Telnet et ftp sous Gnu/Linux www.ofppt.info



Documents pareils
Préparation LPI. Exam Securité. Document sous licence Creative commons «by nc sa» nc sa/2.

TP LINUX : MISE EN RÉSEAU D UN SERVEUR LINUX

Service FTP. Stéphane Gill. Introduction 2

TP : Introduction à TCP/IP sous UNIX

Installer un serveur de messagerie avec Postfix

WEBMESTRE : CONCEPTION DE SITES ET ADMINISTRATION DE SERVEURS WEB

TP LINUX : MISE EN PLACE DU SERVEUR DE MESSAGERIE QMAIL

Couche application. La couche application est la plus élevée du modèle de référence.

LINUX REDHAT, SERVICES RÉSEAUX/INTERNET

Les commandes relatives aux réseaux

Gestion des journaux

SSH et compagnie : sftp, scp et ssh-agent

TP n 2 : Installation et administration du serveur ProFTP. Partie 1 : Fonctionnement du protocole FTP (pas plus de 15min)

SSH, le shell sécurisé

EPREUVE E1 Epreuve scientifique et technique SOUS-EPREUVE E11 Etude des supports et protocoles de communication

M1101a Cours 4. Réseaux IP, Travail à distance. Département Informatique IUT2, UPMF 2014/2015

Cisco Certified Network Associate

Table des matières Hakim Benameurlaine 1

Dans le cadre de SECURIDAY Et sous le thème de Computer Forensics Investigation SECURINETS. Analyse des fichiers LOG. Tarek LABIDI (RT3)

Administration Linux - FTP

Protection des protocoles

Administration UNIX. Le réseau

Le service FTP. M.BOUABID, Page 1 sur 5

ROYAUME DU MAROC. Office de la Formation Professionnelle et de la Promotion du Travail. Ssh sous Gnu/Linux

REPUBLIQUE ALGERIENNE DEMOCRATIQUE ET POPULAIRE MINISTER DE L ENSEGNEMENT SUPERIEUR ET DE LA RECHERCHE SCIENTIFIQUE

Le protocole FTP (File Transfert Protocol,

TP Sur SSH. I. Introduction à SSH. I.1. Putty

Parallels Plesk Panel. Module Pare-feu de Parallels Plesk Panel 10 pour Linux/Unix. Guide de l'administrateur

Les différentes méthodes pour se connecter

FTPS AVEC UNE APPLIANCE FAST360 EN COUPURE. Table des matières

PPe jaune. Domingues Almeida Nicolas Collin Leo Ferdioui Lamia Sannier Vincent [PPE PROJET FTP]

Chapitre VIII : Journalisation des événements

LINUX - Sécurité. Déroulé de l'action. - 3 jours - Contenu de formation

Proxy et reverse proxy. Serveurs mandataires et relais inverses

Services Réseau SSH. Michaël Hauspie. Licence Professionnelle Réseaux et Télécommunications

Table des matières Hakim Benameurlaine 1

18 TCP Les protocoles de domaines d applications

Configuration de WebDev déploiement Version 7

Université Pierre Mendès France U.F.R. Sciences de l Homme et de la Société Master IC²A. TP réseau firewall

Syslog et outils de supervision

NRPE. Objectif. Documentation. Procédures

LINUX REMPLAÇANT WINDOWS NT

Environnements informatiques

Serveurs de noms Protocoles HTTP et FTP

FTP-SSH-RSYNC-SCREEN au plus simple

L3 informatique TP n o 2 : Les applications réseau

Manuel des logiciels de transferts de fichiers File Delivery Services

Packet Tracer : configuration des listes de contrôle d'accès étendues, scénario 1

LES ACCES ODBC AVEC LE SYSTEME SAS

MANUEL D INSTALLATION D UN PROXY

INSTALLATION DE WINDOWS 2000 SERVER POUR BCDI3. par. G.Haberer, A.Peuch, P.Saadé

Tunnels et VPN. 22/01/2009 Formation Permanente Paris6 86

S28 - La mise en œuvre de SSO (Single Sign On) avec EIM (Enterprise Identity Mapping)

Services Réseaux - Couche Application. TODARO Cédric

Linux LTE 2 - ISSBA. Année universitaire Linux Réseau et Archivage. Jean-Michel RICHER Faculté des Sciences, H206 1

Installation et configuration du CWAS dans une architecture à 2 pare-feux

JetClouding Installation

Serveur DNS et DHCP couplé à LDAP Debian GNU/Linux

CSI351 Systèmes d exploitation Instructions pour rouler Linux avec Virtual PC dans la salle de labo 2052

2. MAQUETTAGE DES SOLUTIONS CONSTRUCTIVES. 2.2 Architecture fonctionnelle d un système communicant.

Installation d'un serveur FTP géré par une base de données MySQL

Logiciel de connexion sécurisée. M2Me_Secure. NOTICE D'UTILISATION Document référence :

Installer un domaine DNS

Bon ben voilà c est fait!

Fonctionnement de Iptables. Exercices sécurité. Exercice 1

Installation et mise en œuvre de OpenSSH sous AIX 5L

MISE EN PLACE DU FIREWALL SHOREWALL

Installation du transfert de fichier sécurisé sur le serveur orphanet

Devoir Surveillé de Sécurité des Réseaux

Tutoriel sur les serveurs

ECOLE POLYTECHNIQUE DSI. Utilisation des serveurs mandataires («proxy») avec les protocoles d usage courant

Commandes Linux. Gestion des fichiers et des répertoires. Gestion des droits. Gestion des imprimantes. Formation Use-IT

Figure 1a. Réseau intranet avec pare feu et NAT.

Installation du client Cisco VPN 5 (Windows)

Introduction. Adresses

Live box et Nas Synology

Table des matières Hakim Benameurlaine 1

Guide d utilisation. Table des matières. Mutualisé : guide utilisation FileZilla

TP4 : Firewall IPTABLES

Serveur Linux : FTP. Mise en place d un service FTP sous Linux. Bouron Dimitri 20/04/2014

Cours CCNA 1. Exercices

Installation du client Cisco VPN 5 (Windows)

BTS SIO SISR3 TP 1-I Le service Web [1] Le service Web [1]

Installation d un serveur DHCP sous Gnu/Linux

Installation du client Cisco VPN 5 (Windows)

TP Linux : Firewall. Conditions de réalisation : travail en binôme. Fonctionnement du parefeu Netfilter. I Qu est ce qu'un firewall?

Plan Général Prévisionnel (1/2) Internet et Outils L1/IO François Armand. Plan Général Prévisionnel (2/2) Unix, Réseau: Plan

Protocole SSH-2.0. Tuan-Tu, TRAN. Janvier 2009

WGW PBX. Guide de démarrage rapide

Linux sécurité des réseaux

FreeNAS Shere. Par THOREZ Nicolas

DSI - Pôle Infrastructures

Internets. Informatique de l Internet: le(s) Internet(s) Composantes de l internet R3LR RENATER

1. Utilisation PuTTY openssh WinSCP

Configuration d'un annuaire LDAP

SQUID P r o x y L i b r e p o u r U n i x e t L i n u x

Résolution des problèmes de connexion XDMCP aux hôtes UNIX et Linux

SECURITE. Figure 1. Incident réseau, source CERT. Nombre. Sécurité

Installation de la messagerie EMWAC IMS Sur Windows NT4 serveur ou Windows 2000 serveur

Transcription:

ROYAUME DU MAROC Office de la Formation Professionnelle et de la Promotion du Travail Telnet et ftp sous Gnu/Linux DIRECTION RECHERCHE ET INGENIERIE DE FORMATION SECTEUR NTIC

Sommaire 1.1. Principe... 2 1.2. Description et objectifs de la séquence... 2 1.3. Présentation des concepts importants... 2 1.4. Extrait de /etc/services :... 3 1.5. Extrait de /etc/inetd.conf... 3 1.6. Configuration avec xinetd... 3 1.7. TCP-Wrapper... 4 1.8. Eléments de configuration... 5 1.8.1. Extrait de /etc/inetd.conf... 5 1.8.2. TCP Wrapper... 5 1.9. Extrait de /etc/syslog.conf... 5 1.10. Extrait de /var/log/syslog... 6 Telnet et ftp sous Gnu/Linux août 14 1-7

1.1. Principe Le document décrit l'installation d'un service de transfert de fichiers, la configuration du service inetd et quelques premiers aspects touchant à la sécurité des services sous GNU/Linux. Mots clés : Telnet, FTP, ssh, sftp, scp, TCP-Wrapper 1.2. Description et objectifs de la séquence Vous devriez à la fin pouvoir : utiliser le service FTP du serveur à partir d'un client quelconque du réseau bénéficier du service ftp anonyme ou authentifié, pouvoir filtrer l'accès provenant de tout ou partie du réseau avec TCP-Wrapper. 1) Telnet: 1.3. Présentation des concepts importants Telnet est un protocole qui permet l'émulation de terminal VTx à distance sur un serveur Unix/Linux. 2) FTP: FTP est un protocole de communication qui permet le transfert de fichiers entre plusieurs machines. 3) Le daemon inetd: Toute application fonctionnant sous TCP/IP est basée sur le modèle client/serveur. Par exemple quelqu'un se connectant via telnet à un hôte distant «active» chez l'hôte le service serveur telnetd. Chaque serveur est sur une machine en attente d'une connexion sur un port particulier. Dans les premières versions d'unix-tcp/ip chaque application (telnet, ftp,...) avait son propre serveur qui était lancé au démarrage de chaque machine comme un "daemon". Cette stratégie encombrait inutilement la table des processus (autant de serveurs que de services). Ces services sont dits fonctionnant en mode «autonome» ou «standalone». Le daemon INETD est un «super» serveur, à l'écoute sur plusieurs ports et qui se charge de recevoir les demandes de connexion de plusieurs clients (telnet, ftp,...) et de lancer le serveur correspondant à la demande. A son démarrage il consulte les fichiers: - /etc/services qui contient la liste générale des services TCP/IP avec leur numéro de port et le protocole de transport associé. Telnet et ftp sous Gnu/Linux août 14 2-7

- /etc/inetd.conf qui contient la liste des services activés sur une machine donnée Dans les distributions récentes (Mandrake 10.x, RedHat 9.x...), inetd a été remplacé par xinetd. Le principe est très similaire, à la seule différence que, dans /etc/etc/xinetd.d, chaque service (telnet, ftp, pop3...) dispose de son propre fichier de configuration. Certains services utilisables avec inetd ou xinetd comme telnet, ftp, pop3... sont difficilement sécurisables car les mots de passe transitent en clair sur le réseau. Ce problème sera vu ultérieurement avec les TPs sur la métrologie. Si ces services sont utilisables en l'état sur des petits réseaux isolés, il faudra éviter de les utiliser sur des réseaux reliés à Internet ou dans des environnements peu sûrs. Cependant, la tendance est au cryptage de ces services, grâce à SSL notamment. Il existe une version sécurisée de telnet, nommée telnet-ssl. 1.4. Extrait de /etc/services : /etc/services : ftp 21/tcp telnet 23/tcp smtp 25/tcp mail pop3 110/tcp # Post Office etc... 1.5. Extrait de /etc/inetd.conf ftp stream tcp nowait root /usr/sbin/ftpd ftpd #shell stream tcp nowait root /usr/sbin/rshd rshd #login stream tcp nowait root /usr/sbin/rlogind rlogind #exec stream tcp nowait root /usr/sbin/rexecd rexecd Ici, il n'y a que le service ftp qui est activé par le serveur inetd. Les autres lignes sont en commentaires. Ces services sont dits fonctionnant en mode «parallèle». 1.6. Configuration avec xinetd Le principe est similaire, à la différence que vous avez un fichier de configuration global "/etc/xinetd.conf", et un fichier de configuration par service, en général dans le répertoire "/etc/xinetd.d/". # # Le fichier xinetd.conf # # Some defaults, and include /etc/xinetd.d/ defaults { instances = 60 log_type = SYSLOG authpriv Telnet et ftp sous Gnu/Linux août 14 3-7

} log_on_success = HOST PID log_on_failure = HOST cps = 25 30 includedir /etc/xinetd.d Le fichier /etc/xinetd.d/wu-ftpd # default: on # description: The wu-ftpd FTP server serves FTP connections. It uses \ # normal, unencrypted usernames and passwords for authentication. service ftp { disable = no socket_type = stream wait = no user = root server = /usr/sbin/in.ftpd server_args = -l -a log_on_success += DURATION USERID log_on_failure += USERID nice = 10 } Le paramètre "disable", permet d'activer/désactiver le service. le programme "in.ftpd", indique bien que le service est pris en charge par TCPWrapper (C'est le in qui l'indique, sinon, le binaire s'appellerait ftpd). Les commentaires en haut du fichier indiquent que ce service ne prend pas en charge l'encryptage des mots de passe. 1.7. TCP-Wrapper TCP-Wrapper est un outil de sécurité réseau qui permet de contrôler les accès, les tentatives de connexion sur une machine donnée. Il permet à tout instant de savoir (par journalisation syslogd) qui essaie d'accéder sur un ordinateur mais également de filtrer les accès. On peut par exemple sur une machine A interdire les connexions telnet venant d'une machine B tout en autorisant les connexions FTP venant de cette même machine B. Principe de fonctionnement: Exemple: Si inetd reçoit une demande de connexion sur le port 23 il va lancer telnetd. Tcpwrapper sert d'enveloppe. Il vient «s'intercaler» entre le daemon inetd et le serveur à démarrer. Quand une demande de service TCP/IP (en réalité TCP ou UDP) arrive sur un port donné, inetd va lancer TCPD (daemon correspondant à Tcpwrapper) au lieu d'activer directement le service demandé (telnetd, ftpd, pop3...). Tcpd prend en charge la requête et met en place ses mécanismes de contrôle. Il peut par exemple vérifier que les accès depuis la machine cliente sont autorisés. Une fois le traitement Telnet et ftp sous Gnu/Linux août 14 4-7

terminé il va (s'il y a autorisation) lancer son propre service in.telnetd, in.ftpd, in.imapd... 1.8. Eléments de configuration Sous Linux, tcpd est installé par défaut. On peut voir en consultant le fichier /etc/inetd.conf comment inetd active tcpd. 1.8.1. Extrait de /etc/inetd.conf ftp stream tcp nowait root /usr/sbin/tcpd in.ftpd -l -a telnet stream tcp nowait root /usr/sbin/tcpd in.telnetd 1.8.2. TCP Wrapper L'administrateur réseau va pouvoir utiliser 2 fichiers: /etc/hosts.allow et /etc/hosts.deny pour filtrer les accès à sa machine. /etc/hosts.deny: on indique dans ce fichier les services et les hôtes pour lesquels l'accès est interdit. /etc/hosts.allow: on indique dans ce fichier les services et les hôtes pour lesquels l'accès est autorisé. Exemple: # Fichier /etc/hosts.deny # interdit tous les accès ftp à la machine in.ftpd:all # Fichier /etc/hosts.allow # autorise les accès ftp venant de cli1 in.ftpd :cli1.archinet.edu TCP-Wrapper utilise l'algorithme suivant : Si une règle est applicable dans hosts.allow, alors cette règle est appliquée, sinon, Si une règle est applicable dans hosts.deny alors cette règle est appliquée, sinon, l'accès est autorisé. Ce mode de fonctionnement induit la stratégie de sécurité à adopter : 1. décrire toutes les règles pour les couples (services/clients) qui sont autorisés, 2. interdire systématiquement tout le reste. Mettre par défaut ALL:ALL dans hosts.deny. Les tentatives d'accès depuis des machines extérieures sont toutes enregistrées dans des fichiers particuliers. Ces enregistrements sont effectués par le processus syslogd qui, à son démarrage, lit le fichier /etc/syslog.conf pour trouver dans quel(s) fichier(s) il doit enregistrer les différentes tentatives d'accès. 1.9. Extrait de /etc/syslog.conf # Log anything (except mail) of level info or higher. Telnet et ftp sous Gnu/Linux août 14 5-7

# Don't log private authentication messages # The authpriv file has restricted access. authpriv.* auth,authpriv.none; /var/log/auth.log /var/log/syslog 1.10. Extrait de /var/log/syslog Feb 3 18:02:52 ns1 ftpd[1051]: FTP session closed Feb 3 18:03:31 ns1 syslogd 1.3-3: restart. Feb 3 18:07:34 ns1 in.ftpd[1057]: refused connect from cli1.archinet.edu Feb 3 18:07:46 ns1 in.ftpd[1058]: connect from ns1.archinet.edu Feb 3 18:10:57 ns1 login[1063]: LOGIN ON ttyp3 BY mlx FROM puce Remarques: La commande kill -HUP pid de sysklogd permet de redémarrer ce processus avec prise en compte des paramètres se trouvant dans /etc/syslog.conf. Il est aussi possible d'invoquer le script de lancement du service en lui passant l'argument restart : /etc/init.d/syslogd restart Telnet et ftp sous Gnu/Linux août 14 6-7

2024 © DocPlayer.fr Politique de confidentialité | Conditions de service | Feed-back