====== Serveur FTP ProFTP ======

===== Procédures =====

==== Installation ====
<WRAP left round box 65%>
  - Installer le paquetage //proftpd//
  - Choisir une installation « Indépendamment » (le service sera lancé seul, sans passer par le gestionnaire de service //inet// qui lui alloue moins de ressources)
  - Vérifier le fonctionnement à partir d'un navigateur (ou d'un client FTP, port 21) : [[ftp://@Serveur]] (s'authentifier avec un compte autre que //root//). Vous devez voir le dossier ///home// de l'utilisateur.
</WRAP><WRAP clear/>
===== Fichiers de configuration =====
Les principaux fichiers sont situés dans <wrap em>/etc/proftpd</wrap>: 
^Fichier	^Usage ^
^proftpd.conf 	|Définit les principales caractéristiques techniques du service FTP : nom de la machine vu sur le réseau, durée de session, nombre de connexions simultanées, modules appelés (SGBD, sécurité, etc), répertoires partagés (pour compte anonyme ou compte authentifiés), éléments de sécurité, ports d'écoute, etc |
^sql.conf	|Définit les options pour la mise en relation avec une base de données (MySQL ou PostGreSQL) : SGBD, mode d'authentification, compte de connexion à la base, tables utilisées |
^ldap.conf	|Définit les options de connexion à un annuaire par le protocole LDAP : nom de connexion, domaine, localisation du serveur, etc  |
^tls.conf	|Définit les options de configuration pour l'usage d'une connexion sécurisée : certificat, forcer l'authentification, etc |
^modules.conf	|Précise les modules à charger lors du démarrage du service : base de données, sécurité, quotas, etc |
^virtuals.conf	|Gestion d'hôtes virtuels (un serveur, plusieurs domaines) |

 

===== Mode opératoire =====

Le monde libre propose de multiples déclinaisons du protocole FTP sous forme de services : wuFTP, ProFTP, vsFTP…
Nous étudierons ici les grandes lignes de ProFTP qui a la réputation d'être un peu complexe d'administration (mais proche d'Apache), « couplable » avec de l'authentification (MySQL ou LDAP), gérant des droits de partage par utilisateur ou groupe, mieux sécurisé vis a vis des failles que wuFTP par exemple (source à retrouver).

L'installation passe par la commande <code lscript>apt update
apt install proftpd</code>


==== Configuration de base ====

=== Fichier proftpd.conf ===

Ce fichier définit le comportement du service (modules appelés, type d'adressage IP, nom du serveur, etc), mais aussi les listes de partage que l'on met en place et les droits d'accès associés.
Il fait appel à d'autres fichiers externes pour préciser certaines valeurs. 

=== Configuration du service ===
 
== Paramétrage du service (Extraits) ==
<code apache>
Include /etc/proftpd/modules.conf   # appelle le fichier de modules 
				    # complémentaires (par exemple module MySQL ou LDAP)
ServerName "Serveur Partage"        # nom du serveur tel qu'il est vu dans l'explorateur client
ServerType standalone               # serveur qui est lancé sans l'intermédiaire 
				    # du gestionnaire de service inet (meilleure performance)
DeferWelcome on 	            # n'affiche le message d'accueil qu'après authentification
DefaultServer on 	            # le serveur prendra en charge les demandes de  machines non référencées dans les 
                                    # configurations
TimeoutNoTransfer 600               # temps sans transfert avant fermeture de connexion authentifiée
TimeoutStalled 600	            # temps sans transfert avant fermeture connexion
TimeoutIdle 1200 	            # temps sans échange (transfert, contrôle) avant fermeture

DisplayLogin welcome.msg            # fichier qui contient le message d'accueil

DenyFilter \*.*/ 		    # expressions régulières refusées
			            # ici, interdit de lister tout le contenu d'un dossier

DefaultRoot ~ 		            # bloque les utilisateurs dans leur dossier /home/nomUtil
			            # on peut aussi préciser un autre répertoire pour tous

# RequireValidShell off             # autorise/empêche la connexion d'utilisateur sans shell
				    # permet de restreindre l'accès à des utilisateurs Linux
Port 21 			    # port d'écoute pour les connexions (21 par défaut)
				    # Remarque : les transferts se font sur le port 20
MaxInstances 30	                    # nombre de connexions simultanées autorisées
User proftpd 		            # compte utilisateur qui lance le service (sécurité)
Group nogroup		            # groupe de l'utilisateur qui lance le service (sécurité)
AllowOverwrite on 	            # permet de remplacer les fichiers partagés
TransferLog /var/log/proftpd/xferlog 	# répertoire des journaux liés aux pb de transfert
SystemLog /var/log/proftpd/proftpd.log 	# journaux des problèmes système (connexion, auth...)
#Include /etc/proftpd/virtuals.conf 	# pour gérer les hôtes virtuels dans un fichier externe
</code>

=== Configuration des partages ===
 
== Répertoire de connexion ==

Par défaut sur ProFTPd, les utilisateurs se retrouvent à la connexion dans le dossier ///home/nomUtilisateur//.
On peut le redéfinir par la directive **//DefaultRoot//** qui bloque en outre l'utilisateur et l'empêche de remonter l'arborescence (on dit que l'utilisateur est chrooté). On utilisera la valeur « ~ » qui correspond à ///home/nomUtilisateur//, ou un dossier que l'on a choisi (par ex. ///var/www// pour les pages Web d'Apache). 

Le dossier de connexion est défini par //**DefaultRoot**// : 
  * globalement pour le serveur (soit directement, soit dans une section //**<Global>**//)
  * pour une connexion anonyme (**//<Anonymous ...>//**) 
  * dans un hôte virtuel (//**<Virtual Host>**//, voir fiche [[apache|Apache]]). 

=== Attribution de droits ===

La limitation des droits d'utilisation des dossiers s'effectue par la <wrap em>directive Limit</wrap> : 
<code apache>
<Limit liste_actions> 
	AllowUser monCompte 	# autorise l'accès pour l'utilisateur monCompte
	DenyAll			# refuse l'accès à tous les autres
</Limit>
</code>

Les principales actions que l'on peut restreindre par **//LIMIT//** sont décrites dans le tableau ci-dessous : 
^  Options  ^  Explication  ^
|ALL |Tous les droits |
|APPE	|Ajouter du contenu à un fichier (Append) → Modifier |
|CWD	|Se déplacer dans l'arborescence des dossiers (Change Working Directory) |
|DELE	|Suppression de fichiers |
|MKD/RMD	|Créer/ Supprimer des dossiers |
|RETR	|Récupération de fichiers du serveur par le client (Download) |
|RNFR/RNTO	|Renommer des fichiers existant (Rename From, Rename To) |
|STOR	|Envoie de fichiers du client vers le serveur (Upload) |
|WRITE/READ	|Écrire (créer) ou Lire des fichiers |

On peut redéfinir des droits à un niveau inférieur du dossier de connexion grâce à la directive //**Directory**// : 
<code apache>
<Directory /var/RessourcesBTS> 	    # spécifications pour le dossier 							; /var/ressourcesBTS
	<Limit WRITE> 		    # droit pour l'écriture (dépôt)
		AllowGroup gpProfs  # réservé aux enseignants (groupe gpProfs)
		DenyAll 	    # refuse l'accès en écriture à tous les autres
	</Limit>
	<Limit READ>		    # droit pour la  lecture (récupération)
		AllowAll 	    # autorisé à tout le monde 
	</Limit>
</Directory>
</code>

Exemple du fichier de base pour un partage anonyme
<code apache>
<Anonymous /home/ftp> 	          # partage anonyme sur le dossier /home/ftp
	User ftp		  # compte qui gère ce partage (compte anonyme)
	Group ftp 		  # groupe du compte
	UserAlias anonymous ftp   # noms équivalents pour se connecter en anonyme
	RequireValidShell off	  # le compte anonyme n'existe pas sous Linux
	MaxClients 10		  # limite à 10 connexions anonymes simultanées
<Directory *>			  # tout dossier contenu sous /home/ftp
	<Limit WRITE>		  # interdit en écriture
		DenyAll
	</Limit>
</Directory>
</Anonymous> 
</code>

===== Client FTP =====

L'accès à un serveur FTP doit se faire par un client : 
  * le navigateur internet, qui est généralement limité à la récupération de contenu (mais IE permet l'envoi)
  * un client avec interface graphique : type Filezilla
  * la ligne de commande (ou du script)
  * des fonctions de langage de programmation : voir par exemple ici pour PHP.

==== Connexion avec un serveur ====

La connexion à un serveur utilise les éléments suivants : [utilisateur [:motpasse] @] adresse [:port].
Exemples : 
ftp://monCompte@192.168.0.152
 \\  ftp://192.168.0.154:2121
 \\  ftp://monCompte:monPWD@192.168.0.189:4400

==== Eléments de la ligne de commande FTP ====
 (voir plus de possibilités sur comment ça marche)
^  Commande  ^  Utilisation  ^  Exemples  ^
|ftp 	|Passe en mode ligne de commande et réalise éventuellement la connexion	ftp |  <code lscript>ftp 192.168.0.156
ftp monCompte@192.168.0.152 </code> |
|open	|Ouvre une connexion avec un serveur	| <code lscript>open 192.168.0.156</code>  |
|ls 	| Liste le contenu d'un dossier	ls  |  <code lscript> ls sousDossier </code> |
|pwd 	 | (Print Working Directory)	\\  Affiche le dossier courant  |
|mkd / rmd	| Crée / Supprime un dossier	 |
|put / get	| Envoie / Récupère un document	 |  <code lscript>//envoie le fichier vers le serveur
put fichierChezMoi  
//envoie le fichier et le renomme 
put fich1 fich2 
// récupère le fichier du serveur 
get fichierDistant 
//récupère le fichier et le renomme  
get ficDist ficLoc</code> |
| ! |Exécute une commande sur la machine locale |<code lscript>//se déplace dans l'arborescence locale
!cd .. 
///crée un dossier en local
!md nomDossier  </code> |
 
===== PROFTP et authentification déportée =====

Par défaut, l'authentification des utilisateurs par ProFTP se fait par les comptes existant sous Linux. 
Il est possible de reporter sur un système plus souple cette authentification : un fichier de comptes et groupes (non traité), un annuaire, ou une base de données. 
Pour ce faire, on devra activer certains modules et renseigner certains paramètres dans les fichiers de configuration, après avoir installé les modules correspondant.

==== Configuration avec MySQL pour l'authentification ====
<WRAP left round box 75%>
  - Si besoin, procéder à l'installation de MySQL (on peut aussi utiliser un service MySQL distant)
  - Installer le paquetage de //proftpd-mod-mysql//
  - Créer la base pour //proftpd// sous MySQL, les tables //ftpgroup// et //ftpuser//, le compte MySQL de connexion (voir script en [[proftp#ANNEXE|Annexe]] de cette fiche).
  - Insérer dans la table //ftpuser// le compte de connexion de l'utilisateur Linux
  - Configurer le fichier //sql.conf//
  - Appeler //sql.conf// dans //proftpd.conf// (clause //Include//)
  - Demander à charger les modules //sql// et //mysql// dans le fichier //modules.conf//
  - Redémarrer le service //proftpd//
 </WRAP><WRAP clear/>

==== Prise en charge de l'authentification par un annuaire ====

ProFTP peut être complété par un module de gestion de la prise en charge de l'authentification par un annuaire LDAP. On installera le paquetage //proftpd-mod-ldap//.
On procèdera aux paramétrages ci-dessous dans les fichiers correspondant.

=== Fichier proftpd.conf ===

Dans ce fichier, on inclue le paramétrage relatif à LDAP présent dans un autre fichier et on désactive la gestion par Linux. 
<code apache>
Include /etc/proftpd/ldap.conf 	# à dé-commenter pour l'utilisation d’un serveur LDAP
#Include /etc/proftpd/sql.conf 	# à dé-commenter pour l'utilisation d'une base de données
RequireValidShell  off		# permet l’utilisation de comptes non présents sous Linux
AuthPAM  off 		        # évite la recherche des comptes Linux
AuthOrder    mod_ldap.c		# définit l’ordre de recherche pour l’authentification (LDAP en premier)
</code>


=== Fichier modules.conf ===

Le fichier indique les modules à charger parmi ceux présents dans le dossier /usr/lib/proftpd. 
Dans le cas de l'utilisation d'un annuaire LDAP, on dé-commentera les lignes suivantes :
<code apache>
LoadModule mod_ldap.c 	# prise en charge de l'authentification par un annuaire
</code>

=== Fichier ldap.conf ===

C'est ici qu'on décrira l’adresse de l’annuaire, le compte pour interroger l’annuaire, le chemin pour chercher les comptes. Seules les options de base sont décrites ici.
<code apache>
<IfModule mod_ldap.c> 		                    # paramétrages si le module LDAP est activé
LDAPServer ldap://adresse_annuaire[:port]	    #adresse (IP, FQDN) du serveur d’annuaire
LDAPBindDN "cheminLDAPCompteLecture" "mot_passe"    # compte pour interroger l’annuaire
LDAPAttr attributAnnuaire variable	            # renomme les attributs LDAP selon les variables du contexte
LDAPUsers "cheminLDAPversOU" "renvoi_vers_le_compte_utilisateur_soumis"	#infos pour l’authentification avec le compte
</IfModule>
</code>

== Exemple de fichier LDAP ==
<code apache>
<IfModule mod_ldap.c> 	# paramétrages si le module LDAP est activé
# FQDN de l’annuaire (le serveur ProFTP doit pouvoir résoudre le domaine gsbeu.intra)
LDAPServer ldap://LABANNU.gsbeu.intra/ ??sub
#Compte utilisé pour parcourir l’annuaire. Ne devrait pas être l’administrateur du domaine 
#mais un compte avec les droits suffisants.
LDAPBindDN "cn=gestAnnuaire,cn=Users,dc=gsbeu,dc=intra" "mp123GES"  # exemple à adapter selon le contexte
#renommage du champ LDAP cn sous l’intitulé SamAccountName
LDAPAttr cn SamAccountName
#chemin de recherche dans l’unité « services » en utilisant le compte soumis au serveur FTP
LDAPUsers "ou=services,dc=gsbeu,dc=intra" (SamAccountName=%u)
</IfModule>
</code>

==== Prise en charge de l'authentification par MySQL ====

ProFTP peut être complété par un module de gestion de la prise en charge de l'authentification par une base de données. Pour MySQL, on installera le paquetage **//proftpd-mysql//**.
On procèdera aux paramétrages ci-dessous dans les fichiers correspondant.

=== Fichier proftpd.conf ===

Dans ce fichier, on se contente d'inclure le paramétrage relatif à SQL présent dans un autre fichier. 
<code apache>
#Include /etc/proftpd/ldap.conf   # si on utilise un serveur LDAP
Include /etc/proftpd/sql.conf 	  # à dé-commenter pour l'utilisation d'une base de données
</code>

=== Fichier modules.conf ===

Le fichier indique les modules à charger parmi ceux présents dans le dossier ///usr/lib/proftpd//. 
Dans le cas de l'utilisation d'une base de données MySQL, on dé-commentera les lignes suivantes :
<code apache>
LoadModule mod_sql.c 	         # prise en charge de l'authentification par un SGBD
LoadModule mod_sql_mysql.c	 # nom du SGBD avec lequel on est en contact
</code>

=== Fichier sql.conf ===

C'est ici qu'on décrira le type d'authentification, le nom des tables et les champs dans lesquels on ira vérifier les informations d'authentification transmises
<code apache>
<IfModule mod_sql.c> 	# paramétrage utilisé si le module SQL est  activé
SQLBackend mysql        # nom du SGBD qui contient les tables des comptes
#SQLEngine on
SQLAuthenticate users* groups* # indique le niveau de droits (utilisateurs, groupes, les deux)
SQLAuthTypes Crypt Plaintext 	# mode de gestion des mots de passe crypté et/ou en clair
#SQLAuthTypes Backend Crypt     # si on veut que ce soit MySQL qui fasse l'authentification
SQLConnectInfo proftpDB@localhost root mproot 	# base, serveur et coordonnées d'un compte MySQL (à adapter)
SQLUserInfo ftpuser userid passwd uid gid homedir shell 	# table contenant les comptes d'utilisateurs et champs étudiés 
#SQLUserWhereClause "LoginAllowed = 'true'" 	# n'accepte que les comptes actifs
SQLGroupInfo ftpgroup groupname gid members 	#table/champs étudiés pour groupes 
SQLLogFile /var/log/proftpd/mysql.log 		#  journaux liés aux échanges avec la base
</IfModule> 
</code>

Voir ci-dessous pour les éléments de création d’une base MySql pour cette configuration.

=== Annexe ===
== Script pour la création de la base ==
Création de la base et d'un compte de connexion (exemple)
<code sql>
-- création de la base de données
CREATE DATABASE proftpBDD;
-- connexion à la base
USE proftpBDD ;
-- création d'un compte MySQL pour gérer la base. Evite d'utiliser le compte root
GRANT USAGE 
ON proftpBDD.* 
TO proftpRoot@'localhost' 
IDENTIFIED BY 'mpProftpRoot' 
WITH GRANT OPTION;
</code>

Création des tables (exemple)
<code sql>
-- Table pour les groupes
CREATE TABLE ftpgroup (
groupname VARCHAR(16) NOT NULL DEFAULT '',
gid SMALLINT (6) NOT NULL default '5500', -- la valeur 5500 est libre de choix
members VARCHAR(16) NOT NULL default '',
PRIMARY KEY (groupname )
) ENGINE=InnoDB COMMENT='Groupes pour ProFTP';
-- Table pour les utilisateurs
CREATE TABLE ftpuser (
id INT(10) UNSIGNED NOT NULL AUTO_INCREMENT,    -- identifiant dans la base
userid VARCHAR(32) NOT NULL DEFAULT '',   	-- nom de connexion
passwd VARCHAR(32) NOT NULL DEFAULT '', 	-- mot de passé du compte
uid SMALLINT (6) NOT NULL default '5500', 	-- id de l’utilisateur, différent pour chaque compte
gid SMALLINT (6) NOT NULL default '5500', 	-- meme numéro que dans la table groupe
email VARCHAR(255) NOT NULL,			-- email
homedir VARCHAR(255) NOT NULL DEFAULT '',	-- dossier de connexion FTP
shell VARCHAR(16) NOT NULL DEFAULT '/bin/false',	-- shell pour les comptes linux
count INT(11) NOT NULL DEFAULT '0',
accessed DATETIME NOT NULL default '0000-00-00 00:00:00',
dl_bytes BIGINT (20) NOT NULL ,
dl_count BIGINT (20) NOT NULL,
ul_bytes BIGINT (20) NOT NULL ,
ul_count BIGINT (20) NOT NULL ,
modified DATETIME NOT NULL default '0000-00-00 00:00:00',
LogInAllowed ENUM('true','false') NOT NULL DEFAULT 'true',	-- droit de connexion (true ou false)
PRIMARY KEY (id)
) ENGINE=InnoDB COMMENT='Utilisateurs pour ProFTP';
</code>

Insertion des données (exemple)
<code sql>
-- insertion d'un compte dans la table pour se connecter 
-- ATTENTION ! remplacer le nom et le mot de passe par ceux d'un compte existant sur
-- le serveur Linux si on a choisi RequireValidShell on dans le fichier proftpd.conf
-- Remarque : "Encrypt" utilise le cryptage Unix/Linux, ne fonctionne pas pour MySQL Windows, 
-- peut-être que des installations sont possibles pour rendre opérationnel sous Windows (non testé)
INSERT INTO ftpuser 
(id ,userid , passwd ,uid ,gid ,homedir,count ,accessed ,modified ,LogInAllowed )
VALUES ('','utilFTP',encrypt('mpUtilFTP'), '5500','5500','/home/utilFTP','','','','true');
-- Ajout d'un groupe dont l'utilisateur est membre
INSERT INTO ftpgroup VALUES ('Groupe FTP','5500','utilFTP');
</code>

===== Source internet =====

  * [[http://doc.ubuntu-fr.org/proftpd]] : quelques explications en français
  * [[http://www.cgsecurity.org/Articles/proftpd.html]] : détail bien expliqué sur la configuration des accès anonymes et sur les droits sur les partages
  * [[http://www.proftpd.org/docs/directives/linked/configuration.html]] : en anglais, sur le site de l'outil, la liste des directives, des modules et leur explication précise
  * [[http://doc.ubuntu-fr.org/proftpd_et_mysql]] :  installation //proftpd// et authentification MySQL sur Ubuntu
  * Article de Linux Plus Magazine 06/2009
  * [[http://www.bouthors.fr/wiki/doku.php?id=linux:proftpd]] : site d’un individuel sur le paramétrage de //proftpd//