configuration traitera d'un accès SFTP sur le site Dotclear ceci en respectant les droits d'accès et permissions exigés par le serveur Apache sur le dossier /var/www/html/dotclear/.
1 - Préambule
Pourquoi choisir le protocole SFTP plutôt que FTP ?
FTP est de base non sécurisé, ses Cdes et données ne sont pas chiffrées, on peut donc intercepter le MDP de connexion ou le contenu des fichiers échangés.
Le chiffrement FTPS est possible mais exige une configuration plus lourde.
SFTP est plus simple à mettre en œuvre. Il est fourni avec le paquet openssh-server et permet de base le chiffrement des Cdes et données transmises.
Il vérifie l’identité du client et chiffre les fichiers/dossiers échangés une fois la connexion sécurisée établie.
Il utilise les règles de chiffrement SSH (Secure SHell).
2 - Installation du serveur SFTP
Installez le paquet openssh-server :
[srvdmz@srvdmz:~$] sudo apt install openssh-server
La dépendance openssh-sftp-server a été ajoutée et des fichiers de configuration ont été créés dans /etc/ssh/.
3 - Création d'un dossier miroir pour Dotclear
3.1 - Droits d'accès et permissions à préserver
L'utilisateur Apache sous Debian 11 étant par défaut www-data , vous avez attribué celui-ci et son groupe associé aux dossiers et fichiers de Dotclear lors de l'installation du CMS.
Les scripts PHP de Dotclear ont ainsi hérité des droits d'accès en écriture leur permettant de mettre à jour localement le contenu de /var/www/html/dotclear/.
Rappel des permissions utilisées par Dotclear :
- Dossiers = 755
soit propriétaire u drwx, groupe g r-x, autres o r-x
- Fichiers = 644
soit propriétaire u rw-, groupe g r--, autres o r--
Les écritures effectuées depuis un client SFTP ne doivent pas modifier cette configuration au risque de voir Dotclear ne plus pouvoir se mettre à jour.
Une technique pour éviter cela consiste à créer un dossier miroir du dossier Web de Dotclear.
3.2 - Création du dossier miroir
L'outil bindfs liera le dossier /var/www/html/dotclear/ à un dossier miroir dédié aux accès SFTP. Les écritures effectuées à l'intérieur de ce dernier n'affecteront pas les droits d'accès et permissions du dossier Web.
Le dossier miroir appartiendra au groupe sftp-groupe et à l'utilisateur sftpdmz.
Commencez par la création du dossier miroir :
[srvdmz@srvdmz:~$] cd /home [srvdmz@srvdmz:~$] sudo mkdir -p sftpdmz/sites-web/dotclear
Créez ensuite son groupe sftp-groupe :
[srvdmz@srvdmz:~$] sudo addgroup sftp-groupe
et son utilisateur sftpdmz que vous lierez à sftp-groupe :
[srvdmz@srvdmz:~$] sudo useradd -d /home/sftpdmz/sites-web/dotclear -g sftp-groupe sftpdmz
Avant d'aller plus loin, effectuez les contrôles ci-après :
[srvdmz@srvdmz:~$] cat /etc/group | grep sftp-groupe
Retour :
sftp-groupe:x:1001:
[srvdmz@srvdmz:~$] cat /etc/passwd | grep sftpdmz
Retour :
sftpdmz:x:1001:1001::/home/sftpd.../dotclear:/bin/sh
[srvdmz@srvdmz:~$] id sftpdmz
Retour :
uid=1001(sftpdmz) gid=1001(sftp-groupe) groupes=1001(sftp-groupe)
[srvdmz@srvdmz:~$] groups sftpdmz
Retour :
sftpdmz : sftp-groupe
Enfin, appliquez ces permissions sur le dossier miroir :
[srvdmz@srvdmz:~$] sudo chown sftpdmz:sftp-groupe /home/sftpdmz/sites-web/dotclear [srvdmz@srvdmz:~$] sudo chmod 755 /home/sftpdmz/sites-web/dotclear
et terminez en créant un MDP pour l'utilisateur sftpdmz :
[srvdmz@srvdmz:~$] sudo passwd sftpdmz
3.3 - Utilisation de bindfs pour remplir le miroir
[srvdmz@srvdmz:~$] sudo apt install bindfs
L'outil fuse qui sera utilisé ci-dessous est déjà installé.
Pour remplir automatiquement le miroir, éditez fstab :
[srvdmz@srvdmz:~$] sudo nano /etc/fstab
et ajoutez les 2 lignes suivantes à la fin du fichier :
# Montage automatique du dossier miroir de Dotclear bindfs#/var/www/html/dotclear /home/sftpdmz/sites-web/dotclear fuse force-user=sftpdmz,force-group=sftp-groupe,create-for-user=www-data,create-for-group=www-data,create-with-perms=ud=rwx:god=rx:uf=rw:gof=r,chgrp-ignore,chown-ignore,chmod-ignore 0 0
La deuxième ligne doit être écrite sur une seule ligne.
La Cde create-with-perms suit les permissions 755/644.
Redémarrez afin de traiter la Cde bindfs du fichier fstab :
[srvdmz@srvdmz:~$] sudo reboot
et vérifiez ensuite le contenu du dossier miroir :
[srvdmz@srvdmz:~$] sudo ls -l /home/sftpdmz/sites-web/dotclear
Retour :
drwxr-xr-x 6 sftpdmz sftp-groupe ... admin
drwxr-xr-x 6 sftpdmz sftp-groupe ... cache
-rw-r--r-- 1 sftpdmz sftp-groupe ... CHANGELOG
-rw-r--r-- 1 sftpdmz sftp-groupe ... CONTRIBUT...
-rw-r--r-- 1 sftpdmz sftp-groupe ... CREDITS
drwxr-xr-x 2 sftpdmz sftp-groupe ... db
drwxr-xr-x 9 sftpdmz sftp-groupe ... inc
-rw-r--r-- 1 sftpdmz sftp-groupe ... index.php
-rw-r--r-- 1 sftpdmz sftp-groupe ... LICENSE
drwxr-xr-x 4 sftpdmz sftp-groupe ... locales
...
ainsi que celui du dossier /var/www/html/dotclear/ :
[srvdmz@srvdmz:~$] sudo ls -l /var/www/html/dotclear
Retour :
drwxr-xr-x 6 www-data www-data ... admin
drwxr-xr-x 6 www-data www-data ... cache
-rw-r--r-- 1 www-data www-data ... CHANGELOG
-rw-r--r-- 1 www-data www-data ... CONTRIBUT...
-rw-r--r-- 1 www-data www-data ... CREDITS
drwxr-xr-x 2 www-data www-data ... db
drwxr-xr-x 9 www-data www-data ... inc
-rw-r--r-- 1 www-data www-data ... index.php
-rw-r--r-- 1 www-data www-data ... LICENSE
drwxr-xr-x 4 www-data www-data ... locales
...
Constat :
- Les permissions dossiers/fichiers sont identiques.
- Les utilisateurs/groupes sont correctement affectés.
4 - Réglages SFTP et test de connexion locale
Editez le fichier de configuration du démon SSH :
[srvdmz@srvdmz:~$] sudo nano /etc/ssh/sshd_config
Commentez les 2 lignes suivantes :
X11Forwarding yes Subsystem sftp /usr/lib/openssh/sftp-server
et ajoutez en fin de fichier ce groupe de lignes :
# Configuration sshd de l'hôte srvdmz Subsystem sftp internal-sftp Port 384 PermitRootLogin no Match User sftpdmz ChrootDirectory /home/sftpdmz/sites-web X11Forwarding no AllowTcpForwarding no ForceCommand internal-sftp -u 022
Explications :
- Choix sous-système internal-sftp et non sftp-serveur.
- Port SSH 384 au lieu du port 22 par défaut.
- Accès SSH interdit en tant qu'utilisateur root.
- Accès SSH restreint à l'utilisateur sftpdmz.
- Accès limité au dossier racine /home/.../sites-web/.
- Transfert d'affichage graphique X11 désactivé.
- Redirection de port TCP, tunnel SSH, désactivée.
- Cdes limitées à celles du sous-système internal-sftp.
- Umask 022 = 755 (dossiers) et 644 (fichiers).
Vérifiez afin que le ChrootDirectory (limite dossier racine) fonctionne que le propriétaire des dossiers sftpdmz et sites-web soit bien l'utilisateur root :
[srvdmz@srvdmz:~$] ls -l /home [srvdmz@srvdmz:~$] ls -l /home/sftpdmz
Retour :
drwxr-xr-x 3 root root 4096 11 avril 14:01 sftpdmz
drwxr-xr-x 3 root root 4096 11 avril 14:01 sites-web
Redémarrez le serveur SSH :
[srvdmz@srvdmz:~$] sudo systemctl restart ssh [srvdmz@srvdmz:~$] sudo systemctl status ssh
Retour :
● ssh.service - OpenBSD Secure Shell server
Loaded: loaded (/lib/systemd/system/ssh.service...
Active: active (running) since Mon 2022...; 9s ago
Docs: man:sshd(8)
man:sshd_config(5)
Process: 1352 ExecStartPre=/usr/sbin... =0/SUCCESS)
Main PID: 1353 (sshd)
Tasks: 1 (limit: 1116)
Memory: 1.1M
CPU: 52ms
CGroup: /system.slice/ssh.service
└─1353 sshd: /usr/sbin/sshd -D ...
... srvdmz systemd[1]: Starting OpenBSD Secure ...
... srvdmz sshd[1353]: ...ening on 0.0.0.0 port 384.
... srvdmz sshd[1353]: ...tening on :: port 384.
... srvdmz systemd[1]: Started OpenBSD Secure ...
Avant de continuer, ajoutez une image dans le dossier partagé par l'hôte de VirtualBox.
Testez ensuite une connexion locale :
[srvdmz@srvdmz:~$] sudo sftp -o Port=384 sftpdmz@loupvirtuel.fr
Retour :
The authenticity ... '[loupvirtuel.fr]:384 ([192...
ECDSA key fingerprint is SHA256:5p7EbJsL...
Are you sure ... continue connecting (yes/...)? yes
Warning: Permanently added '[loupvirtuel.fr]...
sftpdmz@loupvirtuel.fr's password: votre MDP sftpdmz
Connected to loupvirtuel.fr.
sftp> ls
dotclear
sftp> cd dotclear/public
sftp> ls
sftp> (dossier public vide de base)
et déposez l'image (Ex : image-1.jpg) dans public :
sftp> put /home/srvdmz/Partage/image-1.jpg
Uploading /home.../image-1.jpg to /dotclear...
/home/srvdmz/Partage/image-1.jpg 100% 333KB ...
sftp> quit
Vérifiez l'attribution des droits d'accès et permissions :
[srvdmz@srvdmz:~$] sudo ls -l /var/www/html/dotclear/public/image-1.jpg
Retour :
-rw-r--r-- 1 www-data www-data ... /.../image-1.jpg
Résultat OK :
Droits d'accès à www-data et permissions à 644.
5 - Connexion distante depuis debian11-vm1
5.1 - Ajout sur la VM du client SFTP FileZilla
Installez le client graphique sur la VM debian11-vm1 :
[client-linux@debian11-vm1:~$] sudo apt install filezilla
Ouvrez ensuite l'application graphique FTP/SFTP :
- Menu Applications > Internet > Icône FileZilla
Cliquez sur l'icône située la plus à gauche de la barre des icônes afin d'ouvrir le Gestionnaire de Sites et cliquez sur le bouton Nouveau site.
Créez le site loupvirtuel.fr comme montré ci-dessous :
- Onglet Général
- Onglet Avancé
et traitez pour finir la fenêtre de gestion des MDP :
5.2 - Test de connexion distante
Vous êtes maintenant prêt pour effectuer un test. Cliquez sur la flèche située à droite de l'icône du Gestionnaire de Sites et sélectionnez loupvirtuel.fr .
La connexion débute :
- Une fenêtre Clé de l'hôte inconnue s'ouvre.
- Cochez Toujours faire confiance à cet hôte... et validez.
La connexion SFTP est à présent établie et sécurisée :
Cliquez sur le cadenas orange pour découvrir les détails du chiffrement.
6 - Contrôle de bon fonctionnement du SFTP
- Client FileZilla de debian11-vm1
a) Vous devez pouvoir :
- Télécharger dans /home/client-linux/Documents/.
- Envoyer un dossier/fichier dans /dotclear/.
- Créer un nouveau dossier/fichier dans /dotclear/.
- Supprimer un dossier/fichier dans /dotclear/.
- Modifier un dossier/fichier dans /doctlear/.
b) Vous ne devez pas pouvoir :
- Naviguer au delà de la racine / (Chroot).
c) Les droits d'accès et permissions affichés pour le dossier distant /dotclear doivent être :
- 755 pour les dossiers et 644 pour les fichiers.
- Propriétaire sftpdmz (uid=1001).
- Groupe sftp-groupe (gid=1001).
- VM srvdmz
Affichez les droits d'accès et permissions pour le dossier /var/www/html/dotclear/public/:
[srvdmz@srvdmz:~$] sudo ls -l /var/www/html/dotclear/public
Exemple de retour selon le contenu courant :
total 340
-rw-r--r-- 1 www-data www-data ... image-1.jpg
drwxr-xr-x 2 www-data www-data ... test-dossier
-rw-r--r-- 1 www-data www-data ... test-sftp.txt
Soit :
- 755 pour les dossiers et 644 pour les fichiers.
- Propriétaire www-data (uid=33)
- Groupe www-data (gid=33).
6.1 - Réparation des permissions au cas où ...
En cas de problème, utilisez les Cdes ci-dessous pour rétablir en une fois les bonnes permissions sur tous les fichiers et dossiers de Dotclear :
[srvdmz@srvdmz:~$] cd /var/www/html/dotclear [srvdmz@srvdmz:~$] sudo find . -type d -exec chmod 755 {} \; [srvdmz@srvdmz:~$] sudo find . -type f -exec chmod 644 {} \;
Corrigez ensuite votre configuration et effectuez un nouveau contrôle de bon fonctionnement.
J'espère que cela vous a plu. Le
mémento 9.21 vous attend pour la
mise en place du protocole FTPS
avec le serveur VsFTPd. A bientôt.