PureFTPd + TLS + Clamav sur Debian Lenny

modifié le : 13 septembre 2022,
par Guillaume Chéramy
 

Voici le parallèle de cet article http://blog.cheramy.name/2010/11/06/proftpd-tls-clamav-sur-debian-lenny/ avec PureFTPd.

Cette fois-ci j'utilise MySQL pour stocker les comptes utilisateurs.

Installation de MySQL et PureFTPd

# apt-get install mysql-server mysql-client pure-ftpd-mysql

 

On va créer une base et un utilisateur pour pureftpd :

mysql> create database pureftpd character set utf8 ;
mysql> grant SELECT, INSERT, UPDATE, DELETE, CREATE, DROP on pureftpd.* to 'pureftpd_uzer'@'localhost' identified by 'azerty' ;

 

On crée ensuite une table qui va contenir les informations des utilisateurs.

mysql> use pureftpd ;
mysql> CREATE TABLE ftpd (
    -> User varchar(16) NOT NULL default '',
    -> status enum('0','1') NOT NULL default '0',
    -> Password varchar(64) NOT NULL default '',
    -> Uid varchar(11) NOT NULL default '-1',
    -> Gid varchar(11) NOT NULL default '-1',
    -> Dir varchar(128) NOT NULL default '',
    -> ULBandwidth smallint(5) NOT NULL default '0',
    -> DLBandwidth smallint(5) NOT NULL default '0',
    -> comment tinytext NOT NULL,
    -> ipaccess varchar(15) NOT NULL default '*',
    -> QuotaSize smallint(5) NOT NULL default '0',
    -> QuotaFiles int(11) NOT NULL default 0,
    -> PRIMARY KEY (User),
    -> UNIQUE KEY User (User)
    -> ) TYPE=MyISAM;

 

Configuration de PureFTPD

On commence par configurer l'accès à la base de données dans le fichier /etc/pure-ftpd/db/mysql.conf :

MYSQLSocket      /var/run/mysqld/mysqld.sock
MYSQLServer     localhost
MYSQLPort       3306
MYSQLUser       pureftpd_uzer
MYSQLPassword   azerty
MYSQLDatabase   pureftpd
MYSQLCrypt      md5
MYSQLGetPW      SELECT Password FROM ftpd WHERE User="L" AND status="1" AND (ipaccess = "*" OR ipaccess LIKE "R")
MYSQLGetUID     SELECT Uid FROM ftpd WHERE User="L" AND status="1" AND (ipaccess = "*" OR ipaccess LIKE "R")
MYSQLGetGID     SELECT Gid FROM ftpd WHERE User="L"AND status="1" AND (ipaccess = "*" OR ipaccess LIKE "R")
MYSQLGetDir     SELECT Dir FROM ftpd WHERE User="L"AND status="1" AND (ipaccess = "*" OR ipaccess LIKE "R")
MySQLGetBandwidthUL SELECT ULBandwidth FROM ftpd WHERE User="L"AND status="1" AND (ipaccess = "*" OR ipaccess LIKE "R")
MySQLGetBandwidthDL SELECT DLBandwidth FROM ftpd WHERE User="L"AND status="1" AND (ipaccess = "*" OR ipaccess LIKE "R")
MySQLGetQTASZ   SELECT QuotaSize FROM ftpd WHERE User="L"AND status="1" AND (ipaccess = "*" OR ipaccess LIKE "R")
MySQLGetQTAFS   SELECT QuotaFiles FROM ftpd WHERE User="L"AND status="1" AND (ipaccess = "*" OR ipaccess LIKE "R")

 

On veut que chaque utilisateur soit chrooté dans son homeDirectory avec une création automatique de celui-ci si il n'exisste pas :

# echo "yes" > /etc/pure-ftpd/conf/ChrootEveryone
# echo "yes" > /etc/pure-ftpd/conf/CreateHomeDir

 

On veut que le service FTP soit gérer en tant que démon et non pas par inetd, donc on change la valeur de STANDALONE_OR_INETD dans le fichier /etc/default/pure-ftpd-common :

STANDALONE_OR_INETD=standalone

Il faut commanter la ligne :

#:STANDARD: These are standard services.
#ftp    stream  tcp     nowait  root    /usr/sbin/tcpd /usr/sbin/pure-ftpd-wrapper

dans /etc/inetd.conf

On peut maintenant démarrer le service :

# /etc/init.d/openbsd-inetd restart
# /etc/init.d/pure-ftpd-mysql start

 

Créer un utilisateur et tester

mysql> NSERT INTO `ftpd` (`User`, `status`, `Password`, `Uid`, `Gid`, `Dir`, `ULBandwidth`, `DLBandwidth`, `comment`, `ipaccess`, `QuotaSize`, `QuotaFiles`) 
VALUES ('guillaume', '1', MD5('secret'), '2001', '2001', '/home/guillaume', '100', '100', '', '*', '50', '0');

 

SSL

On va sécuriser la connexion et le transfert des données par une connexion SSL. On a plusieurs alternatives :
* soit on autorise le FTP en clair et en SSL :

# echo 1 > /etc/pure-ftpd/conf/TLS

* soit on autorise seulement le FTPs

# echo 2 > /etc/pure-ftpd/conf/TLS

* soit on désactive complètement le SSL :

# echo 0 > /etc/pure-ftpd/conf/TLS

 

La seconde chose à faire est de se créer un certificat, pour cela voir cet article : http://blog.cheramy.name/2010/01/13/mise-en-place-dune-infrastructure-pki/

On génère une clé et un certificat. On concatène les deux fichiers en un seul :

# cat /etc/ssl/PKI_guidtz/ftp.guidtz-intra.org.key.pem /etc/ssl/PKI_guidtz/ftp.guidtz-intra.org.pem > /etc/ssl/private/pure-ftpd.pem
# chmod 600 /etc/ssl/private/pure-ftpd.pem

 

On redémarre le serveur et on teste avec un client comme Filezilla :

# /etc/init.d/pure-ftpd-mysql restart

 

Pour tester, il va falloir configurer le client FTP comme ceci :

 

Le paramètre TLSRequired force l'utilisation de la connexion TLS, si le client n'est pas paramétré pour la connexion sera refusée.
Vérifiez et acceptez le certificat et maintenant la connexion au FTP est sécurisée.

 

Clamav

On install els paquets nécessaires pour clamav :

# apt-get install clamav clamav-daemon

 

On paramètre pureftpd :

# echo "yes" > /etc/pure-ftpd/conf/CallUploadScript

 

On crée un script qui va être exécuté à chaque chargement de fichier :

# vi /etc/pure-ftpd/clamav_check.sh
#!/bin/sh
/usr/bin/clamdscan --remove --quiet --no-summary "$1"
# chmod +x /etc/pure-ftpd/clamav_check.sh

 

Il faut enfin modifier le fichier /etc/default/pure-ftpd-common

UPLOADSCRIPT=/etc/pure-ftpd/clamav_check.sh

 

Puis on redémarre le serveur pour activer ce nouveau paramétrage.

 

Tester

Pour tester, on peut récupérer des fichiers de test à cette adresse : http://www.eicar.org/anti_virus_test_file.htm

Si tout est bien configuré, lorsqu'on essaie de transférer un de ces fichiers, celui-ci est automatiquement effacé.