A propos de Pure-FTPd

Article original écrit par Franck Denis et accessible ici.
Traduction par Nicolas Chevallier, publiée le 25 octobre 2013.
Licence : Cette traduction est mise à disposition sous un contrat Creative Commons

Le FTP sécurisé en toute simplicité!

Pure-FTPd est un serveur FTP sécurisé, de qualité professionnelle et conforme au standard. Il ne fournit pas de fonctionnalités inutiles, mais se concentre sur l'efficacité et la facilité d'utilisation. Elle apporte des réponses simples à des besoins communs, ainsi que des fonctionnalités utiles uniques pour les utilisateurs personnels ainsi que les fournisseurs d'hébergement.

• Dernière version: 1.0.36 (publiée le 21 Mars 2012)

La sécurité d'abord.

Pure-FTPd dispose d'un support actif, et a toujours été conçu avec la sécurité à l'esprit, et le code source est toujours re-vérifié dès qu'un nouveau type de vulnérabilités est découvert.

Le serveur peut fonctionner avec séparation de privilèges pour une sécurité accrue. Il peut même fonctionner à 100% sans privilèges root, avec émulation intégrée de chroot() et comptes virtuels.

La tansmission des mots de passe et des commandes en clair peuvent être évités: Pure-FTPd a un support optionnel pour une couche de chiffrement SSL/TLS utilisant la bibliothèque OpenSSL.

Pure-FTPd fonctionne sur votre serveur.

Le même code source compile et fonctionne sur Linux, OpenBSD, NetBSD, FreeBSD DragonflyBSD, Solaris, Tru64, Darwin, Irix, HPUX, AIX et iPhone.

Des paquets binaires pré-compilés sont disponibles pour Novell, Mandriva, Debian, Ubuntu, PLD Linux, Stampede Linux, Slackware Linux (Slimslack), Multilinux, Sorcerer Linux, Fli4L (le routeur sur disquette), ROOT Linux, Gentoo Linux et presque tous les autres systèmes d'exploitation libre.

Pure-FTPd est également disponible pour les systèmes BSD: FreeBSD (/usr/ports/ftp/pure-ftpd/), OpenBSD (/usr/ports/net/pure-ftpd/), DragonflyBSD et NetBSD (/usr/pkgsrc/net/PureFTPd/).

Pure-FTPd parle votre langue.

Tous les messages du serveur sont traduits en anglais, allemand, roumain, français, polonais, espagnol, danois, néerlandais, italien, portugais brésilien, slovaque, coréen, suédois, norvégien, russe, chinois traditionnel, chinois simplifié, tchèque, turc, hongrois et en catalan .

Il permet à vos clients de comprendre les messages de diagnostic, même quand l'anglais n'est pas leur langue maternelle.

Les messages sont dans des fichiers indépendants et ils peuvent être facilement traduits vers de nouvelles langues, ou personnalisés.

Une conversion transparente du client vers les jeux de caractères du système de fichiers est implémenté, avec le support d'UTF-8.

Un excellent choix pour les débutants.

Les débutants peuvent installer un serveur Pure-FTPd en 5 minutes. En pratique il suffit d'installer le paquet, taper "pure-ftpd &" et ... c'est tout. Vous avez déjà un serveur lancé, et les clients peuvent commencer à se connecter.

Il n'est pas nécessaire de lire un fichier de configuration long et compliqué, où une erreur pourrait avoir des implications en terme de sécurité et de fiabilité. Pure-FTPd utilise des simples options en ligne de commande pour activer les fonctionnalités dont vous avez besoin.

Vous pouvez limiter le nombre d'utilisateurs simultanés, limiter leur bande passante pour éviter de saturer votre connexion ADSL ou liaison modem-câble, cacher des fichiers système (chroot), changer les ratios de téléchargement et d'envoi, et contrôler les nouveaux fichiers déposés. Des messages personnalisés peuvent être affichés lors de la connexion (même modifier les fichiers de citations "fortune files") et quand un utilisateur entre dans un nouveau répertoire. De plus, pour éviter que vos disques durs soient remplis, vous pouvez définir un pourcentage maximal d'utilisation, si bien que les nouveaux dépôts de fichiers seront rejetés si ce pourcentage est atteint.

Le protocole FXP (serveur à serveur) est supporté. Il peut être disponible pour tout le monde ou seulement pour les utilisateurs authentifiés.

Les petits malins utilisent souvent des outils de brute-force pour découvrir des dossiers cachés. Pure-FTPd fournit une protection contre cette pratique. Les accès anonymes sont sécurisés par défaut. Par exemple, les utilisateurs ne peuvent pas accéder aux fichiers commençant par un point (.bash_history, .rhosts, …), sauf si vous l'autorisez explicitement.

Et pour vérifier qui fait quoi, la commande pure-ftpwho affiche un tableau avec les sessions actuellement actives, combien de bande passante est utilisée par tous les utilisateurs, quels fichiers sont téléchargés ou envoyés, d'où ils proviennent ...

Une grande flexibilité pour les fournisseurs de services Internet et de services d'hébergement.

• Les comptes système peuvent immédiatement avoir un accès FTP. L'authentification via les modules PAM est également supportée. Les comptes avec un uid bas (par exemple <500 pour les comptes de démon) peuvent être refusés.
• Tous les comptes peuvent être facilement "chrooté" par défaut. Pour faciliter l'administration, un groupe «de confiance» sans chroot peut être défini.
• Les comptes FTP peuvent être distincts de comptes système, stockée dans une base de données indépendante. Plusieurs comptes peuvent partager le même identifiant système. Une base de données d'indexation intégrée permet les recherches très rapides. Pure-FTPd est par exemple utilisé sur un serveur avec plus de 1,5 millions de comptes. Les comptes du système peuvent être copiés sur des comptes FTP virtuels, de sorte que les utilisateurs peuvent avoir différents mots de passe pour l'accès au shell et l'accès FTP.
• L'authentification LDAP est également entièrement pris en charge. Les fonctions de cryptage Plaintext, Crypt, MD5, SMD5, SHA and SSHA sont supportées. Pure-FTPd été testé avec succès avec OpenLDAP et iPlanet Directory Server. Il utilise des classes posixAccounts standard.
• Les fonctions cryptographiques supportées (SMD5, SSHA) peuvent être utilisées avec n'importe quel serveur LDAP, même ceux qui ne supportent pour ces fonctions de cryptage.
• Les informations utilisateur peuvent aussi être centralisées dans des bases de données MySQL, avec ou sans transactions. Toutes les requêtes sont entièrement personnalisables, et les requêtes peuvent être construitess avec les noms d'utilisateurs, adresses de clients distants, les adresses IP locales et les ports. De cette façon, les règles d'hébergement complexes peuvent être facilement mis en œuvre, même avec plusieurs serveurs virtuels sur la même machine, et de multiples domaines virtuels avec de nombreux utilisateurs.
• Les méthodes d'authentification multiples peuvent être enchaînées dans un ordre quelconque. Par exemple, les authentifications par comptes SQL, annuaires LDAP et comptes du système peuvent être utilisés en même temps.
• Des méthodes d'authentification personnalisées peuvent facilement être ajoutés. Pure-FTPd supporte les modules d'authentification externes, et écrire un nouveau backend peut se résumer à quelques lignes de script shell.
• Pure-FTPd supporte un système de quotas virtuels: les comptes peuvent avoir des quotas individuels (nombre maximum de fichiers, taille maximale du compte) même si ils partagent le même uid du système.
• La limitation de bande passante est supportée, avec des réglages distincts pour l'envoi et la réception de fichiers.
• On peut assigner des quotas individuels pour les ratios et la bande passante
• Chaque utilisateur peut être autorisé à se connecter uniquement à partir d'une plage spécifique d'adresses IP, ou seulement à son propre hôte virtuel.
• Chaque utilisateur peut être limité individuellement à son répertoire personnel ou pas.
• Chaque utilisateur peut être autorisé à se connecter uniquement pendant des plages horaires définies (par exemple, uniquement pendant les heures de bureau).
• Un système anti-piratage empêche les utilisateurs de créer un serveur pirate s'ils trouvent un répertoire public en écriture. Les fichiers appartenant à des utilisateurs FTP anonyme ne peuvent pas être téléchargés (sysadmin change leur propriétaire). En outre, les utilisateurs FTP ne peuvent pas créer des répertoires par défaut pour cacher des fichiers.
• Tout script shell externe peut être appelée après un envoi de fichier réussi. De scanners de virus et archivage de base de données peuvent être facilement mis en place.
• Un nombre de connexions simultanées maximum par adresse IP peut être appliquée pour éviter une consommation excessive de la bande passante et des attaques par déni de service.
• Les téléchargements peuvent être refusés si la charge du système est trop élevée.
• Les listes de répertoires énumèrent un nombre maximal paramétrable de fichiers. Les listes récursives sont entièrement pris en charge, avec une profondeur maximale paramétrable. Ainsi, vous pouvez fournir une recherche récursive à vos utilisateurs sans fournir de service de déni simple.
• La commande pure-ftpwho fournit des rapports en temps réel sur qui fait quoi sur le serveur FTP, y compris l'utilisation de la bande passante. Le résultat peut être exporter sous forme de page Web complète, et le programme peut également fonctionner comme un programme CGI standard, compatible avec n'importe quel serveur web. Des rapports XML et texte sont également disponibles, ainsi qu'un format compact et facilement analysable pour les scripts shell.
• Les fichiers journaux sont précis, et ils utilisent syslog. D'autres fichiers journaux type apache (CLF) peuvent être générés. Ils sont compatibles avec tous les logiciels de statistiques web. Un format étendu appelé «Stats» est également mis en place et fonctionne avec des logiciels de statistiques FTP tiers comme FTPStats et ModLogAn. FTPStats fournit des statistiques détaillées par utilisateur.
• Les répertoires personnels peuvent être créés à la demande. Ceci est particulièrement utile avec des backends LDAP et SQL: il suffit d'insérer une ligne dans la base de données, et le compte est prêt à être utilisé. Pas besoin de créer un répertoire pour l'utilisateur: il sera créé automatiquement la première fois qu'il va se connecter
• Plusieurs serveurs FTP virtuels peuvent être hébergés sur le même ordinateur, avec une IP indépendante de confiance pour l'administration.
• L'accès aux points des fichiers peut être limité, de sorte que les utilisateurs ne puissent pas lire/écrire les dossiers .ssh, les fichiers .bash_history, les fichiers .rhosts ...
• Des mesures de sécurité supplémentaires sont appliquées aux dossiers personnels Les clients ne peuvent pas désactiver leurs comptes par erreur en utilisant la commande "chmod 0 /". La commande «chmod» peut également être totalement désactivé.
• Plusieurs serveurs Pure-FTPd avec des réglages différents peuvent fonctionner sur le même hôte sans aucun conflit.
• Pure-FTPd peut agir comme serveur FTP privé et interdire toutes les connexions anonymes quel que soit le compte du système "ftp". Avec un autre commutateur, le serveur peut être totalement anonyme et refuser les connexions depuis un compte shell.
• Les liens symboliques peuvent être suivis lorsque les utilisateurs sont chrootés, même quand ils sont dirigés hors de la prison chroot. Cette caractéristique unique permet de facilement mettre en place des contenus partagés.
• Les alias de dossiers peuvent être activés afin de fournir des raccourcis vers des répertoires communs.
• Les dépôts de fichiers sont vraiment atomiques. Les serveurs Web ne serviront jamais des images partielles, ni des scripts PHP brisés lorsque les fichiers sont téléchargés, même lorsque le contenu est mis à jour.

Une compatibilité totale avec les spécifications, les clients et les serveurs existants.

Pure-FTPd est l'un des serveurs le plus complet en matière d'implémentation des spécifications du protocole FTP. Il intègre les bases du protocole, ainsi que des extensions modernes comme MLST/ MLSD (listes de répertoire extensibles et permettant de gérer des serveurs miroirs de manière sûre).

Pure-FTPd est conforme au RFC, mais en pratique il y a beaucoup de clients bogués. C'est pourquoi Pure-FTPd a également solutions de contournement pour certaines versions de clients populaires sous Windows qui violent totalement le protocole FTP. Pure-FTPd travaille également avec des clients bogués faits maison qui ne terminent pas correctement les lignes.

En gros, si votre configuration actuelle fonctionne avec un autre serveur FTP, vous pouvez vous passer à Pure-FTPd en toute sécurité sans rien casser ou recevoir des plaintes de clients: les choses vont fonctionner comme avant pour eux, et la migration sera transparente.

IPv6 est entièrement pris en charge. Les extensions du protocole IPv6 EPSV/EPRT sont supportées, et toutes les options de configuration et fonctionnalité de journalisation fonctionne avec IPv4 ainsi qu'IPv6.

Pure-FTPd est le premier démon à implémenté ESTA et ESTP. Ces deux commandes améliore la connexion des données FTP, afin d'augmenter la sécurité du protocole.

Ajouter un serveur FTP derrière un pare-feu est facile: Pure-FTPd peut limiter la plage de ports pour les connexions passives, forcer l'annonce d'IP pour les passerelles qui masquent l'IP source (masquerading gateways) ou désactiver les connexions passives pour faire face aux redirections de ports boguées.