You are on page 1of 5

CHAPEAU Ghislain, CLOUX Matthieu, POIX Vincent

03/05/2015

Compte rendu du PPE 2.3
But du TPE :
Proposer une architecture
Rédiger un fichier de configuration commenté pour le serveur FTP
Réaliser les services sur l’architecture proposée
Rédiger une documentation technique incluant l'architecture, la description commentée des
fichiers de configuration, ainsi que toute l'information nécessaire à la maintenance et à
l'évolution du système.

Table des matières
But du TPE : ............................................................................................................................................. 1
Cahier des charges................................................................................................................................... 2
Configuration initiale ............................................................................................................................... 2
Proposition d’architecture ...................................................................................................................... 3
Rédaction du fichier de configuration ..................................................................................................... 3
Connexion en anonymous ................................................................................................................... 3
Connexion pour le SAV ........................................................................................................................ 3
Connexion en utilisant SFTP ................................................................................................................ 4
Connexion en utilisant FTPS ................................................................................................................ 4
Tests ........................................................................................................................................................ 4
Mode anonymous : ............................................................................................................................. 4
Pour le répertoire /pub : ................................................................................................................. 4
Pour le répertoire /logs : ................................................................................................................. 4
Connexion SFTP : ................................................................................................................................. 5
Compte SAV : ....................................................................................................................................... 5
Ressources ............................................................................................................................................... 5

1

CHAPEAU Ghislain, CLOUX Matthieu, POIX Vincent

03/05/2015

Cahier des charges
Serveur FTP
Un premier service FTP anonymous permet aux clients (extérieur à l'entreprise) de lire le répertoire
/pub (vision utilisateur) en lecture seule. Ce service permet de fournir aux clients la documentation
technique sur nos produits.
Un deuxième service FTP anonymous est prévu pour accueillir les logs des applications installées chez
clients dans le répertoire /logs (vision utilisateur toujours) en écriture seule, pas de lecture autorisée.
Ce service permet à l'équipe SAV de recueillir ces logs afin d'effectuer des statistiques dans le but
d'améliorer nos produits.
L'équipe SAV a accès en lecture seule au contenu du répertoire /logs.
De plus, un troisième service de SFTP/SCP (avec login) est accessible à certaines personnes de
l'équipe R&D.

Configuration initiale
Notre PPE sera effectué en utilisant une machine hôte Windows 7 et une machine virtuelle Debian
hébergée sur la machine hôte. La connexion est partagée par pont entre les deux machines.
Les IP sont les suivantes :
172.17.0.25 machine virtuelle Debian (serveur FTP)
172.17.0.35 machine hôte Windows 7(client FTP)
Le serveur FTP utilisé sera le serveur Proftpd mis en place dans le PPE 2.2.
Coté client, nous utiliserons FileZilla.

2

CHAPEAU Ghislain, CLOUX Matthieu, POIX Vincent

03/05/2015

Proposition d’architecture
Nous avons fait le choix d’un serveur Debian unique avec Proftpd installé et ssh pour le sftp.

Rédaction du fichier de configuration
Nous avons pris le fichier de configuration de base de proftpd que nous avons adapté à nos besoins :

Connexion en anonymous
Nous avons décommenté le segment du fichier de configuration correspondant à l’identification en
anonymous.
Nous avons créés le dossier /anonymous et les deux dossiers demandés /anonymous/pub et
/anonymous/logs.
Nous avons ajouté dans le fichier de configuration les parties permettant la gestion des droits pour
anonymous : lecture seule pour /pub et écriture seule pour /logs.

Connexion pour le SAV
Nous avons créé un nouvel utilisateur virtuel de proftpd avec la commande :
ftpasswd --passwd --name=sav --uid=80 --gid=80 --home=/home/anonymous/logs --shell=/bin/false
Nous avons rajouté la ligne "/bin/false" dans le fichier /etc/shells car proftpd vérifie que le shell de
l'utilisateur est présent dans cette liste avant d'autoriser l'accès.
Ensuite modification du fichier de configuration proftpd dans le but de donner les droits sur le fichier
voulu.

3

CHAPEAU Ghislain, CLOUX Matthieu, POIX Vincent

03/05/2015

Connexion en utilisant SFTP
Nous avons installé SSH et créé un utilisateur « matthieu » qui pourra utiliser le service.
La configuration de SFTP ne nécessite rien de plus.

Connexion en utilisant FTPS
Nous avons souhaité mettre en place une sécurité supplémentaire pour crypter les connexions en
anonymous sur le serveur ftp, ceci afin d’éviter un éventuel sniffing des paquets.
Nous avons décommenté le bloc correspondant à l’utilisation de TLS.

Mais en faisant une analyse des paquets nous nous sommes aperçus qu’il ne suffisait pas juste de
décommenter cette ligne.

Tests
Afin de vérifier la validité de notre fichier de configuration par rapport au cahier des charges, nous
avons effectués une série de tests.

Mode anonymous :
Le cahier des charges nous imposait la création de deux dossiers : /logs et /pub. Le dossier /logs ne
devait être accessible que pour y déposer un fichier sans avoir la possibilité ni de lire, ni d'altérer les
fichiers précédents. Le dossier /pub devait permettre à l'inverse de lire les fichiers présents sans
pouvoir les modifier ni en déposer de nouveaux.
Nous avons donc effectué les tests suivants :

Pour le répertoire /pub :

lire un fichier : OK

modifier un fichier : KO

créer un nouveau fichier : KO

Pour le répertoire /logs :

lire un fichier : KO

modifier un fichier : KO
4

CHAPEAU Ghislain, CLOUX Matthieu, POIX Vincent
 créer un nouveau fichier : OK

03/05/2015

Nous avons également vérifié que l'utilisateur anonymous ne pouvais pas remonter dans
l'arborescence du serveur plus haut que le dossier contenant /logs et /pub.

Connexion SFTP :
Pour la connexion SFTP, nous avons effectué une analyse des paquets pour vérifier que, lorsqu’on se
connecte avec un compte prévu à cet effet, les paquets envoyés et reçus étaient cryptés. Ils l’étaient
bien.

Nous avons également vérifié que le serveur rejetait une connexion avec un identifiant/mot de passe
invalide.

Compte SAV :
Nous nous somme connectés, avec succès, avec le compte sav.
Pour la vérification des droits données à ce compte sur le dossier /home/anonymous/logs, nous
avons testé :


lire un fichier : OK
créer un nouveau fichier : KO
modifier un fichier : KO

Ressources
http://openclassrooms.com
http://doc.ubuntu-fr.org
http://blog.security-helpzone.com
http://arobaseinformatique.eklablog.com
http://www.proftpd.org/
http://prendreuncafe.com/
http://www.die.net/

5