Documentation du Dr FRAPPE

Ce wiki regroupe les résultats de mes expériences en informatique accumulés au cours de mes recherches sur le net.

Dans la mesure du possible, j'ai cité mes sources ; il en manque certainement… :-)

Différences

Ci-dessous, les différences entre deux révisions de la page.

Lien vers cette vue comparative

Les deux révisions précédentesRévision précédente
Prochaine révision
Révision précédente
logiciel:internet:ftp:vsftpd:exemples:start [2021/02/27 16:39] adminlogiciel:internet:ftp:vsftpd:exemples:start [2022/08/13 22:27] (Version actuelle) – modification externe 127.0.0.1
Ligne 37: Ligne 37:
 Le serveur est positionné en mode standalone, ce qui est normal puisqu’il sera a priori sollicité fréquemment. Le serveur est positionné en mode standalone, ce qui est normal puisqu’il sera a priori sollicité fréquemment.
  
-  max_clients=200+  max_clients=200
   : 200 clients simultanés sont acceptés. Les autres recevront un message d’erreur jusqu’à ce qu’une place se libère. De la sorte, le serveur ne sera pas saturé par les requêtes.   : 200 clients simultanés sont acceptés. Les autres recevront un message d’erreur jusqu’à ce qu’une place se libère. De la sorte, le serveur ne sera pas saturé par les requêtes.
-  max_per_ip=4+  max_per_ip=4
   : Chaque client ne pourra ouvrir que 4 connexions simultanées. Il n’y aura donc pas de client qui saturera la bande passante.   : Chaque client ne pourra ouvrir que 4 connexions simultanées. Il n’y aura donc pas de client qui saturera la bande passante.
-  anonymous_enable=YES+  anonymous_enable=YES
   : Nous autorisons les connexions anonymes, ce qui est normal puisque le serveur est public.   : Nous autorisons les connexions anonymes, ce qui est normal puisque le serveur est public.
-  local_enable=NO+  local_enable=NO
   : Nous refusons les connexions d’utilisateurs dotés de compte sur la machine. Seules les connexions anonymes seront donc acceptées. Soyons clair : l’idée ici n’est pas d’empêcher vos utilisateurs locaux chéris de se connecter, mais de prévenir des hacks faciles utilisant les comptes standards présents sur toute machine digne de ce nom, comme Apache, gdm ou autre lp.   : Nous refusons les connexions d’utilisateurs dotés de compte sur la machine. Seules les connexions anonymes seront donc acceptées. Soyons clair : l’idée ici n’est pas d’empêcher vos utilisateurs locaux chéris de se connecter, mais de prévenir des hacks faciles utilisant les comptes standards présents sur toute machine digne de ce nom, comme Apache, gdm ou autre lp.
-  write_enable=NO+  write_enable=NO
   : Personne ne modifie de fichier ni n’écrit sur notre serveur.   : Personne ne modifie de fichier ni n’écrit sur notre serveur.
-  anon_upload_enable=NO+  anon_upload_enable=NO
   : Les utilisateurs anonymes (donc les utilisateurs du serveur) ne peuvent pas uploader de fichier.   : Les utilisateurs anonymes (donc les utilisateurs du serveur) ne peuvent pas uploader de fichier.
-  anon_mkdir_write_enable=NO+  anon_mkdir_write_enable=NO
   : Les utilisateurs (anonymes) ne peuvent pas non plus créer de répertoire.   : Les utilisateurs (anonymes) ne peuvent pas non plus créer de répertoire.
-  anon_other_write_enable=NO+  anon_other_write_enable=NO
   : Les utilisateurs (anonymes) ne peuvent pas non plus renommer ni supprimer ni fichier ni répertoire.   : Les utilisateurs (anonymes) ne peuvent pas non plus renommer ni supprimer ni fichier ni répertoire.
-  anon_world_readable_only=YES+  anon_world_readable_only=YES
   : Les utilisateurs (anonymes) ne peuvent télécharger que les fichiers accessibles en lecture à tous.   : Les utilisateurs (anonymes) ne peuvent télécharger que les fichiers accessibles en lecture à tous.
-  connect_from_port_20=YES+  connect_from_port_20=YES
   : Nous acceptons les connexions depuis le port 20 (notre éventuel firewall laisse ce port passer).   : Nous acceptons les connexions depuis le port 20 (notre éventuel firewall laisse ce port passer).
-  hide_ids=YES+  hide_ids=YES
   : Tous les fichiers et répertoires du serveur sont montrés comme appartenant à FTP.   : Tous les fichiers et répertoires du serveur sont montrés comme appartenant à FTP.
-  pasv_min_port=50000, pasv_max_port=60000+  pasv_min_port=50000, pasv_max_port=60000
   : En mode passif, les ports acceptés sont dans la tranche 50000 à 60000. Tous les autres sont refusés sur le serveur et sans doute aussi sur le firewall. Qu’est-ce que cette chose-là ? Le mode passif est celui dans lequel le client, au lieu d’envoyer au serveur le numéro du port à partir duquel il souhaite que le serveur envoie les données, envoie PASV, laissant passivement le serveur décider quel port utiliser pour l’envoi de données, habituellement le port 20.\\ Cette directive est par défaut sur Yes, le mode passif est possible (ce qui est souvent nécessaire lorsqu’un firewall est présent avant le serveur. Le mode actif permet en revanche au client d’avoir la certitude, puisque c’est lui qui décide du port, que les données qu’il reçoit correspondent bien à sa demande initiale).   : En mode passif, les ports acceptés sont dans la tranche 50000 à 60000. Tous les autres sont refusés sur le serveur et sans doute aussi sur le firewall. Qu’est-ce que cette chose-là ? Le mode passif est celui dans lequel le client, au lieu d’envoyer au serveur le numéro du port à partir duquel il souhaite que le serveur envoie les données, envoie PASV, laissant passivement le serveur décider quel port utiliser pour l’envoi de données, habituellement le port 20.\\ Cette directive est par défaut sur Yes, le mode passif est possible (ce qui est souvent nécessaire lorsqu’un firewall est présent avant le serveur. Le mode actif permet en revanche au client d’avoir la certitude, puisque c’est lui qui décide du port, que les données qu’il reçoit correspondent bien à sa demande initiale).
-  xferlog_enable=YES+  xferlog_enable=YES
   : Nous logons les transferts.   : Nous logons les transferts.
-  ls_recurse_enable=NO+  ls_recurse_enable=NO
   : Nous interdisons l’option -R de “ls -R”, qui consomme trop de ressources machine.   : Nous interdisons l’option -R de “ls -R”, qui consomme trop de ressources machine.
-  ascii_download_enable=NO+  ascii_download_enable=NO
   : Nous n’envoyons pas les fichiers en mode ASCII.   : Nous n’envoyons pas les fichiers en mode ASCII.
-  async_abor_enable=YES+  async_abor_enable=YES
   : Nous acceptons la commande async ABOR, pour certains de nos clients qui en ont besoin (qui ? Nous ne savons pas, mais le serveur est public donc nous ne savons pas quel client FTP utilisera notre visiteur).\\ A quoi sert cette directive étrange ? Elle permet d’activer la commande FTP async ABOR, qui permet de stopper un téléchargement asynchrone en cours. Elle est considérée comme complexe et inélégante, parce qu’async ABOR produit des effets différents en fonction des clients (fermeture de session, déconnexion, etc.).\\ C’est pourquoi cette directive est par défaut sur No, désactivant le support de cette commande. Certains clients FTP ont cependant besoin d’async ABOR pour pouvoir annuler un téléchargement dans de bonnes conditions. Vous aurez donc peut-être besoin de positionner cette directive sur Yes dans certains cas, et c’est ce que nous choisissons de faire ici, puisque nous ne savons pas quel type de client est susceptible de se connecter chez nous.   : Nous acceptons la commande async ABOR, pour certains de nos clients qui en ont besoin (qui ? Nous ne savons pas, mais le serveur est public donc nous ne savons pas quel client FTP utilisera notre visiteur).\\ A quoi sert cette directive étrange ? Elle permet d’activer la commande FTP async ABOR, qui permet de stopper un téléchargement asynchrone en cours. Elle est considérée comme complexe et inélégante, parce qu’async ABOR produit des effets différents en fonction des clients (fermeture de session, déconnexion, etc.).\\ C’est pourquoi cette directive est par défaut sur No, désactivant le support de cette commande. Certains clients FTP ont cependant besoin d’async ABOR pour pouvoir annuler un téléchargement dans de bonnes conditions. Vous aurez donc peut-être besoin de positionner cette directive sur Yes dans certains cas, et c’est ce que nous choisissons de faire ici, puisque nous ne savons pas quel type de client est susceptible de se connecter chez nous.
-  one_process_model=YES+  one_process_model=YES
   : Si vous disposez d’un noyau 2.4 sous Linux, vous pouvez en activant cette fonction générer un processus par connexion. Il s’agit là d’une option moins " pure " en termes de sécurité, mais qui permet une performance parfois meilleure.\\ N’activez cette fonction, par défaut sur No, que si vous savez ce que vous faites et ce que ce changement implique et par ailleurs seulement si votre site reçoit un grand nombre de connexions simultanées.\\ C’est peut-être le cas pour ce serveur, nous l’activons et monitorerons naturellement la charge qu’elle provoquera.   : Si vous disposez d’un noyau 2.4 sous Linux, vous pouvez en activant cette fonction générer un processus par connexion. Il s’agit là d’une option moins " pure " en termes de sécurité, mais qui permet une performance parfois meilleure.\\ N’activez cette fonction, par défaut sur No, que si vous savez ce que vous faites et ce que ce changement implique et par ailleurs seulement si votre site reçoit un grand nombre de connexions simultanées.\\ C’est peut-être le cas pour ce serveur, nous l’activons et monitorerons naturellement la charge qu’elle provoquera.
-  idle_session_timeout=120+  idle_session_timeout=120
   : Nous acceptons 120 secondes d’inactivité de la part du client, au-delà il est rejeté pour laisser la place à un autre.   : Nous acceptons 120 secondes d’inactivité de la part du client, au-delà il est rejeté pour laisser la place à un autre.
-  data_connection_timeout=300+  data_connection_timeout=300
   : Si un transfert est gelé pendant plus de 300 secondes, nous considérons que le client est déconnecté ou en échec et clôturons la session pour laisser la place à un autre.   : Si un transfert est gelé pendant plus de 300 secondes, nous considérons que le client est déconnecté ou en échec et clôturons la session pour laisser la place à un autre.
-  accept_timeout=60+  accept_timeout=60
   : Nous donnons 60 secondes à un client en mode passif pour établir sa connexion. Au delà, nous clôturons pour laisser la place à un autre (60 secondes est largement assez, sauf si le client rencontre un problème important, qui handicapera de toutes les façons son transfert).   : Nous donnons 60 secondes à un client en mode passif pour établir sa connexion. Au delà, nous clôturons pour laisser la place à un autre (60 secondes est largement assez, sauf si le client rencontre un problème important, qui handicapera de toutes les façons son transfert).
-  connect_timeout=60+  connect_timeout=60
   : Nous donnons le même délai au client qui se connecte en mode PORT.   : Nous donnons le même délai au client qui se connecte en mode PORT.
-  anon_max_rate=50000+  anon_max_rate=50000
   : Nous autorisons un débit maximal de 50000 octets par seconde (49 ko/s) pour les clients.   : Nous autorisons un débit maximal de 50000 octets par seconde (49 ko/s) pour les clients.