Configuration du serveur FTP sécurisé (Microsoft) L application Le serveur FTP est disponible en standard sur la version W2K serveur. Il s installe par défaut et si ce n est pas le cas peut-être installer ultérieurement. Le FTP est utile par exemple pour l échange de fichiers volumineux qui ne peuvent être envoyé par mails.il vous sera aussi utile pour vous permettre d envoyer depuis n importe où vos fichiers personnels sur votre serveur. Exemple des répertoires créés pour cet exercice Un fichier root appeler FTP et 2 sous-répertoires appelé Anonyme et Perso Tous les visiteurs peuvent accéder à FTP et lire le nom des sous-répertoires. Tous les visiteurs peuvent lire les fichiers et sous-répertoires dans Anonyme. Vous seul pouvez au moyen d un login lire et écrire dans Perso. 3 comptes seront utilisés pour accéder à ces répertoires. Administrator Pour la connexion en local uniquement, souvenez-vous que FTP transmet les comptes/passwords en clair sur Internet IUSR_le_nom_de_votre_serveur. C est le compte utilisé pour le login anonyme. Le nouveau compte My-Account que vous utiliserez pour accéder depuis Internet en lecture/écriture dans le répertoire Perso. Ce compte n ayant aucune permission d administration même si il est hacké les dommages ne dépasseront pas le répertoire Perso. Ceci n est qu un exemple pour montrer l application de la sécurité sur le serveur FTP. Libre à vous de modifier cette structure selon vos besoins. Partition NTFS Il est indispensable d installer au moins les fichiers FTP sur une partition NTFS afin de bénéficier de la sécurité en attribuant des permissions selon les utilisateurs. Page 1 de 9 Site FTP sécurisé Michel Regard
Par définition un serveur W2K ne devrait avoir que des partitions NTFS afin de bénéficier de la sécurité posées sur les répertoires et les fichiers. Pour faciliter la gestion du site et garantir la sécurité créez le site sur une partition différente que l operating system et en Root de cette partition. Pour passer de FAT(32) à NTFS lancer la commande en ligne suivante : Convert d: /fs :ntfs (la partition d: va être convertie en NTFS) Cette commande va obliger un reboot du serveur. Installation du serveur FTP Comme indiqué ci-dessus le serveur a été installé lors de la mise en place de W2K serveur, si toutefois ce n est pas le cas procéder comme suit: Start Control Panel Add/Remove Programms Add/Remove Windows Components Click sur Internet Information Server et Details Click sur File Transfert protocol (FTP) server Page 2 de 9 Site FTP sécurisé Michel Regard
Configuration du serveur FTP Ouvrir la console d administration : Start Programs Administrative Tools Internet Services Manager Développer l arborescence. Click droit sur Default FTP server et click sur Properties Limiter le nombre de connexion à 5 pour une ADSL 512. Ceci afin d assurer un minimum de bande passante à chaque utilisateurs. Ce chiffre variant en fonction de la vitesse upload de votre ADSL. Changer la description selon votre choix Page 3 de 9 Site FTP sécurisé Michel Regard
. Click sur l onglet message Et entrer les messages selon votre choix. Click sur l onglet Home Directory Entrer la partition (NTFS) ou seront posés les fichier FTP. Il est conseillé de le mettre sur une partition séparée. Ceci va faciliter le sauvetage des données et l administration en général. Click sur Write afin de pouvoir lire et écrire dans les fichiers du serveur FTP. Page 4 de 9 Site FTP sécurisé Michel Regard
. Click sur l onglet Security Accounts Lors de la création du site FTP l utilisateur IUSR_(le nom de votre serveur) a été automatiquement créé. Ce compte sera utilisé pour permettre un login Anonyme sur une partie de votre site. Ne le modifier pas. Page 5 de 9 Site FTP sécurisé Michel Regard
Création d un compte d accès permettant l accès en lecture/écriture Click sur My Computer (Desk Top) Click droit Manage Local User & Group et créer un nouveau compte appeler My-Account et définissez un password compliqué. Gestion des permissions Pour respecter la limitation d accès présentée au début de cet exemple il va falloir jouer sur les permissions des répertoires afin d être certain que vous seul pourrez accéder au répertoire Perso en écriture alors que tout le monde pourra accéder au répertoire Anonyme en lecture. Click sur le répertoire root FTP, Dans l exemple donné D:\FTP. Click droit Properties Security En standard W2K devrait vous afficher ceci Compte Everyone = Full control Désélectionner «Allow inhéritable permissions.» Page 6 de 9 Site FTP sécurisé Michel Regard
Click sur Remove - Additionner Administrator(s) (Administrator étant le compte, Administrators étant le groupe de sécurité des administrator. Vous pouvez choisir l un ou l autre) - Appliquer : Full control pour l administrator. - Additionnez le compte IUSR_le_nom_de_votre_serveur - Appliquer les permissions Read/Execute & Liste folders contents & Read - Enlever Everyone si il apparaît encore. Page 7 de 9 Site FTP sécurisé Michel Regard
. Click sur Advanced Click sur Reset permissions on all child... Click sur Yes et Ok Maintenant le répertoire FTP et les 2 sous-répertoires ont les même permissions, soit administrator Full Control et IUSR Read /Execute & List folder Content Il nous reste maintenant à enlever le compte IUSR et ajouter le compte d accès privilégié dans le répertoire Perso afin de garantir la sécurité demandée. Page 8 de 9 Site FTP sécurisé Michel Regard
Click sur le répertoire Perso Click droit sur Security Désélectionner Allow inheritable permission from parents Click sur Copy Enlever le compte IUSR Ajouter le compte d accès privilégié My-Account Définissez Full Control pour My-Account Résumer de la sécurté Le répertoire FTP (root) Administrator(s) Full Control. IUSR Read/Execute & Read &List folder content. Le répertoire Anonyme ainsi que tous ses fichiers et sous-répertoires Administrator(s) Full Control. IUSR Read/Execute & Read & List folder content. Le répertoire Peso ainsi que tous ses fichiers et sous-répertoires Administrator(s) Full Control My-Account Full Control En suivant cet exemple vous pourrez obtenir une bonne sécurité d accès à vos répertoires FTP et éviter la visite d intrus. Log Prenez le temps de lire les logs générés par le serveur FTP, cela permet de savoir qui vient sur votre site et ce qu ils y font. Les logs sont générés dans: %WinDir%\System32\LogFiles Michel Regard Avril 2002 regard@ca.tc http://regard.ca.tc Page 9 de 9 Site FTP sécurisé Michel Regard