aujourd'hui nous allons continuer avec *Comment configurer et utiliser le serveur
FTP dans redhat (server)
[10Le protocole *FTP* (File Transfer Protocol) est l'un des protocoles les
plus anciens et les plus couramment utilisés sur Internet aujourd'hui.
Son but est de transférer de manière fiable des fichiers entre des
hôtes informatiques sur un réseau sans que l'utilisateur ait à se
connecter directement à l'hôte distant ou à savoir comment utiliser le système distant. Il permet aux utilisateurs d'accéder à des fichiers
sur des systèmes distants en utilisant un ensemble standard de
commandes simples.
Le démon *FTP* très sécurisé (vsftpd) est conçu pour être rapide, stable et, surtout, sécurisé. Sa capacité à gérer efficacement un grand nombre de connexions est la raison pour laquelle *vsftpd* est le seul *FTP* autonome distribué avec Red Hat Enterprise Linux.
Dans *Red Hat Enterprise Linux*, le package *vsftpd* fournit le démon FTP très sécurisé. Exécutez la commande *rpm -q vsftpd* pour voir si *vsftpd* est installé.
[10-3 22:02] +228 93 23 64 38: Si vous voulez un serveur *FTP* et que le package *vsftpd* n'est pas
installé, exécutez la commande suivante en tant qu'utilisateur root
pour l'installer...
*yum install vsftpd*
[10-3 22:03] +228 93 23 64 38: Parlons de *FTP et SELinux*
Le démon *FTP vsftpd* s'exécute par défaut. La politique *SELinux* définit la manière dont *vsftpd* interagit avec les fichiers, les processus et le système en général.
Par exemple, lorsqu'un utilisateur authentifié se connecte via FTP, il ne peut ni lire ni écrire dans les fichiers de ses répertoires personnels:
*SELinux* empêche *vsftpd* d'accéder par défaut aux
répertoires personnels des utilisateurs. Par ailleurs, vsftpd n'a pas accès aux volumes NFS ou CIFS par défaut, et les utilisateurs anonymes n'ont pas d'accès en écriture, même si cet accès en écriture est configuré dans */etc/vsftpd/vsftpd.conf*.
Les booléens peuvent être
activés pour autoriser l'accès mentionné précédemment.
[10-3 22:03] +228 93 23 64 38: L'exemple suivant illustre un utilisateur authentifié qui se connecte et un refus *SELinux* lorsqu'il tente d'afficher des fichiers dans son répertoire personnel:
- Exécutez la commande *rpm -q ftp* pour voir si le package *ftp* est installé. Si ce n'est pas le cas, exécutez la commande *yum install ftp* en tant qu'utilisateur root pour l'installer.
- Exécutez la commande *rpm -q vsftpd* pour voir si le package vsftpd est installé. Si ce n'est pas le cas, exécutez la commande *yum
install vsftpd* en tant qu'utilisateur root pour l'installer.
[10-3 22:03] +228 93 23 64 38: Dans *Red Hat Enterprise Linux,* *vsftpd* autorise uniquement les
utilisateurs anonymes à se connecter par défaut.
Pour autoriser les utilisateurs authentifiés à se connecter, éditez
*/etc/vsftpd/vsftpd.conf* en tant qu'utilisateur root. Assurez-vous que l'option *local_enable = YES* est décommentée:
Comme ceci 👇🏽
*# Uncomment this to allow local users to log in.*
local_enable=YES
[10-3 22:03] +228 93 23 64 38: Exécutez la commande de démarrage du service *vsftpd* en tant qu'utilisateur root pour démarrer *vsftpd.* Si le service était en cours d'exécution avant l'édition de *vsftpd.conf,* exécutez la commande *service vsftpd restart* en tant qu'utilisateur root pour appliquer les modifications de configuration:
*~]# service vsftpd start*
[10-3 22:03] +228 93 23 64 38: Vous pouvez avoir une erreur de cette façon 👇🏽
*setroubleshoot: SELinux is preventing the ftp daemon from reading
users home directories (username). For complete SELinux messages.
run sealert -l c366e889-2553-4c16-b73f-92f36a1730ce*
[10-3 22:03] +228 93 23 64 38: S'il arrive, l''accès aux répertoires personnels a été refusé par *SELinux.* Cela peut être corrigé en activant le *booléen ftp_home_dir.*
Vous pouvez activez ce booléen
*ftp_home_dir* en exécutant la commande suivante en tant qu'utilisateur root:
*~]# setsebool -P ftp_home_dir=1*
[10-3 22:03] +228 93 23 64 38: ⚠N.B: N'utilisez pas l'option *-P* si vous ne souhaitez pas que les
modifications persistent lors des redémarrages. Et aussi assurez vous d’installer *YUM* avant de suivre ce co. Si non revisiter les.⚠
[10-3 22:03] +228 93 23 64 38: Bien nous allons enchainé rapidement avec ceci :
*Comment configurer et utiliser le serveur FTP dans redhat (server)?
Partie2*
[10-3 22:04] +228 93 23 64 38: La principale méthode de contrôle des autorisations utilisée dans la
stratégie ciblée SELinux pour fournir une isolation de processus
avancée est du Type Enforcement. Tous les fichiers et processus sont
étiquetés avec un type: les types définissent un domaine SELinux pour les processus et un type SELinux pour les fichiers. Les règles de stratégie SELinux définissent la manière dont les types s’accèdent,
qu’il s’agisse d’un domaine accédant à un type ou d’un domaine accédant à un autre domaine. L'accès n'est autorisé que s'il existe une règle de
stratégie SELinux spécifique qui le permet.
[10-3 22:04] +228 93 23 64 38: Par défaut, les utilisateurs anonymes ont un accès en lecture aux fichiers dans */var/ftp/* lorsqu'ils se connectent via *FTP*. Ce répertoire est étiqueté avec le type public_content_t, permettant uniquement un accès en lecture, même si l'accès en écriture est configuré dans */etc/vsftpd/vsftpd.conf.* Le type *public_content_t* est accessible aux autres services, tels que le serveur HTTP Apache, Samba et NFS.
Utilisez l'un des types suivants pour partager des fichiers via FTP:
[10-3 22:04] +228 93 23 64 38: *1. public_content_t*
Étiquetez les fichiers et répertoires que vous avez créés avec le type
public_content_t pour les partager en lecture seule via vsftpd.
D'autres services, tels qu'Apache HTTP Server, Samba et NFS, ont
également accès aux fichiers portant ce type. Les fichiers étiquetés avec le type public_content_t ne peuvent pas être écrits, même si les autorisations Linux autorisent l'accès en écriture. Si vous avez besoin d'un accès en écriture, utilisez le type *public_content_rw_t.*
[10-3 22:04] +228 93 23 64 38: *2. public_content_rw_t*
Étiquetez les fichiers et les répertoires que vous avez créés avec le type *public_content_rw_t* pour les partager avec les autorisations de lecture et d'écriture via vsftpd. D'autres services, tels qu'Apache HTTP Server, Samba et NFS, ont également accès aux fichiers portant ce type. N'oubliez pas que les booléens pour chaque service doivent être activés avant de pouvoir écrire dans des fichiers portant ce type.
[10-3 22:14] +228 93 23 64 38: *Comment configurer et utiliser le serveur FTP dans redhat (server)?Partie3*
[10-3 22:14] +228 93 23 64 38: *SELinux* est basé sur le niveau d'accès minimum requis pour qu'un
service soit exécuté. Les services peuvent être exécutés de diverses
manières. Par conséquent, vous devez spécifier comment vous exécutez vos services. Utilisez les booléens suivants pour configurer SELinux:
*allow_ftpd_anon_write*
Lorsqu'elle est désactivée, cette valeur booléenne empêche vsftpd
d'écrire dans les fichiers et les répertoires étiquetés avec le type
*public_content_rw_t.* Activez cette valeur booléenne pour permettre aux utilisateurs de télécharger des fichiers via FTP. Le répertoire dans
lequel les fichiers sont téléchargés doit être étiqueté avec le type
*public_content_rw_t* et les autorisations Linux définies en conséquence.
[10-3 22:14] +228 93 23 64 38: *allow_ftpd_full_access*
Lorsque ce booléen est activé, seules les autorisations Linux (DAC) sont utilisées pour contrôler l'accès, et les utilisateurs authentifiés
peuvent lire et écrire dans les fichiers qui ne sont pas étiquetés avec les types public_content_t ou *public_content_rw_t.*
*allow_ftpd_use_cifs*
Avoir ce booléen activé permet à vsftpd d'accéder aux fichiers et aux
répertoires étiquetés avec le type *cifs_t;* par conséquent, cette
[10-3 22:15] +228 93 23 64 38: Je veux dire de cette fonctionnalité booléenne qui vous permet de partager des systèmes de
fichiers montés via Samba via *vsftpd.*
[10-3 22:15] +228 93 23 64 38: *allow_ftpd_use_nfs*
Cette option booléenne permet à vsftpd d’accéder aux fichiers et
répertoires étiquetés avec le type *nfs_t;* par conséquent, cette
fonctionnalité booléenne vous permet de partager les systèmes de
fichiers montés via NFS via vsftpd.
*ftp_home_dir*
Cette fonctionnalité booléenne permet aux utilisateurs authentifiés de lire et d'écrire des fichiers dans leurs répertoires personnels.
Lorsque ce booléen est désactivé, toute tentative de téléchargement
d'un fichier à partir d'un répertoire de base génère une erreur telle
que 550 Échec d'ouverture du fichier. Un déni de SELinux est consigné.
[10-3 22:15] +228 93 23 64 38: *ftpd_connect_db*
Autoriser les démons FTP à établir une connexion à une base de données.
*httpd_enable_ftp_server*
Autoriser httpd à écouter sur le port FTP et agir comme un serveur FTP.
*tftp_anon_write*
Cette fonctionnalité booléenne permet à TFTP d'accéder à un répertoire public, tel qu'une zone réservée aux fichiers courants qui, autrement, ne sont pas soumis à des restrictions d'accès spéciales.
FTP dans redhat (server)
[10Le protocole *FTP* (File Transfer Protocol) est l'un des protocoles les
plus anciens et les plus couramment utilisés sur Internet aujourd'hui.
Son but est de transférer de manière fiable des fichiers entre des
hôtes informatiques sur un réseau sans que l'utilisateur ait à se
connecter directement à l'hôte distant ou à savoir comment utiliser le système distant. Il permet aux utilisateurs d'accéder à des fichiers
sur des systèmes distants en utilisant un ensemble standard de
commandes simples.
Le démon *FTP* très sécurisé (vsftpd) est conçu pour être rapide, stable et, surtout, sécurisé. Sa capacité à gérer efficacement un grand nombre de connexions est la raison pour laquelle *vsftpd* est le seul *FTP* autonome distribué avec Red Hat Enterprise Linux.
Dans *Red Hat Enterprise Linux*, le package *vsftpd* fournit le démon FTP très sécurisé. Exécutez la commande *rpm -q vsftpd* pour voir si *vsftpd* est installé.
[10-3 22:02] +228 93 23 64 38: Si vous voulez un serveur *FTP* et que le package *vsftpd* n'est pas
installé, exécutez la commande suivante en tant qu'utilisateur root
pour l'installer...
*yum install vsftpd*
[10-3 22:03] +228 93 23 64 38: Parlons de *FTP et SELinux*
Le démon *FTP vsftpd* s'exécute par défaut. La politique *SELinux* définit la manière dont *vsftpd* interagit avec les fichiers, les processus et le système en général.
Par exemple, lorsqu'un utilisateur authentifié se connecte via FTP, il ne peut ni lire ni écrire dans les fichiers de ses répertoires personnels:
*SELinux* empêche *vsftpd* d'accéder par défaut aux
répertoires personnels des utilisateurs. Par ailleurs, vsftpd n'a pas accès aux volumes NFS ou CIFS par défaut, et les utilisateurs anonymes n'ont pas d'accès en écriture, même si cet accès en écriture est configuré dans */etc/vsftpd/vsftpd.conf*.
Les booléens peuvent être
activés pour autoriser l'accès mentionné précédemment.
[10-3 22:03] +228 93 23 64 38: L'exemple suivant illustre un utilisateur authentifié qui se connecte et un refus *SELinux* lorsqu'il tente d'afficher des fichiers dans son répertoire personnel:
- Exécutez la commande *rpm -q ftp* pour voir si le package *ftp* est installé. Si ce n'est pas le cas, exécutez la commande *yum install ftp* en tant qu'utilisateur root pour l'installer.
- Exécutez la commande *rpm -q vsftpd* pour voir si le package vsftpd est installé. Si ce n'est pas le cas, exécutez la commande *yum
install vsftpd* en tant qu'utilisateur root pour l'installer.
[10-3 22:03] +228 93 23 64 38: Dans *Red Hat Enterprise Linux,* *vsftpd* autorise uniquement les
utilisateurs anonymes à se connecter par défaut.
Pour autoriser les utilisateurs authentifiés à se connecter, éditez
*/etc/vsftpd/vsftpd.conf* en tant qu'utilisateur root. Assurez-vous que l'option *local_enable = YES* est décommentée:
Comme ceci 👇🏽
*# Uncomment this to allow local users to log in.*
local_enable=YES
[10-3 22:03] +228 93 23 64 38: Exécutez la commande de démarrage du service *vsftpd* en tant qu'utilisateur root pour démarrer *vsftpd.* Si le service était en cours d'exécution avant l'édition de *vsftpd.conf,* exécutez la commande *service vsftpd restart* en tant qu'utilisateur root pour appliquer les modifications de configuration:
*~]# service vsftpd start*
[10-3 22:03] +228 93 23 64 38: Vous pouvez avoir une erreur de cette façon 👇🏽
*setroubleshoot: SELinux is preventing the ftp daemon from reading
users home directories (username). For complete SELinux messages.
run sealert -l c366e889-2553-4c16-b73f-92f36a1730ce*
[10-3 22:03] +228 93 23 64 38: S'il arrive, l''accès aux répertoires personnels a été refusé par *SELinux.* Cela peut être corrigé en activant le *booléen ftp_home_dir.*
Vous pouvez activez ce booléen
*ftp_home_dir* en exécutant la commande suivante en tant qu'utilisateur root:
*~]# setsebool -P ftp_home_dir=1*
[10-3 22:03] +228 93 23 64 38: ⚠N.B: N'utilisez pas l'option *-P* si vous ne souhaitez pas que les
modifications persistent lors des redémarrages. Et aussi assurez vous d’installer *YUM* avant de suivre ce co. Si non revisiter les.⚠
[10-3 22:03] +228 93 23 64 38: Bien nous allons enchainé rapidement avec ceci :
*Comment configurer et utiliser le serveur FTP dans redhat (server)?
Partie2*
[10-3 22:04] +228 93 23 64 38: La principale méthode de contrôle des autorisations utilisée dans la
stratégie ciblée SELinux pour fournir une isolation de processus
avancée est du Type Enforcement. Tous les fichiers et processus sont
étiquetés avec un type: les types définissent un domaine SELinux pour les processus et un type SELinux pour les fichiers. Les règles de stratégie SELinux définissent la manière dont les types s’accèdent,
qu’il s’agisse d’un domaine accédant à un type ou d’un domaine accédant à un autre domaine. L'accès n'est autorisé que s'il existe une règle de
stratégie SELinux spécifique qui le permet.
[10-3 22:04] +228 93 23 64 38: Par défaut, les utilisateurs anonymes ont un accès en lecture aux fichiers dans */var/ftp/* lorsqu'ils se connectent via *FTP*. Ce répertoire est étiqueté avec le type public_content_t, permettant uniquement un accès en lecture, même si l'accès en écriture est configuré dans */etc/vsftpd/vsftpd.conf.* Le type *public_content_t* est accessible aux autres services, tels que le serveur HTTP Apache, Samba et NFS.
Utilisez l'un des types suivants pour partager des fichiers via FTP:
[10-3 22:04] +228 93 23 64 38: *1. public_content_t*
Étiquetez les fichiers et répertoires que vous avez créés avec le type
public_content_t pour les partager en lecture seule via vsftpd.
D'autres services, tels qu'Apache HTTP Server, Samba et NFS, ont
également accès aux fichiers portant ce type. Les fichiers étiquetés avec le type public_content_t ne peuvent pas être écrits, même si les autorisations Linux autorisent l'accès en écriture. Si vous avez besoin d'un accès en écriture, utilisez le type *public_content_rw_t.*
[10-3 22:04] +228 93 23 64 38: *2. public_content_rw_t*
Étiquetez les fichiers et les répertoires que vous avez créés avec le type *public_content_rw_t* pour les partager avec les autorisations de lecture et d'écriture via vsftpd. D'autres services, tels qu'Apache HTTP Server, Samba et NFS, ont également accès aux fichiers portant ce type. N'oubliez pas que les booléens pour chaque service doivent être activés avant de pouvoir écrire dans des fichiers portant ce type.
[10-3 22:14] +228 93 23 64 38: *Comment configurer et utiliser le serveur FTP dans redhat (server)?Partie3*
[10-3 22:14] +228 93 23 64 38: *SELinux* est basé sur le niveau d'accès minimum requis pour qu'un
service soit exécuté. Les services peuvent être exécutés de diverses
manières. Par conséquent, vous devez spécifier comment vous exécutez vos services. Utilisez les booléens suivants pour configurer SELinux:
*allow_ftpd_anon_write*
Lorsqu'elle est désactivée, cette valeur booléenne empêche vsftpd
d'écrire dans les fichiers et les répertoires étiquetés avec le type
*public_content_rw_t.* Activez cette valeur booléenne pour permettre aux utilisateurs de télécharger des fichiers via FTP. Le répertoire dans
lequel les fichiers sont téléchargés doit être étiqueté avec le type
*public_content_rw_t* et les autorisations Linux définies en conséquence.
[10-3 22:14] +228 93 23 64 38: *allow_ftpd_full_access*
Lorsque ce booléen est activé, seules les autorisations Linux (DAC) sont utilisées pour contrôler l'accès, et les utilisateurs authentifiés
peuvent lire et écrire dans les fichiers qui ne sont pas étiquetés avec les types public_content_t ou *public_content_rw_t.*
*allow_ftpd_use_cifs*
Avoir ce booléen activé permet à vsftpd d'accéder aux fichiers et aux
répertoires étiquetés avec le type *cifs_t;* par conséquent, cette
[10-3 22:15] +228 93 23 64 38: Je veux dire de cette fonctionnalité booléenne qui vous permet de partager des systèmes de
fichiers montés via Samba via *vsftpd.*
[10-3 22:15] +228 93 23 64 38: *allow_ftpd_use_nfs*
Cette option booléenne permet à vsftpd d’accéder aux fichiers et
répertoires étiquetés avec le type *nfs_t;* par conséquent, cette
fonctionnalité booléenne vous permet de partager les systèmes de
fichiers montés via NFS via vsftpd.
*ftp_home_dir*
Cette fonctionnalité booléenne permet aux utilisateurs authentifiés de lire et d'écrire des fichiers dans leurs répertoires personnels.
Lorsque ce booléen est désactivé, toute tentative de téléchargement
d'un fichier à partir d'un répertoire de base génère une erreur telle
que 550 Échec d'ouverture du fichier. Un déni de SELinux est consigné.
[10-3 22:15] +228 93 23 64 38: *ftpd_connect_db*
Autoriser les démons FTP à établir une connexion à une base de données.
*httpd_enable_ftp_server*
Autoriser httpd à écouter sur le port FTP et agir comme un serveur FTP.
*tftp_anon_write*
Cette fonctionnalité booléenne permet à TFTP d'accéder à un répertoire public, tel qu'une zone réservée aux fichiers courants qui, autrement, ne sont pas soumis à des restrictions d'accès spéciales.
Commentaires
Enregistrer un commentaire