SSH file transfer protocol (SFTP) : Cloud - VPS, serveurs dédiés - Comment sécurisé vos transferts de fichiers ?
Hello @NicolasV62,
Je te transmets le retour effectué par les équipes. Je t'invite à en prendre connaissance et à update ton tuto en conséquences.
N'hésite pas à me dire dès que cela sera fait en réponse au thread.
SSH file transfer protocol (SFTP) : Cloud - VPS, serveurs dédiés - Comment sécurisé vos transferts de fichiers ?
Testé et validé.
Peut-être rajouter, un avertissement sur le backup storage, puisqu'étant une option lié au service (vps/serveur dédié), il peut en cas de piratage du compte client, être aussi désactivé supprimé, etc.
La multiplication de sauvegardes, sur des supports et stockées à des emplacements différents, avec une vérification de l’intégrité des données sauvegardées fait aussi partie des pratiques de sécurisation à effectuer (avec peut-être un guide/lien sur la méthodologie 3-2-1 https://www.acronis.com/fr-fr/blog/posts/backup-rule/ https://www.veeam.com/blog/321-backup-rule.html)
^FabL
Bonjour.
Merci pour votre réponse. Je comprends pour les problèmes de mise en place. On connait tous les mêmes problèmes. dois je reprendre mon article afin d'y ajouter les références ?
quelle est votre politique de liens externes ? acronis et veeam ne sont ils pas des concurrents à votre offre de sauvegarde ?
Hello @NicolasV62,
Je te remercie pour ce retour, j'effectuerai une syncho avec les équipes tech pour savoir ce qu'il en est.
Toutefois, tu peux déjà update sans soucis avec le lien veeam, puisque nous proposons des produits basés sur leurs solutions 
Les modifications sont bien à charge du contributeur effectivement. (Cf guidelines)
Bonne journée à toi !
^FabL
# SSH file transfer protocol (SFTP) : Cloud - VPS, serveurs dédiés - Comment sécurisé vos transferts de fichiers ?<br />## Objectif :<br />Les transferts de données par FTP sont faiblement sécurisés et requièrent l'installation sur votre serveur d'un logiciel tel que proftpd, vsftpd, glftpd, pure-ftpd, ... Toutefois, sur votre installation, il existe déjà Le protocole de communication SSH (Secure Shell) qui est installé nativement sur tous les serveurs OVHcloud (VPS, serveurs dédiés, instances Public Cloud).<br />Ce guide vous détaille les étapes de paramétrage du SFTP.<br /><br />## Prérequis : <br />une offre VPS, serveur dédié sur votre compte OVHcloud<br />l'installation de fedora, CentOS ou Red HAT / Debian ou Ubuntu<br />accès administratif (root) via SSH à votre serveur<br />un éditeur de fichier texte tel que nano ou vi (ce guide utilise nano)<br /><br />## Étape 1 : La création des utilisateurs ayant accès au SFTP <br />Afin de gérer au mieux les accès, il est conseillé de créer un groupe ayant par exemple le nom sftp_grpe qui contient l'ensemble des utilisateurs du service.<br />`sudo groupadd sftp_grpe`<br />Ensuite, nous allons créer le répertoire personnel de l'utilisateur. Par simplicité d'usage, le nom de l'utilisateur sera aussi le nom du répertoire : sftp_mon-usr<br />`sudo mkdir /home/sftp_mon-usr`<br />Désormais, nous passons à l'utilisateur<br />`sudo useradd -d /home/sftp_mon-usr -g sftp_grpe sftp_mon-usr`<br />L'option -d est le répertoire maison du compte, -g est le groupe dont fera parti l'utilisateur cité en fin de commande.<br />Et nous lui interdisons l'accès au shell pour plus de sécurité.<br />`sudo usermod -s /bin/false sftp_mon-usr`<br />et bien sûr, nous lui attribuons un mot de passe grâce à :<br />`sudo passwd sftp_mon-usr`<br />Afin de finaliser cette étape, nous vérifions les accès au répertoire home du compte<br />`ls -l /home/`<br />qui doit répondre par : <br />`drwxr-xr-x X root root X Month X hh:mm sftp_mon-usr`<br />qui se lie : les droits, le propriétaire du répertoire, le groupe du répertoire et enfin le nom du répertoire.<br />Si ce n'est pas le cas, voici les commandes afin de modifier les droits :<br /> sudo chmod 755 /home/sftp_mon-usr<br /> sudo chown root:root /home/sftp_mon-usr<br />Le répertoire doit appartenir à l'utilisateur et au groupe root avec les droits 755. Sinon le SFTP, ne fonctionne pas. Comme dans ce cas, sftp_mon-usr ne peut écrire dans son home, il faut lui créer un sous répertoire par exemple SFTP lui appartenant.<br /> sudo mkdir /home/sftp_mon-usr/SFTP<br /> sudo chmod 755 /home/sftp_mon-usr/SFTP<br /> sudo chown sftp_mon-usr:sftp_grpe /home/sftp_mon-usr/SFTP<br />Il est aussi possible de lui créer un répertoire contenant un CMS ou d'autres services ayant besoin d'un SFTP.<br />`sudo mkdir /home/sftp_mon-usr/wordpress`<br /><br />## Étape 2 : Activer le SFTP et renseigner les valeurs de ChrootDirectory <br />Tous les paramètres de SFTP se gèrent dans le fichier de configuration de SSH. Pour le modifier, il faut utiliser cette commande :<br />`sudo nano /etc/ssh/sshd_config`<br />À la fin de ce document, il faut modifier la ligne Subsystem sftp /usr/libexec/openssh/sftp-server par la ligne<br />`Subsystem sftp internal-sftp`<br />et ajouter en dessous, les paramètres de votre utilisateur<br />Match User sftp_mon-usr<br />ChrootDirectory /home/sftp_mon-usr<br />ForceCommand internal-sftp<br />AllowTcpForwarding no<br />X11Forwarding no<br />[ctrl]+o pour sauvegarder avec nano<br />et [ctrl]+x pour quitter l'éditeur.<br />Pour chaque utilisateur ajouté, il faut lui créer un paragraphe dédié qui spécifie le chemin de son répertoire home. Il existe des variantes de paramétrage afin d'automatiser par groupe l'accès aux différents répertoires pour chaque utilisateur avec la ligne Match Group (voir l'étape 4 de ce guide). Toutefois, dans un premier temps, il est important de bien se familiariser avec cette fonction.<br />Relancer le service SSH de votre serveur afin qu'il prenne en compte ces nouveaux paramètres.<br />Pour Fedora, CentOS, Red Hat<br />`sudo systemctl restart sshd`<br />Pour Débian et Ubuntu<br />`/etc/init.d/ssh restart`<br /><br />## Étape 3 : Vérification de l'accès<br />Dans le terminal de ligne de commande de votre ordinateur et non de votre serveur, il est possible de tester la connexion sftp :<br />`sftp sftp_mon-usr@ip-de-mon-serveur`<br />Après la saisie du mot de passe, il doit apparaître la ligne : sftp><br />Afin de sortir du mode sftp, la commande est : exit [entrée]<br />Suivant les paramètres de votre serveur, il est possible que vous soyez rejeté. Tester avec le nom de votre VPS<br />`sftp sftp_mon-usr@1a12345a1.vps.ovh.net` a12345a1.vps.ovh.net`<br />Si vous avez changé le port SSH de votre serveur, il est important de le spécifier dans votre commande, par défaut c'est le port 22 :<br />`sftp -P 12345 sftp_mon-usr@1a12345a1.vps.ovh.net` a12345a1.vps.ovh.net`<br /><br />## Étape 4 : Paramètre de ChrootDirectory par groupe<br />Cette étape est facultative. Elle permet une utilisation différente de SFTP en utilisant le paramètre par groupe d'utilisateurs et non par utilisateur. Une fois le groupe et les utilisateurs créés, voici la modification qu'il faut apporter à /etc/ssh/sshd_config<br />Il est important de ne pas oublier de créer les répertoires home de chaque compte avec les droits 755 et propriété de root comme indiqué dans l'étape 1. Il faut aussi que le répertoire home de chaque utilisateur porte le nom de celui-ci.<br /> Match Group sftp_grpe<br /> ChrootDirectory /home/%u<br /> ForceCommand internal-sftp<br /> AllowTcpForwarding no<br /> X11Forwarding no<br /><br />Ainsi, vous pouvez ouvrir des comptes SFTP pour vos amis afin qu'ils utilisent un logiciel client FTP pour charger et télécharger des fichiers sur votre serveur en toute sécurité.<br />Pour aller plus loin, je vous conseille le logiciel Filezilla, et le guide Sécuriser un VPS afin de modifier le port d'écoute du service SSH donc celui de SFTP aussi.<br />### Remarques :<br />Le backup storage est une option lié au service (vps/serveur dédié), il peut en cas de piratage du compte client, être aussi désactivé et ou supprimé, etc...<br />La multiplication de sauvegardes, sur des supports et stockées à des emplacements différents, avec une vérification de l’intégrité des données sauvegardées fait aussi partie des pratiques de sécurisation à effectuer. L'offre veeam.com/blog/321-backup-rule.html ou la sauvegarde OVH de dupplication sont des bonnes garanties de sécurité.<br /><br />### Bonne connexion sécurisée ;-)
Bonjour,
j'ai modifié mon premier post. je n'aurais pas du le recopier et le reposter.
le bon tuto est en début de discussion.
Merci