CentOS : Installer et configurer un serveur SFTP très sécurisé !

Рет қаралды 13,833

Күн бұрын

Article Linuxtricks : www.linuxtricks.fr/wiki/cento...
Commandes sftp : www.linuxtricks.fr/wiki/ssh-c...
00:00 Intro
00:20 Encore une expérience professionnelle :)
01:47 Je vais même vous montrer comment j'installe CentOS au travail !
02:31 Désactiver KDump
02:38 Régler les paramètres réseau et nom d'hôte
03:47 Précision : que veut dire Masque 24 ?
05:04 Régler le fuseau horaire
05:13 La sélection logicielle CentOS
05:22 Le partitionnement du système
09:08 Création des utilisateurs
09:53 Pourquoi on a installé un serveur SFTP
11:08 Le SFTP, c'est quoi ? Avantages par rapport à FTP / FTPS ?
14:57 Démarrons notre CentOS toute fraiche
15:34 Petit aparté : Agrandir avec LVM une partition à chaud
16:28 Petit aparté : CentOS sur conteneur, installer OpenSSH et Parefeu
17:46 Par défaut sftp fonctionne sans rien faire (mais peu sécurisé)
18:36 Créons un groupe pour nos utilisateurs
19:04 Créons notre utilisateur avec nos spécifications
20:07 Affectons un mot de passe à notre utilisateur
20:25 Testons les connexions ssh et sftp, rien ne marche
21:04 Configurons SFTP pour nos utilisateurs du groupe sftpusers
22:14 Paramétrons le "chroot" de nos utilisateurs dans sshd_config
24:12 Affectons les bons droits aux dossiers
26:40 Testons notre SFTP super sécurisé
28:04 Comment créer un nouvel utilisateur ?
28:30 Esquisse de script pour la création auto de nouveaux utilisateurs
32:48 Conclusion
--------
Infos utiles comme d'hab :
Quelle distribution j'utilise ?
Calculate Linux GNOME (Système Perso, pas pour débuter)
Quel logiciel affiche des infos dans la barre GNOME ? C'est une extension perso
Où me retrouver sur les réseaux ? Twitter : / _adriend_
Mon site web : www.linuxtricks.fr
Ma config PC Fixe :
Carte mère X470 GAMING PRO
AMD Ryzen 5 2600X
16Gb RAM DDR4
AMD Radeon RX 560 (pilote libre amdgpu)
SSD 860 EVO 500GB + HDD Seagate 7200tr/mn 2To
Micro BIRD UM1
PC portable de tests :
Dell Latitude E5500 (Année 2008)
Intel Core 2 Duo T7250 - 2,0 Ghz
4Go de RAM DDR2
SSD Kingston SA400S37/120Go
Intel HD Graphics intégrés

Пікірлер: 57

@yousseflouaar7541 Жыл бұрын

Merci !! c'est vraiment très détaillé.

@katalan66 2 жыл бұрын

Bonjour, Avec un p'tit script à la fin, merci infiniment du cadeau. Je suis très attiré par les scripts par les solutions d'automatisation. Je ne connais pas dutout les scripts alors merci du cadeau.

@fred24 Жыл бұрын

super parfait c ce que je chercher tres tres bien je te remercie bon travail continue

@seigneurfuo 4 жыл бұрын

Merci pour ce retour ! ça va me servir personnellement pour le boulot!

@Toinoux36 4 жыл бұрын

J'adore vraiment très enrichissant tes vidéos , je suis surment pas le seul mais j'apprend énormément à suivre tes vidéos merci pour le temps que tu passes à nous faires découvrir ton métier.

@bencozeus9177 4 жыл бұрын

Excellente vidéo, car tu abordes énormément de points, et si nous savons déjà, nous pouvons juste passer au suivant. Mais justement, si il y a des trucs de base où nous étions pas sûr, ça peut vraiment nous aider ! Merci :)

@littleclem748 4 жыл бұрын

Merci de partager tes connaissances. Tu as la seul chaîne avec les notifs activités sur mon tél. ;-)

@ptpirlo7446 4 жыл бұрын

Merci pour la vidéo. J'attends avec impatience samba ou samba 4 et un environnement hétérogène serveur linux et serveur Windows(pdc=serveur linux et bdc=serveur Windows). Bravo ! Encore merci pour toutes tes vidéos. Un grand fan!

@SimonLedoux 4 жыл бұрын

Super merci pour ce tuto! J'ai testé avec debian et ça fonctionne parfaitement

@jean-paulrouze9973 4 жыл бұрын

Super, de plus en plus indispensable.

@riku4441 3 жыл бұрын

merci pour les bonnes pratiques !

@WarDaddyDog 4 жыл бұрын

Très bon tuto :)

@MutshuDream Жыл бұрын

Bonjour, moi qui débute dans l'administration système avec Linux (Ubuntu pour être précis), ton tutoriel m'a énormément aidé à comprendre ce protocole sftp et le dompter pour proposer à mes collaborateurs et prestataires un emplacement sécurisé. Un grand MERCI :)

@AdrienLinuxtricks Жыл бұрын

Super, si cela t'a aidé ! Merci du retour !

@sleipnir7446 4 жыл бұрын

Certainement l'une de tes meilleures vidéos. Je n'ai juste pas compris pourquoi les droits ne sont pas 777 pour le répertoire "cursus" plutôt que de s'embêter avec un sous-répertoire "data".

@blaisemugalu8309 2 жыл бұрын

Tu m'as toujours donné le goût de linux et merci pour la vidéo. serveur sftp... Dans tes vidéos tu parles souvent de tes comptes Twitter et autres sociaux... Où un te demande de faire tel ou tel vidéo Moi j'ai pas ces comptes et je vais te demander ici!! Alors la demande est la suivante : Un jour pourrais-tu faire une vidéo qui montre comment mettre un contrôleur de domaine sur ubuntuServer 😊😊

@blaisemugalu8309 2 жыл бұрын

Un contrôleur de domaine avec samba et autre si possible

@holo0667 3 жыл бұрын

au top

@ChristopheCasalegno 4 жыл бұрын

Hello, pour info tu peux utiliser %h pour pointer directement sur le "home" de l'utilisateur avec la directive ChrootDirectory.

@jonathantikafpei1039 4 жыл бұрын

Top merci pour la vidéo

@benaissamohamed599 3 жыл бұрын

Merci, vraiment c est très clair

@jlone1378 2 жыл бұрын

top. Merci beaucoup

@juniorbozambie6784 4 жыл бұрын

Merci Adrien

@hams7733 4 жыл бұрын

Merci. Trop fort. J'aurais kiffer avoir toutes ces connaissances. Mais pas facile pour un débutant. Merci Adrien.

@0o0MrBlues0o0 4 жыл бұрын

Très intéressant & très complet. Un grand Merci. Il y a quelques jours avant cette vidéo, j'ai installé un serveur ftp avec vsftp et un certificat auto-signé sur CentOS. Ta méthode est effectivement plus facile à mettre en place & autant utiliser ssh.

@AdrienLinuxtricks 4 жыл бұрын

;)

@davidvonlanthen1275 4 жыл бұрын

Très bonne vidéo. J'ai mis en place un sftp identique il y as quelques temps et je me demandais si il étais possible de faire un dossier commun ou si il y avais un moyen de partager un fichier en lecture/écriture. Je but un peux sur ce point là.

@guillaumebruyninckx5953 3 жыл бұрын

Super video, est si l'ont veut avoir une authentification par clef ssh et non par mot de passe ?

@maxali6591 4 жыл бұрын

Du zabbix, une IP statique, un cidr, installation core ! Un homme bien! Je recompile le noyau aussi personnellement. Par contre je ne sais pas ce que c'est un kdump, je le desactive dans le cadre de la réduction de la surface d'attaque, mais je ne suis pas allé vérifier ce que ça fait. Proftpd, je l'utilise pour le pxe, chez moi, et je suis d'accord pour ftps, c'est une usine a gaz a installer. C'est over SSL, mais le diffie hellmann ca sufft pour sécuriser 😉

@AdrienLinuxtricks 4 жыл бұрын

KDump capture des infos noyau en cas de plantage. Moi j'en ai pas besoin. T'as oublié le "Qui garde SELinux activé" :D

@maxali6591 4 жыл бұрын

@@AdrienLinuxtricks lol je suis au milieu de la vidéo 😃

@maxali6591 4 жыл бұрын

@@AdrienLinuxtricks mais gros merci c'est cool de montrer ce genre de contenu. Selinux est ton ami, il ne veut que ton bien, il ne t'embète pas 😃😃😃

@kholoinformatique 4 жыл бұрын

excellent Adrien... TRÈS FORT !!! merci pour toutes ces précisions... le chroot me manquait et répond à beaucoup de questionnements... mais pourquoi n'y ai je pas pensé ??? pour moi, fini les ACL et autres montages foireux !!! hier soir, j'avais mis un com sur sshfs mais je n'ai pas dû le posté je crois... et tu réponds pile dedans aujourd’hui... tu as créé une chaîne de qualité qui aborde parfaitement les besoins des linuxiens... tu l'as dis, mais je reviens sur le montage via les navigateurs de fichiers : sftp://utilisateur@ipserveur/point/de/montage exemple sftp://titi@192.168.1.103/sftp/titi pour la première connexion on a un placard qui concerne la sécurité qu'il faut accepter je fais ensuite un ctrl + d pour ajouter un favoris (ou signet selon le navigateur de fichiers) et on peut enregistrer le mdp (seahorse pour moi sur mes Ubuntu) ou ajouter une paire de clés pour la connexion. il arrive ensuite qu'au détour d'un changement d'IP, sur le client (ou le serveur, j'ai un doute...), l'association avec le mac du serveur soit déjà utilisée mais la ligne à inscrire pour défaire cette association est donnée en toutes lettres lors de la tentative, et donc l'échec de la connexion... un copier / coller règle le problème... cela m'arrive car je jongle beaucoup avec les IP et que j'installe openssh quasiment sur toutes mes machines... voilà pour mon humble retour d'exp... merci pour ta mine d'informations et félicitation pour ton travail !

@AdrienLinuxtricks 4 жыл бұрын

Merci ! Je n'utilise pas la partie graphique perso. Si tu changes d'IP et que tu avais une clé pour cette IP tu as en effet l'avertissement du Man in the middle

@axelbahamid7349 3 жыл бұрын

J'ai un PC Windows 10 j'ai suivi l'installation à la lettre sur VMware mais j'arrive pas à me connecter en ssh avec mon autre machine virtuelle parot

@Yeo-sf2lh 4 жыл бұрын

Hello Adrien, Vidéo très bien faite comme d'habitude. Je me demandais, tu ne paramètres jamais de serveur temps quand tu installes un nouveau serveur sous CentOS ? Histoire que tous tes serveurs soient à l'heure. Je me suis rendu compte récemment que mes VM CentOS et Fedora (versions serveur) n'étaient pas à l'heure alors que pourtant bien paramétrée sur Europe/Paris quand je faisais localectl. C'était à cause de cela que quand je lançais les mises à jour sur Fedora ça me sortait des erreurs CURL en actualisant le dépôt RPM Fusion. Merci

@AdrienLinuxtricks 4 жыл бұрын

Je laisse les serveurs de temps de CentOS par défaut. Si tu as un pare-feu il faut laisser passer le NTP (123/TCP et UDP)

@macarel346 Жыл бұрын

Bonjour, c’est la même manip avec Debian11? Car j’ai un « client_loop: send disconnect: Broken pipe » quand je me connecte en sftp avec Cursus

@macarel346 Жыл бұрын

J’ai trouvé, le dossier /sftp/Cursus n’était pas créé

@Hop12342 2 жыл бұрын

Bonjour, Monsieur je suivais vos vidéos depuis un moment. J'ai une question, Est ce qu'on peut faire (tolérance de panne avec un serveur sftp ou ssh)?

@AdrienLinuxtricks 2 жыл бұрын

Oui C'est quoi le but ? Corosync peut le faire ou un enregistrement DNS tout pareil (2 enregistrements A sur 2 IP différentes avec le même nom)

@Hop12342 2 жыл бұрын

D'accord merci beaucoup. Le but de créer deux groupes, dans chaque groupe, créer deux utilisateurs. dans le but que le serveur ne soit pas tombé en panne.

@vdechappe 4 жыл бұрын

Bonjour très bon tuto. Par contre pourquoi tu n'utilises pas les ACL?

@AdrienLinuxtricks 4 жыл бұрын

Bonjour, Dans ce cas, je n'en vois pas l'utilité

@vdechappe 4 жыл бұрын

@@AdrienLinuxtricksje dis peut-être une bêtise mais à la place de chmod 755 faire un chmod 750 puis un setfacl -m d:u:cursus :rx cursus. Bon c'est juste pour faire avancer le Chmilblik 😄. Dans tous les cas merci pour le retour d' expérience C est ce qu'il manque sur la plupart des tutos.

@AdrienLinuxtricks 4 жыл бұрын

@@vdechappe Oui mais vu que "cursus" et les autres sftpusers ne peuvent pas se connecter sur la machine, ce n'est pas nécessaire (et vu qu'ils sont emprisonnés).

@lotuspapou1 2 жыл бұрын

j'ador ton travail tres bien expliquer je desire faire la meme chose sur freebox mais pas de graphique de centos tout en lige de commende peux tu me dire comment faire pour avoire le graphisme merci et bon travail a bientot avec t'et video

@Temet79 4 жыл бұрын

Oh ce coup de vieux que tu m'as filé avec la dépréciation du 'scp'. 20 ans de ma vie qui vont s'envoler :(

@Luhmn 4 жыл бұрын

Salut, je n’ai jamais compris non plus le délire des SRV-ZEUS ou SRV-PLUTON dans le cadre professionnelle 😅

@AdrienLinuxtricks 4 жыл бұрын

;)

@serge5046 4 жыл бұрын

Tout cela existe déjà depuis belle lurette sous vsftpd. Voici pour le cryptage: ostechnix.com/secure-vsftpd-server-with-tlsssl-encryption/ Pour chroot, restreindre le nombre d'utilisateurs et ajuster les permissions: phoenixnap.com/kb/how-to-setup-ftp-server-install-vsftpd-centos-7 Bien entendu SSH permet d'autres possibilités qu'un serveur FTP même sécurisé n'est pas à même de proposer ! En revanche, à l'époque, sous CentOS 6.5, on créait les règles SELinux ad hoc de même que les règles pour iptables.

@AdrienLinuxtricks 4 жыл бұрын

SELinux n'a pas bronché, je pensais qu'avec chroot on devait faire un truc mais même pas !

@serge5046 4 жыл бұрын

@@AdrienLinuxtricks Quel est le mode de SELinux ? Permissive, enforced ou disabled ? Pour SELinux, à l'époque, on se basait sur ces articles: selinuxproject.org/page/FTPRecipes ou www.techpaste.com/2014/06/configure-ftp-server-selinux-linux/

@AdrienLinuxtricks 4 жыл бұрын

Enforced évidemment !

@serge5046 4 жыл бұрын

@@AdrienLinuxtricks Théoriquement il aurait fallu avoir: setsebool -P ssh_chroot_full_access on Article de référence: www.linuxtechi.com/configure-chroot-sftp-in-linux/ Bien à toi

@AdrienLinuxtricks 4 жыл бұрын

Oui, mais ça fonctionne sans, étrange ..