Fedora-Fr - Communauté francophone Fedora - Linux

Communauté francophone des utilisateurs de la distribution Linux Fedora.

  

Dernière news : Capitole du Libre 2014

#1 04/12/2011 00:31:23

Tama
Membre
Inscription : 01/12/2011
Messages : 29

[Résolu] vsftpd selinux

Bonjour a tous,

Voila depuis peu j'ai essayer de passer à verne. Cependant après l'installation et la configuration de vsftpd il m'est impossible via un ftp client d'écrire dans le dossier.
Avant de poster le message, j'ai désactiver selinux, cela a fonctionné. Donc l'erreur vient bien de selinux.
Je n'arrive en aucun cas à le configurer.

Que faire?

Merci d'avance pour votre aide.


C'est en s'aidant les uns, les autres, que cela permet d'évoluer.
Mieux vaut un gros partage de connaissances et devenir grand, que de ne rien partager et rester petit

Hors ligne

#2 04/12/2011 01:24:24

nouvo09
Accro à Fedo !
Lieu : Paris
Inscription : 22/09/2005
Messages : 17 704

Re : [Résolu] vsftpd selinux

il m'est impossible via un ftp client d'écrire dans le dossier.

- qu'appelles tu un ftp client ?
- et pour écrire dans quel dossier ?


C'est pas parce que c'est difficile qu'on n'ose pas,
c'est parce qu'on ose pas que c'est difficile !

Hors ligne

#3 04/12/2011 11:08:43

theboogymaster
Membre
Lieu : Suisse
Inscription : 07/04/2008
Messages : 594
Site Web

Re : [Résolu] vsftpd selinux

Tu peux regarder les logs de SELinux pour voir ce qu'il bloque exactement. Mais si tu a besoin de plus d'aide il faudrait que tu explique un peu plus en détails ce que tu veux faire et comment !


Success is to be measured not so much by the position that one has reached in life as by the obstacles which he has overcome.
http://www.tuxgeek.org
rhce-logo.png

Hors ligne

#4 04/12/2011 12:59:21

Tama
Membre
Inscription : 01/12/2011
Messages : 29

Re : [Résolu] vsftpd selinux

Bonjour "nouvo09".


Quand je parle de ftp client, je parle de filezilla client par exemple.
En fait cela me produit une alerte selinux.

voici l'alerte:

SELinux is preventing /usr/sbin/vsftpd from rmdir access on the dossier /web/sites/ftpuser/folder1.

*****  Plugin catchall_labels (83.8 confiance) suggéré************************

Sivous souhaitez autoriser vsftpd à accéder à rmdir sur folder1 folder1
Alors you need to change the label on /web/sites/ftpuser/folder1

Faire
# semanage fcontext -a -t FILE_TYPE '/web/sites/ftpuser/folder1'
where FILE_TYPE is one of the following: var_auth_t, ftpd_tmp_t, ftpd_tmpfs_t, ftpd_var_run_t, public_content_rw_t, user_home_type.
Then execute:
restorecon -v '/web/sites/ftpuser/folder1'

*****  Plugin catchall (17.1 confiance) suggéré*******************************

Siyou believe that vsftpd should be allowed rmdir access on the folder1 directory by default.
Alorsyou should report this as a bug.
You can generate a local policy module to allow this access.
Faire
allow this access for now by executing:
# grep vsftpd /var/log/audit/audit.log | audit2allow -M mypol
# semodule -i mypol.pp

Additional Information:
Contexte source               system_u:system_r:ftpd_t:s0-s0:c0.c1023
Contexte cible                system_u:object_r:default_t:s0
Objets du contexte            /web/sites/ftpuser/folder1 [ dir ]
Source                        vsftpd
Chemin de la source           /usr/sbin/vsftpd
Port                          <Inconnu>
Hôte                          ftpuser
Paquetages RPM source         vsftpd-2.3.4-5.fc16
Paquetages RPM cible         
RPM de la statégie            selinux-policy-3.10.0-61.fc16
Selinux activé                True
Type de stratégie             targeted
Mode strict                   Enforcing
Nom de l'hôte                 ftpuser
Plateforme                    Linux ftpuser 3.1.2-1.fc16.x86_64 #1 SMP Tue
                              Nov 22 09:00:57 UTC 2011 x86_64 x86_64
Compteur d'alertes            3
Première alerte               dim. 04 déc. 2011 00:57:50 CET
Dernière alerte               dim. 04 déc. 2011 11:26:12 CET
ID local                      b967f187-d343-447d-8eed-3482d9cfbfd8

Messages d'audit bruts
type=AVC msg=audit(1322994372.42:167): avc:  denied  { rmdir } for  pid=2264 comm="vsftpd" name="folder1" dev=dm-1 ino=1570294 scontext=system_u:system_r:ftpd_t:s0-s0:c0.c1023 tcontext=system_u:object_r:default_t:s0 tclass=dir

type=SYSCALL msg=audit(1322994372.42:167): arch=x86_64 syscall=rmdir success=no exit=EACCES a0=7f9f9206adc0 a1=7f9f92068afc a2=1 a3=7fff8c1b2860 items=0 ppid=2259 pid=2264 auid=4294967295 uid=1003 gid=1001 euid=1003 suid=1003 fsuid=1003 egid=1001 sgid=1001 fsgid=1001 tty=(none) ses=4294967295 comm=vsftpd exe=/usr/sbin/vsftpd subj=system_u:system_r:ftpd_t:s0-s0:c0.c1023 key=(null)

Hash: vsftpd,ftpd_t,default_t,dir,rmdir

audit2allow

#============= ftpd_t ==============
allow ftpd_t default_t:dir rmdir;

audit2allow -R

#============= ftpd_t ==============
allow ftpd_t default_t:dir rmdir;

--------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------

et voici un ls de mon dossier :

drwxr-xr-x. ftpuser ftpadmin system_u:object_r:default_t:s0   folder1

--------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------

En plus, nouveau problème mais ça, je le gérerai plus tard, l'utilisateur ftpuser peut remonter jusqu'à la racine.
C'est assez bizarre car sous fedora14 je n'ai jamais eu aucun soucis. je suis à cours de solutions.

Merci d'avance à tous.


C'est en s'aidant les uns, les autres, que cela permet d'évoluer.
Mieux vaut un gros partage de connaissances et devenir grand, que de ne rien partager et rester petit

Hors ligne

#5 04/12/2011 16:56:04

nouvo09
Accro à Fedo !
Lieu : Paris
Inscription : 22/09/2005
Messages : 17 704

Re : [Résolu] vsftpd selinux

Tuas créé un répertoire /web donc il n'hérite d'aucun contexte SElinux,  raison pour laquelle l'accès est refusé. Il faut donc exécuter les commandes indiquées pour autoriser l'action.

Ensuite d'ou viennent ftpuser et ftpadmin ? qui sont ces utilisateur/groupe ? Que donne un
cat ftp /etc/passwd ?

Je sens un truc pas clair là.


C'est pas parce que c'est difficile qu'on n'ose pas,
c'est parce qu'on ose pas que c'est difficile !

Hors ligne

#6 04/12/2011 17:52:05

Tama
Membre
Inscription : 01/12/2011
Messages : 29

Re : [Résolu] vsftpd selinux

Effectivement le dossier /web n'a aucun contexte selinux, car je l'ai annulé et recréé.
J'ai déjà essayé d'exécuter les commande indiquées, mais sans succès.

Ensuite d'où viennent ftpuser et ftpadmin ? qui sont ces utilisateur/groupe ?

Donc ftpadmin et le groupe. Ensuite le ftpuser est l'utilisateur ftp qui pointe vers /web/sites/ftpuser/folder1, car bien évidement dans mon vsftpd.conf j'ai activé le chroot_list afin de chrooter seulement les utilisateur que je souhaite.

Je sens un truc pas clair là.

Je comprend pas pourquoi tu met ça, j'allais quand même pas mettre un vrai utilisateur.
Cela marche très bien sous fc14


C'est en s'aidant les uns, les autres, que cela permet d'évoluer.
Mieux vaut un gros partage de connaissances et devenir grand, que de ne rien partager et rester petit

Hors ligne

#7 04/12/2011 19:08:27

nouvo09
Accro à Fedo !
Lieu : Paris
Inscription : 22/09/2005
Messages : 17 704

Re : [Résolu] vsftpd selinux

J'ai déjà essayé d'exécuter les commande indiquées, mais sans succès.

Celles là, tu es sur ?

# grep vsftpd /var/log/audit/audit.log | audit2allow -M mypol
# semodule -i mypol.pp

Je demandais :

Que donne un
cat ftp /etc/passwd

Et je persiste à ne pas comprendre l'utilité de cet utilisateur ftpuser


C'est pas parce que c'est difficile qu'on n'ose pas,
c'est parce qu'on ose pas que c'est difficile !

Hors ligne

#8 04/12/2011 19:44:49

Tama
Membre
Inscription : 01/12/2011
Messages : 29

Re : [Résolu] vsftpd selinux

Oui je suis sûre. j'ai bien exécuté cela mais sans succès.

# grep vsftpd /var/log/audit/audit.log | audit2allow -M mypol
# semodule -i mypol.pp

Pour le cat ftp voilà:

ftp:x:14:50:FTP User:/var/ftp:/sbin/nologin

Ensuite l'utilité de ftpuser, est créé afin de ne pas utiliser des comptes locale (/bin/bash), mais plutôt des comptes identiques au compte ftp (/sbin/nologin), pointant chacun vers des dossier différents pour chaque ftpuser.
D'où le chroot_list de vsftpd voir vsftpd.conf en interdisant les comptes locale grace à userlist_deny.

Je précise que je n'est jamais eu cette panne avant.

Merci.


C'est en s'aidant les uns, les autres, que cela permet d'évoluer.
Mieux vaut un gros partage de connaissances et devenir grand, que de ne rien partager et rester petit

Hors ligne

#9 04/12/2011 20:14:10

nouvo09
Accro à Fedo !
Lieu : Paris
Inscription : 22/09/2005
Messages : 17 704

Re : [Résolu] vsftpd selinux

Le compte ftp existe déjà tu le vois dans le fichier passwd et justement une de ses caractéristiques est qu'il ne peut pas se logger par les voies normales, son shell de connexion étant sbin/nologin.

Il a aussi un home qui est /var/ftp qui a le bon contexte.

Si tu autorises la connexion par des users réels, tu valides l'option correspondante du fichier de conf et tu peux chrooter aussi ceux que tu souhaites. Inutile donc de créer cet utilisateur, qui en plus ne figure apparemment pas dans le fichier passwd.


C'est pas parce que c'est difficile qu'on n'ose pas,
c'est parce qu'on ose pas que c'est difficile !

Hors ligne

#10 04/12/2011 20:44:50

Tama
Membre
Inscription : 01/12/2011
Messages : 29

Re : [Résolu] vsftpd selinux

Le compte ftp existe déjà tu le vois dans le fichier passwd et justement une de ses caractéristiques est qu'il ne peut pas se logger par les voies normales, son shell de connexion étant sbin/nologin.

Il a aussi un home qui est /var/ftp qui a le bon contexte.

Si tu autorises la connexion par des users réels, tu valides l'option correspondante du fichier de conf et tu peux chrooter aussi ceux que tu souhaites. Inutile donc de créer cet utilisateur, qui en plus ne figure apparemment pas dans le fichier passwd.

Le but de mon ftpuser comme le compte ftp et que justement je veux ftpuser1 vers folder1, ftpuser2 vers folder2, etc... donc chaque ftpuser ne sont pas des utilisateur réels ils ont tous un shell de connexion étant sbin/nologin.
Est ce que comme cela tu vois un peu mieux ce que je souhaite réaliser (un serveur multi-ftp).

Désolé si je m'exprime pas tout à fait correctement.

Merci d'avance.

Ps: cela plante toujours et que ce soit avec le compte ftp ou le compte ftpuser, les 2 ont le même contexte, le même shell de connexion. donc c'est la grande question. ils sont aussi identique à fc14 qui marche d'ailleur lui.


C'est en s'aidant les uns, les autres, que cela permet d'évoluer.
Mieux vaut un gros partage de connaissances et devenir grand, que de ne rien partager et rester petit

Hors ligne

#11 04/12/2011 22:38:27

nouvo09
Accro à Fedo !
Lieu : Paris
Inscription : 22/09/2005
Messages : 17 704

Re : [Résolu] vsftpd selinux

Est ce que comme cela tu vois un peu mieux ce que je souhaite réaliser (un serveur multi-ftp).

Non je ne vois pas trop

soit un utilisateur a un compte et il peut se connecter avec,  quitte à pouvoir se connecter aussi avec ftp et il a un home ou il peut lire / écrire en ftp

soit il est anonyme et alors il est géré comme tel par vsftpd.

Cela dit, fais comme tu penses et pour ce qui est du contexte SElinux, fais comme indiqué ci-dessus.


C'est pas parce que c'est difficile qu'on n'ose pas,
c'est parce qu'on ose pas que c'est difficile !

Hors ligne

#12 07/12/2011 10:53:08

Tama
Membre
Inscription : 01/12/2011
Messages : 29

Re : [Résolu] vsftpd selinux

Bonjour nouvo09.

Cela dit, fais comme tu penses et pour ce qui est du contexte SElinux, fais comme indiqué ci-dessus.

Cela ne marche toujours pas, mais "eurêka" j'ai trouver!Le contexte est :

ftpuser ftpadmin system_u:object_r:user_home_dir_t:s0 folder1

Cela marche très bien. Ensuite pour:

Soit un utilisateur a un compte et il peut se connecter avec,  quitte à pouvoir se connecter aussi avec ftp et il a un home ou il peut lire / écrire en ftp

C'est exactement ça sauf qu'il peut s'y connecter seulement en ftp.

Voilou à tous. smile


C'est en s'aidant les uns, les autres, que cela permet d'évoluer.
Mieux vaut un gros partage de connaissances et devenir grand, que de ne rien partager et rester petit

Hors ligne

#13 07/12/2011 13:49:56

nouvo09
Accro à Fedo !
Lieu : Paris
Inscription : 22/09/2005
Messages : 17 704

Re : [Résolu] vsftpd selinux

Je pense que ta préoccupation relevait plus de la création de "virtual_users", mais l'essentiel est que ça fonctionne selon ton souhait.


C'est pas parce que c'est difficile qu'on n'ose pas,
c'est parce qu'on ose pas que c'est difficile !

Hors ligne

#14 07/12/2011 14:02:17

Tama
Membre
Inscription : 01/12/2011
Messages : 29

Re : [Résolu] vsftpd selinux

Merci pour ton attention et tes réponses nouvo09.
Tu as raisons cala relevait plus de la création de "virtual_users" mais je voulais que chaque user et chacun son dossier.
En moins que je me trompe car j'ai jamais vraiment testé les "virtual_users", pointaient tous vers le même dossier, chose que bien sûre je ne voulais pas.

Bonne continuation, et encore merci.


C'est en s'aidant les uns, les autres, que cela permet d'évoluer.
Mieux vaut un gros partage de connaissances et devenir grand, que de ne rien partager et rester petit

Hors ligne

#15 07/12/2011 23:48:18

Odjavel
Membre
Inscription : 23/11/2011
Messages : 20

Re : [Résolu] vsftpd selinux

Bonsoir à vous,

Je me permet de m’immiscer dans ce post pour éviter d'en créer un nouveau, car j'ai un problème quelque peu similaire mais avec proftpd. J'utilise ce dernier conjointement avec une base de données MySQL qui contient des comptes d'utilisateurs virtuels, pour éviter également de créer des comptes Linux.

Cela fonctionnait très bien sous Fedora 13, et suite à ma réinstallation sauvage en Fedora 16, j'ai restauré depuis mes sauvegardes mon dossier FTP, la base MySQL et le proftpd.conf, contenant la config pour se connecter à la base MySQL. J'ai également restauré les lignes contenant les utilisateurs et groupes Linux nécessaires à ce fonctionnement (ftpuser, ftpgroup et anonymous_ftp) depuis les fichiers /etc/group, /etc/passwd et /etc/shadow.

Lorsque j'utilise un client tel que Filezilla, l'authentification passe bien, et ensuite ça bloque à la commande "MLSD" :

Commande :	PWD
Réponse :	257 "/" est le répertoire courant
Commande :	TYPE I
Réponse :	200 Type paramétré à I
Commande :	PASV
Réponse :	227 Entering Passive Mode (xxx,xxx,xxx,xxx,161,54).
Commande :	MLSD
Erreur :	Délai d'attente expiré
Erreur :	Impossible de récupérer le contenu du dossier

Sous Firefox ça ne passe pas non plus, mais par contre, en invite de commande sous Windows, ça fonctionne !! J'accède bien à mes dossiers FTP. Dans /var/log/secure, j'ai les succès d'authentification, mais pas d'échec de listage...

Hors ligne

#16 08/12/2011 00:29:29

Tama
Membre
Inscription : 01/12/2011
Messages : 29

Re : [Résolu] vsftpd selinux

J'ai l'impression que ton problème vient du mode passv. As tu vérifié tes ports? dans ton proftpd.conf, ainsi que dans tes iptables, puis dans tes ports selinux, ainsi que ton port data? Je peux pas vérifier de suite, mais demain matin en cas.


C'est en s'aidant les uns, les autres, que cela permet d'évoluer.
Mieux vaut un gros partage de connaissances et devenir grand, que de ne rien partager et rester petit

Hors ligne

#17 08/12/2011 10:29:46

Odjavel
Membre
Inscription : 23/11/2011
Messages : 20

Re : [Résolu] vsftpd selinux

Désolé de ne pas avoir vérifié ce point, tu as raison, je viens de réessayer Filezilla avec le mode actif et ça fonctionne. Pourtant je n'ai rien changé à mes clients FTP, c'est donc que le serveur acceptait le mode passif avant. Et je n'ai rien changé à mon proftpd.conf non plus. Pour selinux il est en mode permissif, et j'ai une règle iptables pour le port 21, mais je ne pense pas que le mode FTP actif ou passif soit filtré par iptables ou selinux de toute façon ?

Hors ligne

#18 08/12/2011 11:47:11

Tama
Membre
Inscription : 01/12/2011
Messages : 29

Re : [Résolu] vsftpd selinux

Bonjour.

Pour selinux il est en mode permissif

Moi j'utilise avec selinux en mode appliqué strict (enforcing)

mais je ne pense pas que le mode FTP actif ou passif soit filtré par iptables ou selinux de toute façon ?

Je suis désolé si cela va te compliqué la tache mais c'est iptables, selinux, proftpd, qui gère le mode passif (passv)

Je n'utilise pas proftpd donc je ne le connait pas par coeur, je vais fouillé la doc et je te tiens au courant.
En régles général tu a une ligne du style port_passv_min=10000 et port_passv_max = 20000.
Ensuite tu ouvres tes ports dans iptables, puis ton selinux est déjà programmé pour les data.

Voilou.


C'est en s'aidant les uns, les autres, que cela permet d'évoluer.
Mieux vaut un gros partage de connaissances et devenir grand, que de ne rien partager et rester petit

Hors ligne

#19 08/12/2011 12:19:59

nouvo09
Accro à Fedo !
Lieu : Paris
Inscription : 22/09/2005
Messages : 17 704

Re : [Résolu] vsftpd selinux

c'est iptables, selinux, proftpd, qui gère le mode passif (passv)

Tu peux expliquer ça ?


C'est pas parce que c'est difficile qu'on n'ose pas,
c'est parce qu'on ose pas que c'est difficile !

Hors ligne

#20 08/12/2011 12:57:25

Tama
Membre
Inscription : 01/12/2011
Messages : 29

Re : [Résolu] vsftpd selinux

Oui je peux l'expliquer tongue

Alors étape par étape:
    1) il faut rajouter ceci dans proftpd.conf:
        PassivePorts [ PassivePorts min-pasv-port max-pasv-port]
        ex: PassivePorts 49152 65534
    2) ensuite il faut ouvrir les ports dans iptables, en rajoutant ceci:
        -A INPUT -m state --state NEW -m tcp -p tcp --dport 56000:57000 -j ACCEPT
    3) redémarre ton service :
        systemctl restart iptables.service
    4) tu vérifie que les règles soient bien prises en comptes:
        iptables -L -v -n
    5) pour selinux il est déjà configurer à l'install de proftpd.conf
    6) tu redémarre proftpd:
        systemctl restart proftpd.service

Voici le lien pour proftpd : http://proftpd.org/localsite/Userguide/ … guide.html
Voici le lien pour PassivePorts de proftpd : http://http://proftpd.org/localsite/Use … Ports.html

Voilou wink


C'est en s'aidant les uns, les autres, que cela permet d'évoluer.
Mieux vaut un gros partage de connaissances et devenir grand, que de ne rien partager et rester petit

Hors ligne

#21 08/12/2011 13:46:43

Odjavel
Membre
Inscription : 23/11/2011
Messages : 20

Re : [Résolu] vsftpd selinux

Bravo ! Ca fonctionne !!

J'ai appliqué tes indications avec quelques petites modifications : d'abord ne pas redémarrer le service iptables sinon les nouvelles règles sont supprimées ! De toutes façons elles sont à effet immédiat. Et par rapport à ton exemple j'ai ajouté à mon proftpd.conf

PassivePorts 56000 57000

Et pour la ligne de commande iptables j'utilise -I au lieu de -A, sinon la nouvelle règle s'ajoute en fin de liste des INPUT, soit après celle qui rejette tout le reste.

Un petit iptables-save, redémarrage du serveur : OK, tout fonctionne !

Merci bien !

Hors ligne

#22 08/12/2011 14:47:56

Tama
Membre
Inscription : 01/12/2011
Messages : 29

Re : [Résolu] vsftpd selinux

Je t'en prie. Cela fait toujours plaisir d'aider les autres, surtout si ça marche tongue

d'abord ne pas redémarrer le service iptables sinon les nouvelles règles sont supprimées !

Effectivement tu as raison.
Désolé c'est parceque moi j'écris directement dans le fichier iptables, d'où le redémarrage du service.
Effectivement, le fait d'écrire directement dessus me permet de les avoirs au redémarrage de la machine, si nécessaire. Tu me dira je peux utiliser iptables-save, mais un jour, ça à planter. Donc étant de ceux qui préfèrent éviter les risques j'écris directement dans le fichier.

Et pour la ligne de commande iptables j'utilise -I au lieu de -A, sinon la nouvelle règle s'ajoute en fin de liste des INPUT, soit après celle qui rejette tout le reste.

Effectivement là aussi tu as raison.
Mais comme expliquer au dessus, étant donner que j'écris directement dans le fichier je n'ai pas de soucis, je le met où il faut et je gère mes lignes.

Un petit iptables-save, redémarrage du serveur : OK, tout fonctionne !

smile Cool.

Si tu as d'autre questions n'hésite pas, si je peux t'aider c'est avec plaisir.

Bonne continuation.

Au fait, si ce n'est déjà fait tu devrais mettre un ssl dans ton proftpd, ainsi que dans ton ssh, avec une passphrase, ainsi que des restriction sur le nombre de tentative d'accès ainsi que sur le nombre de connexion.
Enfin bon. c'est ma parano, mais c'est tellement vite fait de se faire péter un serveur que voila wink
A plus.


C'est en s'aidant les uns, les autres, que cela permet d'évoluer.
Mieux vaut un gros partage de connaissances et devenir grand, que de ne rien partager et rester petit

Hors ligne

#23 08/12/2011 22:23:33

Odjavel
Membre
Inscription : 23/11/2011
Messages : 20

Re : [Résolu] vsftpd selinux

Comme je ne maîtrise pas du tout iptables j'y vais doucement, surtout lorsque je redémarre mon serveur à distance et que je suis pas sur de reprendre la main dessus ensuite... wink

ssl pour proftpd c'est pour faire du sftp ? Pour ssh il est restreint par IP, j'ai d'ailleurs plein d'entrées de tentatives refusées dans le log

Hors ligne

#24 08/12/2011 23:44:50

Tama
Membre
Inscription : 01/12/2011
Messages : 29

Re : [Résolu] vsftpd selinux

Comme je ne maîtrise pas du tout iptables j'y vais doucement, surtout lorsque je redémarre mon serveur à distance et que je suis pas sur de reprendre la main dessus ensuite...

Je te comprend wink
Cela m'est déjà arriver au début.
Mais je n'est plus peur, le remède : être méthodique. smile

ssl pour proftpd c'est pour faire du sftp ?

Sans aller jusqu'au sftp (ftp ssh) attention ne pas confondre avec ftps (ftp ssl - tls)

Cela permet de crypter tes données.

Pour ssh il est restreint par IP, j'ai d'ailleurs plein d'entrées de tentatives refusées dans le log

Si tu plein d'entées, en moins que ton domaine est très répendu, je me ferrai du soucis.
Des règles d'or :
    1) ssh avec ssl
    2) ssl en minimum 2048 bits - rsa car les clefs 1024 bits - rsa se sont déjà fait péter.
    3) ssl avec passphrase (une vrai avec des chiffres, des caractères, {}&@ etc...)
    4) restreindre à une seule ou 2 ip (celle de ton boulot, et si c'est ton serveur celle de chez toi)
    5) autorisé un minimum de tentative par minutes exemple 1 ou 2 par minute
    6) puis quelque truc maison.....

Enfin bon, ça c'est mon coté parano.


C'est en s'aidant les uns, les autres, que cela permet d'évoluer.
Mieux vaut un gros partage de connaissances et devenir grand, que de ne rien partager et rester petit

Hors ligne

#25 09/12/2011 11:32:03

Odjavel
Membre
Inscription : 23/11/2011
Messages : 20

Re : [Résolu] vsftpd selinux

J'utilise dyndns.org, ceci explique peut être cela. Je devrais tester de désactiver la redirection le temps de voir si ces intrusions viennent de là. J'attribue ces tentatives à des machines zombifiées dont les propriétaires ne doivent même pas être au courant...

Je n'enregistre pour le moment pas de tentatives d'intrusion pour proftpd, mais je ferai des recherches pour utiliser ssl. Sous Fedora 13, le service qui créait énormément d'entrées de tentatives d'intrusion dans le log c'était smb, dès son activation, du coup je n'active ce service que manuellement lorsque j'en ai besoin. Sous Fedora 16 ça a l'air de se calmer.

Hors ligne

Pied de page des forums