Yakati.com - FTP https://www.yakati.com/cat/ftp.html fr Réseau - Web - GNU/Linux Fri, 19 Oct 2018 23:19:00 +0200 PluXml Modes actif ou passif, ports ftp https://www.yakati.com/art/modes-actif-ou-passif-ports-ftp.html https://www.yakati.com/art/modes-actif-ou-passif-ports-ftp.html <h3>Le cadre général</h3> <p>Si un client rencontre des problèmes en se connectant à votre serveur <samp>FTP</samp>, une des premières choses à contrôler est le mode de transfert de données qu'utilise votre serveur <samp>FTP</samp>. Suivant la configuration du réseau, ce mode est soit actif, soit passif. Ce document va vous aider à comprendre les points importants dans la différence entre le <samp>FTP</samp> actif et passif et vous apprendra à éviter les problèmes de connexion liés à ces deux modes.<br /> Avant de discuter quel mode est adapté à quel scénario, commençons par aborder un point crucial : les deux canaux d'une session <samp>FTP</samp>.</p><h3>le canal de commande et le canal de données FTP</h3> <p>Une session FTP classique se déroule en utilisant deux canaux : le canal de commande (ou de contrôle) et le canal de données. Comme leur nom l'indique, le canal de commande est utilisé pour la transmission des commandes ainsi que la réceptions des réponses à ces commandes, alors que le canal de données est utilisé pour l'échange des données.</p> <p>A moins que vous n'ayez modifié la configuration par défaut, un serveur FTP envoit normalement ses commandes en utilisant le port 21. Par contre le port utilisé pour le transfert des données va dépendre du mode de transfert choisi. Si vous choisissez le mode actif, le canal de données sera normalement le port 20. Mais si vous choisissez le mode passif, alors le port utilisé sera un port alléatoirement choisi.</p> <p><img src="https://www.yakati.com/data/medias/images/ftp/canaux_commande_donnees.png" /></p> <p>Vous noterez que les ports auxquels nous faisons référence jusque là sont uniquement les ports côté serveur. Nous parlerons des ports côté client un peu plus bas.</p> <h3>Le mode FTP actif</h3> <p>De ces deux modes, le mode actif est le plus ancien. C'était le mode imaginé dans les premiers temps de l'informatique, lorsque les mainframes étaient plus courants et que les attaques informatiques n'étaient pas aussi fréquentes.</p> <p>Voici une explication simplifiée de la façon dont se déroule une connexion en mode actif, résumée en deux étapes. Des étapes importantes (par exemple, les réponses ACK) ont été omises pour simplifier les choses.</p> <ol> <li>Un utilisateur se connecte depuis un port alléatoirement choisi au moyen d'un client <samp>FTP</samp> sur le port <samp>21</samp> du serveur. Il envoit la commande de port, indiquant à quel port côté client le serveur doit se connecter. Ce port est celui qui devra par la suite être utilisé pour l'échange des données et est différent de celui utilisé dans l'étape actuelle pour la transmission des commandes.</li> <li>Le serveur se connecte, depuis son port 20 sur le port que le client lui a indiqué pour effectuer le transfert de données. Une fois la connexion établie, le transfert de données se fera au travers de ces ports client et serveur.</li> </ol> <p><img src="https://www.yakati.com/data/medias/images/ftp/ftp_actif.png" /></p> <h3>Le mode FTP passif</h3> <p>Dans le mode passif, le client initialise toujours une connexion sur le port commande du serveur. Mais au lieu d'envoyer le numéro la commande <samp>PORT</samp> indiquant le port à utiliser sur le client, il envoit la commande <samp>PASV</samp> qui est une requête envoyée au serveur du numéro de port du serveur sur lequel se connecter pour la réception des données. La réponse du serveur <samp>FTP</samp> indique le numéro du port qu'il a ouvert pour effectuer le transfert de données.</p> <h4>Voici, en résumé, le fonctionnement du mode passif</h4> <ol> <li>Le client se connecte depuis un port arbitrairement choisi sur le port 21 du serveur et lui envoit une commande <samp>PASV</samp>. Le serveur répond, indiquant quel port (alléatoirement choisi) il a ouvert pour le transfert des données.</li> <li>Le client se connecte depuis un autre port alléatoirement choisi au port indiqué par le serveur dans sa réponse. Une fois la connexion établie, les données sont échangées au travers de ces deux ports.</li> </ol> <p><img src="https://www.yakati.com/data/medias/images/ftp/ftp_passif.png" /></p> <h3>Mode actif ou mode passif, lequel choisir ?</h3> <p>Les deux diagrammes ci-dessus sont volontairement simplifiés pour mettre en relief la principale différence entre les transferts de données par FTP en mode <samp><em>actif</em></samp> et <samp><em>passif.</em></samp> Si vous examinez ces schémas, la chose que vous devriez tout de suite remarquer est la direction opposée des flèches du bas (qui représentent dans les deux cas le canal de données).</p> <p>Dans cette partie nous allons nous concentrer sur ces deux flèches et aux ports leur étant associées.</p> <p>Dans le mode actif, la seconde flèche pointe vers le client. Ce qui signifie que le client a initialement spécifié le port qu'il a de son côté ouvert pour l'échange de données, et c'est le serveur qui initie la connexion.</p> <p>A l'opposé, dans le mode passif, la seconde flèche pointe sur le serveur. Ce qui signifie que c'est le serveur qui a indiqué le port sur lequel le client devait initier la connexion.</p> <p>Le deux façons de faire ne devraient pas poser le moindre problème, si il n'existait pas de pare-feux. Mais les menaces informatiques étant de plus en plus nombreuses, il n'existe plus guère de machines qui ne soient situées derrière un pare-feux. Dans la plupart des cas, les clients sont situés derrière un <em>pare-feu</em> ou derrière une passerelle <samp>NAT</samp> (network adress translation) qui se comporte en gros comme un pare-feu. Dans ce cas, seuls quelques rares ports (voir aucun) seront accessibles depuis l'extérieur.</p> <p>Il ne faut pas perdre de vue que dans le mode actif, le serveur tente de se connecter à un port choisi arbitrairement par le client. Il y a de fortes chances pour que ce port ne soit pas un de ceux éventuellement laissés ouverts sur le pare-feu. La conséquence est que le tentative de connexion du serveur sera bloquée par le pare-feu, et qu'aucune connexion ne pourra être établie.</p> <p><img src="https://www.yakati.com/data/medias/images/ftp/ftp_actif_pare-feu.png" style="width: 677px; height: 196px;" /></p> <p>Dans cette configuration le mode passif ne posera pas de problème. Parce que le client, cette fois, sera celui qui initie la connexion, une chose normalement autorisée par le pare-feu côté client.</p> <p><img src="https://www.yakati.com/data/medias/images/ftp/ftp_passif_pare-feu.png" /></p> <p>Bien sûr, il y a généralement également un pare-feu côté serveur. Mais le rôle d'un serveur est de recevoir des connexions, Et un administrateur qui offre un serveur <samp>FTP</samp> doit logiquement s'adapter à la situation et ouvrir une plage de ports permettant de satisfaire aux exigences du mode passif.</p> <h4>Considérations de sécurité lors de la mise en place d'un FTP passif</h4> <p>Comme indiqué plus haut, si vous administrez un serveur <samp>FTP</samp>, il serait préférable que vous configuriez votre serveur pour accepter le mode FTP passif. Il faut cependant garder à l'esprit que, ce faisant, vous pourriez rendre votre système plus vulnérable aux attaques. Rappellez-vous que dans le mode passif, les clients sont sensés pouvoir se connecter à des ports choisis alléatoirement.</p> <p>Du coup, pour accepter ce mode, non seulement votre serveur doit disposer de plusieurs ports disponibles, <strong>mais votre pare-feu doit également autoriser les connexions à ces ports !</strong></p> <p>Mais plus il existe de ports ouverts sur une machine, plus il y a de ports à attaquer. Pour atténuer le risque, une bonne solution est de spécifier une plage de numéros de ports à ouvrir sur votre serveur, et de n'ouvrir que ces ports sur votre pare-feu.</p> <h4>Mais alors, quelle doit être la taille de cette plage de ports ?</h4> <p>Le nombre de ports à utiliser en mode <samp>FTP</samp> <em>passif</em> dépend largement du nombre de connexions concurrentes que vous vous attendez à recevoir. Cependant, bien que, par exemple, 100 transferts de fichiers simultanés ne nécessitent que 100 ports ouverts sur le serveur, gardez toujours en tête que ce que la plupart des gens considèrent comme «&nbsp;<em>un transfert de fichier unique</em>&nbsp;» peut en fait consister en beaucoup plus d'un. Je m'explique&nbsp;:</p> <p>Pour un utilisateur de base, tout ce qu'il envoit ou reçoit comme données entre le moment où il se connecte au serveur <samp>FTP</samp> et le moment où il se déconnecte, fait partie d'un seul transfert. Mais ce n'est pas le cas. Chaque fichier transmis pendant la session utilise au moins un port. Donc si 10 fichiers sont transférés, cela utilise au moins 10 ports. Et ce n'est pas tout.</p> <p>Quelques clients utilisent maintenant des connexions multiples lors qu'ils envoient des fichiers. Par exemple un client qui a 100 fichiers à envoyer sur le serveur peut générer cinq sessions différentes pour accélérer le transfert. Le résultat est qu'un client peut avoir 5 connexions passives en même temps.</p> <p>Donc au moment de décider du nombre de ports passifs qu'il faut ouvrir, il faut prendre en compte le fait qu'un seul client peut avoir de multiples connexions passives en même temps. Même s'il n'y a pas de règles gravées dans le marbre qui dictent le nombre de ports que devrait contenir une plage de ports, vous serez obligé d'émettre une hypothèse sur le nombre maximal d'utilisateurs simultanés que vous envisagez et effectuer une allocation importante de ports sur cette base.</p> Fri, 19 Oct 2018 23:19:00 +0200 Marc GUILLAUME Les différents types de FTP https://www.yakati.com/art/les-differents-types-de-ftp.html https://www.yakati.com/art/les-differents-types-de-ftp.html <h3>FTP, FTPS et SFTP</h3> <p>Les protocoles les plus couramment utilisés dans le transfert de fichiers aujourd'hui sont peut-être <samp>FTP</samp>, <samp>FTPS</samp> et <samp>SFTP</samp>. Bien que les acronymes de ces protocoles soient similaires, il existe des différences importantes entre eux, en particulier la manière dont les données sont échangées, le niveau de sécurité fourni et les configurations de pare-feu qu'ils supportent. Connaître ces différences clef peut vous aider à choisir un protocole de transfert de fichiers ou à résoudre des problèmes de connexion courants.</p><h3>FTP</h3> <p>Le protocole <samp>FTP</samp> (File Transfer Protocol) existe pratiquement depuis les débuts des réseaux <samp>TCP/IP</samp> et d'Internet. Il a été proposé pour la première fois dans la <a class="http" href="http://tools.ietf.org/html/rfc114" lang="en" target="_blank" title="RFC 114">RFC 114</a> il y a plus de 40 ans et a finalement évolué vers la <a class="http" href="http://tools.ietf.org/html/rfc959" lang="en" target="_blank" title="RFC 959">RFC 959</a> qui est la norme que les clients et serveurs FTP suivent de nos jours.</p> <p>Il a été créé dans des cercles universitaire et était destiné au partage entre gens de bonne compagnie. En pratique toutes les machines disposaient d'IP routables et étaient à la fois clientes et serveur. Les protocoles n'étaient pas chiffrés et l'accès aux serveurs ftp se faisait majoritairement en mode anonyme, où il suffisait, par courtoisie, de fournir son adresse mail en guise de mot de passe.</p> <p>Ce temps est largement révolu, la plupart des utilisateurs n'ont pas d'IP routables et se trouvent derrière des passerelles NAT utilisant des classes d'IP privées non routables. Si il reste, bien entendu, des gens de bonne compagnie, c'est très loin d'être le cas général. Cela a profondément modifié l'usage de FTP et singulièrement compliqué sa mise en place.</p> <h4>L'échange de données</h4> <p>Le protocole FTP échange des données à l'aide de deux canaux distincts, le canal de commande et le canal de données.</p> <p>Le canal de commande fonctionne généralement sur le port 21 du serveur et est responsable de l'acceptation des connexions client et de l'échange des commandes simples entre un client <samp>FTP</samp> et le serveur. Les commandes <samp>USER</samp> et <samp>PASS</samp> utilisées pour authentifier un utilisateur <samp>FTP</samp> sont des exemples de commandes qui sont échangées sur le canal de commande. Le canal de commande reste ouvert jusqu'à ce que le client envoie la commande <samp>QUIT</samp> pour se déconnecter, ou jusqu'à ce que le serveur déconnecte de force le client, par exemple pour cause d'inactivité.</p> <p>Le canal de données, qui fonctionne à l'aide de ports temporaires à la demande, écoute sur le serveur (mode passif) ou sur le client (mode actif) et est responsable de l'échange de données sous la forme de listes de répertoires et de transferts de fichiers. Les commandes <samp>LIST</samp>, <samp>STOR</samp> et <samp>RETR</samp> utilisées pour obtenir la liste d'un répertoire du serveur, envoyer un fichier sur le serveur et récupérer un fichier depuis le serveur sont des exemples de commandes (envoyées via le canal de commande) qui ouvrent un canal de données.</p> <p>Contrairement au canal de commande qui reste ouvert pendant toute la session <samp>FTP</samp>, le canal de données est fermé une fois le transfert des données terminé. Afin de permettre plusieurs transferts de fichier ou de liste de fichiers simultanés, il faut définir une plage de ports qui doivent être disponibles pour être utilisés en tant que canaux de données.</p> <h4>La sécurité</h4> <p>Dans le protocole <samp>FTP</samp>, les canaux de commande et de données transmettent les informations en clair. Toutes les données envoyées sur ces canaux peuvent être interceptées et lues.</p> <p>On peut facilement montrer, avec un analyseur de réseau graphique comme wireshark qu'en effet votre mot de passe est transmis en clair. Nous allons faire une petite expérience avec la configuration suivante.</p> <ul> <li>Votre ordinateur de travail (idéalement sous Linux, c'est plus simple) ;</li> <li>un vieux PC récupéré pour le transformer en serveur FTP pour votre réseau ;</li> <li>un hub, ou un switch ou votre box en guise de switch pour que ces deux machines puissent communiquer par le réseau.</li> </ul> <p>Passons sur les confiurations (vous pourrez voir un article pour configurer un serveur avec vsftpd sous Linux). Nous avons donc dans notre réseau :</p> <ul> <li>Un serveur ftp qui reçoit de votre box l'IP 192.168.1.69 ;</li> <li>votre propre poste qui lui a l'IP 192.168.1.13 sur lequel vous avez installé <a href="https://www.wireshark.org/download.html" lang="en" target="_blank" title="Site wireshark">wireshark</a> et le client de mail <a href="https://filezilla-project.org/" lang="en" target="_blank" title="Site de fillezilla">filezilla</a> ;</li> <li>aucune configuration firewall particulière sur les deux postes.</li> </ul> <p>Notre serveur FTP, qui se situe dans votre propre réseau (chez vous derrière votre box), n'utilise aucun chiffrement. Les utilisateurs ont un espace où ils peuvent envoyer et récupérer leurs fichiers en se connectant avec un nom d'utilisateur et un mot de passe.</p> <p>Postulons que vous avez créé un accès pour l'utilisateur <em>toto</em> avec un joli mot de passe <em>+jGV8Vm&gt;yk&amp;"v&gt;wP.=E&gt;AFgn</em></p> <p>Nous allons voir qu'en observant la connexion au serveur ftp depuis filezilla votre mot de passe va apparaître dans wireshark qui ne fait qu'observer les paquets réseau entrant et sortant de votre machine.</p> <p>Nous allons utiliser wireshark de la façon la plus simple, en lui demandant juste d'écouter les connexions avec notre serveur ftp (IP 192.168.1.69). Pour cela nous utilisons le filtre <code>host 192.168.1.69</code> :</p> <p><a href="https://www.yakati.com/data/medias/images/ftp/wireshark_ftp_accueil.png" target="_self"><img alt="" src="https://www.yakati.com/data/medias/images/ftp/wireshark_ftp_accueil.png" style="width: 759px; height: 587px;" /></a></p> <p>Puis nous cliquons sur l'icône en haut à gauche ou en utilisant le menu <kbd>Capture &gt;Démarrer</kbd> pour commencer à capturer les paquets. Il ne reste plus qu'à lancer la connexion avec FileZilla (ici en utilisant la connexion rapide) :</p> <p><a href="https://www.yakati.com/data/medias/images/ftp/filezilla_connexion_rapide.png" target="_self"><img alt="" src="https://www.yakati.com/data/medias/images/ftp/filezilla_connexion_rapide.png" style="width: 818px; height: 217px;" /></a></p> <p>Et nous voyons dans wireshark que notre beau mot de passe compliqué apparaît en clair :</p> <p><a href="https://www.yakati.com/data/medias/images/ftp/wireshark_ftp_mdp.png" target="_self"><img alt="" src="https://www.yakati.com/data/medias/images/ftp/wireshark_ftp_mdp.png" style="width: 900px; height: 587px;" /></a></p> <p>Un exploit commun, qui tire profit de ce fonctionnement, qui devient de ce fait une vulnérabilité, est l'attaque dite de l'homme du milieu en utilisant l'empoisonnement ARP et un renifleur de paquets qui pourra vous permettre de voir également les mots de passe des autres utilisateurs se connectant à votre ftp.</p> <p>Et là c'est plus gênant, surtout si il ne s'agit plus de votre propre FTP, mais d'un serveur sur Internet. En fait, sans chiffrement, tous les équipements réseau (routeurs) que traverse votre connexion au FTP distant pourront ou pourraient voir votre mot de passe.</p> <h4>Et avec un pare-feu&nbsp;?</h4> <p>Les réglages de pare-feu dépendront de votre position, côté serveur ou côté client.</p> <ul> <li><b>Côté serveur</b> : Autoriser les connexions entrantes sur le port 21. Définir la plage de ports passifs (par ex. 2000-2500) pour les transferts de fichiers et les listes de répertoires et autoriser les connexions entrantes sur la plage de ports passifs. Il faudra consulter la documentation de votre&nbsp;logiciel serveur&nbsp;FTP pour savoir comment faire cela (cet article vous donne des explications pour vsftpd).</li> <li><b>Côté clien</b>t : Autoriser les connexions sortantes vers le port 21 et la plage de ports passifs définie par le serveur.</li> </ul> <p>La plupart des problèmes de pare-feu rencontrés lors de l'utilisation du FTP sont dus à une mauvaise compréhension des deux modes <samp>FTP</samp> : le mode <em>actif</em> et le mode <em>passif</em>. Les paramètrages que vous aurez à effectuer sur votre pare-feu côté serveur ou côté client dépendront largement du mode que vous choisissez. Pour éviter ces problèmes, je vous suggère de lire ce billet sur le <a href="/art/modes-actif-ou-passif-ports-ftp.html">FTP actif et passif</a>.</p> <h3>FTPS</h3> <p>Lorsque le protocole FTP a été initialement rédigé, la sécurité n'était pas une préoccupation. Depuis lors, beaucoup de choses ont changé et l'envoi de données sur n'importe quel réseau public sans cryptage est considéré comme très risqué et, dans certains cas, interdit. Des réglementations telles que <a class="https" href="https://www.pcidss.com/" lang="en" target="_blank" title="PCI-DSS">PCI-DSS</a> (sécurisation des payements en ligne) et les diverses réglementations concernant les données de santé ou encore le <a class="https" href="https://eur-lex.europa.eu/legal-content/FR/TXT/HTML/?uri=CELEX:32016R0679" target="_blank" title="RGPD">RGPD</a> (Règlement général sur la protection des données personnelles) édictés par l'UE, par exemple, contiennent des dispositions qui exigent que les transmissions de données soient protégées par chiffrement.</p> <p>Pour répondre à ces besoins, un ensemble d'extensions de sécurité au protocole FTP original a été proposé dans la <a class="http" href="http://www.ietf.org/rfc/rfc2228.txt" lang="en" target="_blank" title="RFC 2228">RFC 2228</a> qui protègent les données FTP lorsqu'elles circulent sur le réseau en utilisant le chiffrement <a class="https" href="https://fr.wikipedia.org/wiki/Transport_Layer_Security" target="_blank" title="TLS">TLS</a> (ex SSL).</p> <h4>L'échange de données</h4> <p>Il est le même que pour le FTP simple en clair.</p> <h4>La sécurité</h4> <p>Les variantes sécurisées de FTP comprennent <a class="page" href="file:///home/marc/Notebooks/Projet_rendez-vous/Projet_Rendez-vous/FTP%2C_FTPS_et_SFTP/Choisir_entre_les_modes_SSL_implicite%2C_explicite_et_forc%C3%A9.txt" title="FTPS avec SSL implicite et FTPS avec SSL explicite">FTPS avec SSL implicite et FTPS avec SSL explicite</a>. Les deux utilisent le chiffrement TLS.</p> <h5>FTPS SSL implicite</h5> <p>En mode <samp>SSL</samp> implicite, une session <samp>TLS</samp> est obligatoirement établie entre le client et le serveur avant tout échange de données. Comme son nom l'indique, l'utilisation de <samp>SSL/TLS</samp> est implicite et toute tentative de connexion faite par un client sans utiliser <samp>SSL/TLS</samp> est refusée par le serveur. Les services <samp>FTPS SSL</samp> implicite fonctionnent généralement sur les ports <strong>990</strong> et <strong>989</strong>. Bien qu'encore utilisé aujourd'hui, <samp>FTPS SSL implicite</samp> est considéré par beaucoup comme obsolète en faveur de <samp>FTPS SSL explicite</samp> qui est parfois désigné dans les clients <samp>FTP</samp> sous l'appelation <samp>FTPES</samp> ou <samp>EFTS</samp> pour le différencier de l'autre. Nous verrons que la grande différence est la manière d'utiliser ces protocoles suivant les configurations de pare-feu en place.</p> <h5>FTPS SSL explicite</h5> <p>En mode <samp>SSL explicite</samp>, le client et le serveur négocient le niveau de protection utilisé. Ceci est très utile dans la mesure où le serveur peut prendre en charge les sessions <samp>FTP</samp> non chiffrées et les sessions <samp>FTPS</samp> chiffrées sur un seul port.</p> <p>Dans une session <samp>SSL explicite</samp>, le client établit d'abord une connexion non chiffrée au service <samp>FTP</samp>. Avant d'envoyer les informations d'identification de l'utilisateur, le client demande au serveur de commuter le canal de commande sur un canal chiffré <samp>SSL/TLS</samp> en envoyant la commande <samp>AUTH TLS</samp> ou <samp>AUTH SSL</samp>. Le client doit donc explicitement demander une connexion chiffrée, d'où le nom du protocole.</p> <p>Une fois l'installation du canal <samp>SSL</samp> réussie, le client envoie les informations d'identification de l'utilisateur au serveur <samp>FTP</samp>. Ces informations d'identification ainsi que toute autre commande envoyée au serveur pendant la session <samp>FTP</samp> sont automatiquement chiffrées par le canal <samp>SSL/TLS</samp>. De la même manière que le canal de commande peut être protégé, le niveau de protection utilisé sur le canal de données est négocié entre le client et le serveur en utilisant la commande <samp>PROT.</samp></p> <h4>Pare-feu</h4> <ul> <li>Côté serveur : Autoriser les connexions entrantes sur le port 21 et/ou 990. Définir la plage de ports passifs (par ex. 2000-2500) pour les transferts de fichiers et les listes de répertoires et autoriser les connexions entrantes sur la plage de ports passifs. Consultez la documentation de votre serveur pour savoir comment configurer une plage de ports passifs.</li> <li>Côté client : Autoriser les connexions sortantes vers le port 21 et la plage de ports passifs définie par le serveur.</li> </ul> <h3>SFTP</h3> <p><samp>SFTP</samp> est souvent confondu avec <samp>FTPS</samp> et vice-versa, même si ces protocoles n'ont rien en commun, si ce n'est leur capacité à transférer des fichiers en toute sécurité. <samp>SFTP</samp> est en fait basé sur le protocole <samp>SSH</samp> (Secure Shell) qui est surtout connu pour son utilisation pour fournir un accès sécurisé aux comptes shell sur les serveurs distants. Pour se connecter en <samp>SFTP</samp> il n'y a pas besoin d'installer un service <samp>FTP</samp> sur le serveur, il suffit d'avoir un serveur <samp>SSH</samp> paramétré pour pouvoir se connecter en <samp>SFTP</samp>. Ce type de connexion est plus proche de ce que font des outils comme rsync ou scp.</p> <h4>L'échange de données</h4> <p>À la différence de <samp>FTP/S</samp>, <samp>SFTP</samp> n'utilise pas deux canaux différents pour les commandes et les données. Les données et les commandes sont transférées dans des paquets spécialement formatés via une seule connexion.</p> <h4>La sécurité</h4> <p>Toutes les données envoyées entre le client et le serveur sont chiffrées à l'aide d'un protocole convenu. Les sessions <samp>SFTP</samp> peuvent également être protégées par l'utilisation de clés publiques et privées, qui offrent une autre forme d'identification appelée authentification par clé publique. Ceci peut être utilisé comme alternative ou en conjonction avec la forme traditionnelle d'authentification des noms d'utilisateur et des mots de passe.</p> <h4>Contrainte</h4> <p>Les utilisateurs doivent avoir un compte sur le serveur, les utilisateurs anonymes ou n'ayant pas de compte sur le serveur ne peuvent utiliser sftp.</p> <h4>Pare-feu</h4> <ul> <li>Côté serveur : autoriser les connexions entrantes sur le port 22 (port par défaut de SSH, qui peut-être modifié).</li> <li>Côté client : autoriser les connexions sortantes vers le port 22.</li> </ul> Fri, 19 Oct 2018 21:04:00 +0200 Marc GUILLAUME