# [ftps] mise en place

## nuts

Yo!

Voilà quasiement tout est dans le titre. Ce que je voudrais surtout savoir c'est si le protocol sftp permet de crypté les données qui transite.

Si oui ca m'interesse fortement. j'utilise actuellement deux serveurs ftp (dual boot):

-vsftpd sous gentoo.

-filezilla serveur sous windows xp.

Ces logiciels serveurs peuvent il gerer le sftp ? (pour filezilla j'ai des doutes, connaissez vous un serveur sftp pour win?)

les clients qui se connectent vers mon serveur utilisent generalement gftpd sous linux (lui je sais qu'il gere ce protocol) et filezilla sous win. mais encore pour ce dernier j'ai des doutes. donc si vous connaissez un client pour win, merci de m'en informer.

si vsftpd gere le sftp, comment le configurer pour qu'il utilise uniquement ce protocol?

EDIT: a l'origine je voulais du sftp, mais finalement c'est le ftps qui m'interresse.

----------

## xaviermiller

Salut,

SFTP est un protocole à travers SSH. Il suffit donc d'avoir un serveur SSH (et un compte, clef, ...) pour permettre du SFTP  :Wink: 

----------

## xaviermiller

http://en.wikipedia.org/wiki/SSH_file_transfer_protocol

 :Wink: 

-- 

ndm : correction de l'url. Enjoy !

----------

## killerwhile

Et comme client Filezilla permet le sftp

----------

## zyprexa

Pour mettre en place un serveur de fichiers pour échanger simplement, j'avais d'abord essayé vsftpd que j'avais pas trop aimé (enfin c'est mon routeur qu'avait pas trop aimé ... captait rien aux ports dynamiques, pi après c'est moi qu'ait pas trop aimé l'histoire des utilisateurs virtuels enfin bref)

Par la suite j'avais essayé jail (dans portage), l'idée est vraimen séduisante : l'utilisateur est chrooté dans une arborescence dans un shell spécialement limité. L'intérêt de jail c'est qu'il te pondait l'arbo et qu'il te la mettait à jour avec quelques commandes de base. Problème : c'est un vieux paquet (enfin maintenant je sais pas j'ai pas vérifié)

J'ai finalement opté pour une solution plus séduisante, mais approchant jail à savoir : rssh (je suis resté dans des trucs qu'on trouvait dans portage)

C'est également un shell limité, mais mis à jour plus régulièrement. Quant à l'arborescence, ca s'est révélé bien moins compliqué qu'il n'y paraissait : copie binaires puis les libs kivobien en les débusquant avec ldd (ya un howto sur rssh quelque part sur le forum).

voila, je trouve ca plus pratique car je trouve winscp plus user-friendly que les clients ftp classiques (bah j'ai pas que des geeks dans mon entourage), pi en crypté c'est mieux  :Very Happy: 

----------

## creuvard

Avec VSFTPD pour crypté ses données:

Pour générer la clé de cryptage.

```

cd /etc/vsftpd/

openssl genrsa -out vsftpd_key.pem 2048

openssl req -new -x509 -key vsftpd_key.pem -out vsftpd_cert.pem

cat vsftpd_key.pem >> vsftpd_cert.pem

```

Et rajouté les options suivantes dans "/etc/vsftpd/vsftpd.conf"

```

################

# Chrytage SSL/TLS #

################

ssl_enable=YES

force_local_logins_ssl=YES

force_local_data_ssl=NO

ssl_tlsv1=YES

rsa_cert_file=/etc/vsftpd/vsftpd_cert.pem

```

Et avec ca normalement tu devrais avoir ce que tu veux.

----------

## nuts

 *zyprexa wrote:*   

> Pour mettre en place un serveur de fichiers pour échanger simplement, j'avais d'abord essayé vsftpd que j'avais pas trop aimé (enfin c'est mon routeur qu'avait pas trop aimé ... captait rien aux ports dynamiques, pi après c'est moi qu'ait pas trop aimé l'histoire des utilisateurs virtuels enfin bref)
> 
> ...

 

perso vsftpd j'adore et surtout que je l'utilise avec des utilisateurs reels, je m'arrange pour qu'il n'yai que eux qui puisse se connecter et avec un shell /bin/false pour pas qu'ils aient un acces ssh.

 *creuvard wrote:*   

> Avec VSFTPD pour crypté ses données:
> 
> Pour générer la clé de cryptage.
> 
> ```
> ...

 

niveau utilisateurs il y a des chose a leur configurer ? est ce qu une connexion ftp standart reste active? dans mon cas je souhaiterai faire que sftp.

et au passage si vous connaissez un chtit serveur sftp windaube.

edit, ca utilise quel port le sftp ?

edit2: creuvart j'ai fais tes modifis et quand je relance vsftpd:

```
kapoue vsftpd # /etc/init.d/vsftpd start

 * Starting vsftpd ...

500 OOPS: SSL: cannot load RSA certificate                                [ !! ]
```

----------

## creuvard

 *Quote:*   

> 
> 
> 500 OOPS: SSL: cannot load RSA certificate                                [ !! ]
> 
> 

 

En principe ce message s'affiche quand le path"rsa_cert_file=" n'est pas le bon (je vient de faire le test)

Donc je te suggères de regarder de ce coté.

----------

## PabOu

 *nuts wrote:*   

> dans mon cas je souhaiterai faire que sftp.

 

Alors, tu n'as besoin que d'un serveur SSH (OpenSSH fonctionne super bien) et d'aucun serveur ftp.

 *nuts wrote:*   

> edit, ca utilise quel port le sftp ?

 

Le port de ton serveur SSH (22 par défaut)

----------

## nuts

 *creuvard wrote:*   

>  *Quote:*   
> 
> 500 OOPS: SSL: cannot load RSA certificate                                [ !! ]
> 
>  
> ...

 

j'ai verifier reveirfier, meme avec des copier coller de ls et pwd il arrive pas a charger.

meme pour testé j'ai mis le fichier vsftpd_cert.pm dans / il arrive pas a charger j'ai toujours un

```
kapoue vsftpd # /etc/init.d/vsftpd start

 * Starting vsftpd ...

500 OOPS: SSL: cannot load RSA private key                                [ !! ]
```

tu es sur que la methode de creation de fichier et correcte ?

edit: j'ai regarder sur le wiki gentoo avec 

```
openssl req -x509 -nodes -days 7300 -newkey rsa:2048 -keyout /etc/ssl/certs/vsftpd.pem -out /etc/ssl/certs/vsftpd.pem
```

 ca fonctionne

----------

## El_Goretto

(vs)ftp + SSL = ftps

sftp = ssh.

----------

## nuts

ah dans ce cas c'est le ftps qui m'interresse. je repose donc toutes les meme questions et je change le titre

edit: bon apparament y a pas de modif, mais quand je me connecte sur mon serveur en ftps:

```
Recherche de 127.0.0.1

Essai avec 127.0.0.1:21

Connecté sur 127.0.0.1:21

220 (vsFTPd 2.0.3)

AUTH TLS

234 Proceed with negotiation.

Erreur avec le certificat à la profondeur : 0

Expéditeur = /C=AU/ST=Some-State/O=Internet Widgits Pty Ltd

Sujet = /C=AU/ST=Some-State/O=Internet Widgits Pty Ltd

Erreur 18:self signed certificate

Déconnexion de l'hôte 127.0.0.1
```

----------

## nemo13

 *nuts wrote:*   

> 
> 
> ```
> 
> Erreur 18:self signed certificate
> ...

 Bonjour NUTS,

je n'y connais rien SSL mais la réaction semble logique :

tu essayes d"échanger des clès avec toi-même  :Shocked: .

----------

## creuvard

 *nuts wrote:*   

> 
> 
> tu es sur que la méthode de création de fichier eSt correcte ?
> 
> 

 

Elle a toujours trés bien marché chez moi.

Je l'ai trouvé sur cette page  o==> http://freshmeat.net/projects/vsftpd/

----------

## nuts

sinon c'est possible de se connecter a son propre serveur en local pour verifier si ca marche, car moi ca pete des erreure

----------

## creuvard

C'est normalement tout a fait possible.

Ca donne ca chez moi.

```

Furax-machine ~ # ftp localhost 

Connected to localhost (127.0.0.1).

220- 

----------

## nuts

```
listen=YES

ssl_enable=YES

force_local_logins_ssl=YES

force_local_data_ssl=YES

ssl_tlsv1=YES

ssl_sslv3=YES

rsa_cert_file=/path/to/cert/vsftpd_cert.pem

background=YES

anonymous_enable=NO

anon_upload_enable=NO

anon_mkdir_write_enable=NO

anon_other_write_enable=NO

local_enable=YES

chroot_local_user=YES

guest_username=mp3

pasv_promiscuous=YES

user_config_dir=/etc/vsftpd/vsftpd_user_conf

xferlog_enable=YES

pasv_enable=YES

```

```
kapoue vsftpd # ls        

ftpusers         vsftpd.conf          vsftpd_key.pem

vsftpd_cert.pem  vsftpd.conf.example  vsftpd_user_conf
```

je balance mon vsftp.conf mais je ne comprends pas pourquoi il en veut pas.

il faut quelle version d'openssl ?

```
kapoue vsftpd # emerge -pv openssl

These are the packages that I would merge, in order:

Calculating dependencies ...done!

[ebuild   R   ] dev-libs/openssl-0.9.7i  -bindist -emacs -test +zlib 0 kB 

Total size of downloads: 0 kB

```

----------

## creuvard

Pour la version de openssl j'ai la même que toi.

Vsftpd est compilé avec le useflag SSL ?

```

Furax-machine ~ # emerge -vp vsftpd openssl

These are the packages that I would merge, in order:

Calculating dependencies ...done!

[ebuild   R   ] net-ftp/vsftpd-2.0.3-r1  +pam (-selinux) +ssl +tcpd -xinetd 0 kB 

[ebuild   R   ] dev-libs/openssl-0.9.7i  -bindist -emacs -test +zlib 0 kB 

Total size of downloads: 0 kB

Furax-machine ~ #

```

----------

## nuts

```
kapoue nuts # emerge -pv vsftpd openssl

These are the packages that I would merge, in order:

Calculating dependencies ...done!

[ebuild   R   ] net-ftp/vsftpd-2.0.3-r1  +pam (-selinux) +ssl +tcpd -xinetd 0 kB 

[ebuild   R   ] dev-libs/openssl-0.9.7i  -bindist -emacs -test +zlib 0 kB 

Total size of downloads: 0 kB

kapoue nuts # 
```

bah oui justement...

----------

## creuvard

Au temps pour moi. J'en étais resté aux post précédants.

Tu as cette erreur uniquement l'orsque tu active TLS/SSL ?

----------

## nuts

oui, sinon il marche impec le serveur sans ssl.

mais je ne sais pas pourquoi ca n'arrive pas a lire le fichier pem apparament

----------

## creuvard

J'ai également du mal avec le cryptage a travers mon firewall iptables. Mais ca marche en local. 

Les utilisateurs extérieur on le même soucis ou le souci n'est qu'interne ?

----------

## nuts

apparament personne n'arrive a se connecter.

bref la j'ai re-essayer comme tu m'a dit au debut mais rien n y fait vsftpd ne peux pas demarrer.

il existe un moyen de tester le rsa? comment savoir si il est bien valide ?

----------

