SFTP – WordPress / Debian 10

Mémento 9.1 - FTP chiffré SSH

Le service SFTP sera activé sur la VM srvdmz.

La configuration traitera d'un accès SFTP sur le site WordPress ceci en respectant les droits d'accès et permissions exigés par le serveur Apache sur le dossier /var/www/wordpress/.

1 - Préambule

Pourquoi choisir le protocole SFTP plutôt que FTP ?

FTP est de base non sécurisé, ses Cdes et données ne sont pas chiffrées, on peut donc intercepter le MDP de connexion ou le contenu des fichiers échangés.

Le chiffrement FTPS est possible mais exige une configuration plus lourde.

SFTP est plus simple à mettre en œuvre. Il est fourni avec le paquet openssh-server et permet de base le chiffrement des Cdes et données transmises.

Il vérifie l’identité du client et chiffre les fichiers/dossiers échangés une fois la connexion sécurisée établie.

Il utilise les règles de chiffrement SSH (Secure SHell).

2 - Installation du serveur SFTP

Installez le paquet openssh-server :

[srvdmz@srvdmz:~$] sudo apt install openssh-server

La dépendance openssh-sftp-server a été ajoutée et des fichiers de configuration ont été créés dans /etc/ssh/.

3 - Création d'un dossier miroir pour WordPress

3.1 - Droits d'accès et permissions à préserver

L'utilisateur Apache sous Debian 10 étant par défaut www-data , vous avez attribué celui-ci et son groupe associé aux dossiers et fichiers de WordPress lors de l'installation du CMS.

Les scripts PHP de WordPress ont ainsi hérité des droits d'accès en écriture leur permettant de mettre à jour localement le contenu de /var/www/wordpress/.

Rappel des permissions utilisées par WordPress :
- Dossiers = 755
soit propriétaire u drwx, groupe g r-x, autres o r-x

- Fichiers = 644
soit propriétaire u rw-, groupe g r--, autres o r--

Les écritures effectuées depuis un client SFTP ne doivent pas modifier cette configuration au risque de voir WordPress ne plus pouvoir se mettre à jour.

Une technique pour éviter cela consiste à créer un dossier miroir du dossier Web de WordPress.

3.2 - Création du dossier miroir

L'outil bindfs liera le dossier Web /var/www/wordpress/ à un dossier miroir dédié aux accès SFTP. Les écritures effectuées à l'intérieur de ce dernier n'affecteront pas les droits d'accès et permissions du dossier Web.

Le dossier miroir appartiendra au groupe sftp-groupe et à l'utilisateur sftpdmz.

Commencez par la création du dossier miroir :

[srvdmz@srvdmz:~$] cd /home
[srvdmz@srvdmz:~$] sudo  mkdir -p sftpdmz/sites-web/wordpress 

Créez ensuite son groupe sftp-groupe :

[srvdmz@srvdmz:~$] sudo addgroup sftp-groupe 

et son utilisateur sftpdmz que vous lierez à sftp-groupe :

[srvdmz@srvdmz:~$] sudo useradd -d /home/sftpdmz/sites-web/wordpress -g sftp-groupe sftpdmz 

Avant d'aller plus loin, effectuez les contrôles ci-après :

[srvdmz@srvdmz:~$] cat /etc/group | grep sftp-groupe 

Retour :

sftp-groupe:x:1001:
 [srvdmz@srvdmz:~$] cat /etc/passwd | grep sftpdmz 

Retour :

sftpdmz:x:1001:1001::/home/sftpd.../wordpress:/bin/sh
[srvdmz@srvdmz:~$] id sftpdmz 

Retour :

uid=1001(sftpdmz) gid=1001(sftp-groupe) groupes=1001(sftp-groupe)
[srvdmz@srvdmz:~$] groups sftpdmz

Retour :

sftpdmz : sftp-groupe

Enfin, appliquez ces permissions sur le dossier miroir :

[srvdmz@srvdmz:~$] sudo  chown sftpdmz:sftp-groupe /home/sftpdmz/sites-web/wordpress

[srvdmz@srvdmz:~$] sudo  chmod 755 /home/sftpdmz/sites-web/wordpress

et terminez en créant un MDP pour l'utilisateur sftpdmz :

[srvdmz@srvdmz:~$] sudo passwd sftpdmz

3.3 - Utilisation de bindfs pour remplir le miroir

[srvdmz@srvdmz:~$] sudo apt install bindfs

Le paquet fuse est ajouté comme dépendance.

Pour remplir automatiquement le miroir, éditez fstab :

[srvdmz@srvdmz:~$] sudo nano /etc/fstab

et ajoutez les 2 lignes suivantes à la fin du fichier :

# Montage automatique du dossier miroir de WordPress 

bindfs#/var/www/wordpress /home/sftpdmz/sites-web/wordpress fuse force-user=sftpdmz,force-group=sftp-groupe,create-for-user=www-data,create-for-group=www-data,create-with-perms=ud=rwx:god=rx:uf=rw:gof=r,chgrp-ignore,chown-ignore,chmod-ignore 0 0

La deuxième ligne doit être écrite sur une seule ligne.

La Cde create-with-perms suit les permissions 755/644.

Redémarrez afin de traiter la Cde bindfs du fichier fstab :

[srvdmz@srvdmz:~$] sudo reboot

et vérifiez ensuite le contenu du dossier miroir :

[srvdmz@srvdmz:~$] sudo ls -l /home/sftpdmz/sites-web/wordpress 

Retour :

-rw-r--r--  1 sftpdmz sftp-groupe  ...  index.php
-rw-r--r--  1 sftpdmz sftp-groupe  ...  license.txt
-rw-r--r--  1 sftpdmz sftp-groupe  ...  readme.html
-rw-r--r--  1 sftpdmz sftp-groupe  ...  wp-activ...
drwxr-xr-x  9 sftpdmz sftp-groupe  ...  wp-admin
-rw-r--r--  1 sftpdmz sftp-groupe  ...  wp-blog...
-rw-r--r--  1 sftpdmz sftp-groupe  ...  wp-comm...
-rw-r--r--  1 sftpdmz sftp-groupe  ...  wp-conf...
-rw-r--r--  1 sftpdmz sftp-groupe  ...  wp-conf...
drwxr-xr-x  7 sftpdmz sftp-groupe  ...  wp-content
-rw-r--r--  1 sftpdmz sftp-groupe  ...  wp-cron.php
...

ainsi que celui du dossier /var/www/wordpress/ :

[srvdmz@srvdmz:~$] sudo ls -l /var/www/wordpress 

Retour :

-rw-r--r--  1 www-data www-data  ...  index.php
-rw-r--r--  1 www-data www-data  ...  license.txt
-rw-r--r--  1 www-data www-data  ...  readme.html
-rw-r--r--  1 www-data www-data  ...  wp-activ...
drwxr-xr-x  9 www-data www-data  ...  wp-admin
-rw-r--r--  1 www-data www-data  ...  wp-blog...
-rw-r--r--  1 www-data www-data  ...  wp-comm...
-rw-r--r--  1 www-data www-data  ...  wp-conf...
-rw-r--r--  1 www-data www-data  ...  wp-conf...
drwxr-xr-x  7 www-data www-data  ...  wp-content
-rw-r--r--  1 www-data www-data  ...  wp-cron.php
...

Constat :
- Les permissions dossiers/fichiers sont identiques.
- Les utilisateurs/groupes sont correctement affectés.

4 - Réglages SFTP et test de connexion locale

Editez le fichier de configuration du démon SSH :

[srvdmz@srvdmz:~$] sudo  nano /etc/ssh/sshd_config

Commentez les 2 lignes suivantes :

X11Forwarding yes
Subsystem          sftp          /usr/lib/openssh/sftp-server

et ajoutez en fin de fichier ce groupe de lignes :

# Configuration sshd de l'hôte srvdmz
Subsystem     sftp     internal-sftp
Port 384                                                                   
PermitRootLogin no                                               
Match User sftpdmz                                              
ChrootDirectory  /home/sftpdmz/sites-web
X11Forwarding no
AllowTcpForwarding no
ForceCommand internal-sftp -u 022

Explications :
- Choix sous-système internal-sftp et non sftp-serveur.
- Port SSH 384 au lieu du port 22 par défaut.
- Accès SSH interdit en tant qu'utilisateur root.
- Accès SSH restreint à l'utilisateur sftpdmz.
- Accès limité au dossier racine /home/.../sites-web/.
- Transfert d'affichage graphique X11 désactivé.
- Redirection de port TCP, tunnel SSH, désactivée.
- Cdes limitées à celles du sous-système internal-sftp.
- Umask 022 = 755 (dossiers) et 644 (fichiers).

Vérifiez afin que le ChrootDirectory (limite dossier racine) fonctionne que le propriétaire des dossiers sftpdmz et sites-web soit bien l'utilisateur root :

[srvdmz@srvdmz:~$] ls -l /home
[srvdmz@srvdmz:~$] ls -l /home/sftpdmz

Retour :

drwxr-xr-x 3 root root 4096 févr. 15 14:02 sftpdmz
drwxr-xr-x 3 root root 4096 févr. 15 14:03 sites-web

Redémarrez le serveur SSH :

[srvdmz@srvdmz:~$] sudo systemctl restart ssh
[srvdmz@srvdmz:~$] sudo systemctl status ssh 

Retour :

 ssh.service - OpenBSD Secure Shell server
   Loaded: loaded (/lib/systemd/system/ssh.servic...
   Active: active (running) since Sat 202...; 7s ago
     Docs: man:sshd(8)
           man:sshd_config(5)
  Process: 1371 ExecStartPre=/usr/sbi... =0/SUCCESS)
 Main PID: 1372 (sshd)
    Tasks: 1 (limit: 679)
   Memory: 1.3M
   CGroup: /system.slice/ssh.service
           └─1372 /usr/sbin/sshd -D

... srvdmz systemd[1]: Starting OpenBSD Secure ...
... srvdmz sshd[1372]: ...ening on 0.0.0.0 port 384.
... srvdmz sshd[1372]: ...tening on :: port 384.
... srvdmz systemd[1]: Started OpenBSD Secure ...

Avant de continuer, ajoutez une image dans le dossier partagé par l'hôte de VirtualBox.

Testez ensuite une connexion locale :

[srvdmz@srvdmz:~$] sudo sftp -o Port=384 sftpdmz@loupvirtuel.fr

Retour :

The authenticity ... '[loupvirtuel.fr]:384 ([192...
ECDSA key fingerprint is SHA256:7Qg/NS...
Are you sure ... continue connecting (yes/no)? yes
Warning: Permanently added '[loupvirtuel.fr] ...
sftpdmz@loupvirtuel.fr's password: Votre MDP sftpdmz
Connected to sftpdmz@loupvirtuel.fr.
sftp> ls
wordpress  
sftp> cd wordpress/wp-content/uploads
sftp> ls
2020

et déposez l'image (Ex : logo.png) dans uploads :

sftp> put /home/srvdmz/Partages/logo.png
Uploading /home... /logo.png to /wordpress...
/home/srvdmz/Partages/logo.png  100%   ...   00:00    
sftp> quit

Vérifiez l'attribution des droits d'accès et permissions :

[srvdmz@srvdmz:~$] sudo ls -l /var/www/wordpress/wp-content/uploads/logo.png  

Retour :

-rw-r--r-- 1 www-data www-data ... /var/.../logo.png

Résultat OK :
Droits d'accès à www-data et permissions à 644.

5 - Connexion distante depuis debian10-vm1

5.1 - Ajout sur la VM du client SFTP FileZilla

Installez le client graphique sur la VM debian10-vm1 :

[client-linux@debian10-vm1:~$] sudo apt install filezilla

Ouvrez ensuite l'application graphique FTP/SFTP :
- Menu Applications > Internet > Icône FileZilla

Cliquez sur l'icône située la plus à gauche de la barre des icônes afin d'ouvrir le Gestionnaire de Sites et cliquez sur le bouton Nouveau Site.

Créez le site loupvirtuel.fr comme montré ci-dessous :
- Onglet Général

Capture - FileZilla : Réglages SFTP généraux pour loupvirtuel.fr
FileZilla : Réglages SFTP généraux pour loupvirtuel.fr

- Onglet Avancé

Capture - FileZilla : Réglages SFTP avancés pour loupvirtuel.fr
FileZilla : Réglages SFTP avancés pour loupvirtuel.fr

et traitez pour finir la fenêtre de gestion des MDP :

Capture - FileZilla : Gestion des mots de passe
FileZilla : Gestion des mots de passe

5.2 - Test de connexion distante

Vous êtes maintenant prêt pour effectuer un test. Cliquez sur la flèche située à droite de l'icône du Gestionnaire de Sites et sélectionnez loupvirtuel.fr .

La connexion débute :
- Une fenêtre Clé de l'hôte inconnue s'ouvre.
- Cochez Toujours faire confiance à cet hôte... et validez.

Capture - FileZilla : SFTP - Fenêtre Clé SSH
FileZilla : SFTP - Fenêtre Clé SSH

La connexion SFTP est à présent établie et sécurisée :

Capture - FileZilla : Exemples de Download/Upload (2 fichiers)
FileZilla : Exemples de Download/Upload (2 fichiers)

Cliquez sur le cadenas orange pour découvrir les détails du chiffrement.

6 - Contrôle de bon fonctionnement du SFTP

- Client FileZilla de debian10-vm1
a) Vous devez pouvoir :
- Télécharger dans /home/client-linux/Documents.
- Envoyer un dossier/fichier dans /wordpress.
- Créer un nouveau dossier/fichier dans /wordpress.
- Supprimer un dossier/fichier dans /wordpress.
- Modifier un dossier/fichier dans /wordpress.

b) Vous ne devez pas pouvoir :
- Naviguer au delà de la racine / (Chroot).

c) Les droits d'accès et permissions affichés pour le dossier distant /wordpress doivent être :
- 755 pour les dossiers et 644 pour les fichiers.
- Propriétaire sftpdmz (uid=1001).
- Groupe sftp-groupe (gid=1001).

- VM srvdmz
Affichez les droits d'accès et permissions pour le dossier /var/www/wordpress/.../uploads/ :

[srvdmz@srvdmz:~$] sudo ls -l /var/www/wordpress/wp-content/uploads

Retour :

total 24
drwxr-xr-x 3 www-data www-data  ...
-rw-r--r-- 1 www-data www-data  ... logo.png
-rw-r--r-- 1 www-data www-data  ... test-sftp.txt
...

Soit :
- 755 pour les dossiers et 644 pour les fichiers.
- Propriétaire www-data (uid=33).
- Groupe www-data (gid=33).

6.1 - Réparation des permissions au cas où ...

En cas de problème, utilisez les Cdes ci-dessous pour rétablir en une fois les bonnes permissions sur tous les fichiers et dossiers de WordPress :

[srvdmz@srvdmz:~$] cd /var/www/wordpress 
[srvdmz@srvdmz:~$] sudo find . -type d -exec chmod 755 {} \;
[srvdmz@srvdmz:~$] sudo find . -type f -exec chmod 644 {} \;

Corrigez ensuite votre configuration et effectuez un nouveau contrôle de bon fonctionnement.

Image - Rédacteur satisfait


J'espère que cela vous a plu. Le
mémento 9.2 vous attend pour la
mise en place du protocole FTPS
avec le serveur VsFTPd. A bientôt.

1 réflexion au sujet de « SFTP – WordPress / Debian 10 »

  1. Top ton tuto

    Bravo!

    Je vais dépoussiérer une machine et lui installer IPfire, + un serveur + PiHole

    Question :
    Si j’installe IPfire sur Cette machien avec virtualbox, je vais pouvoir utiliser mon IPfire avec desPortables en externe ?

Laisser un commentaire