FTP (de l'anglais File Transfer Protocol) est l'un des protocoles les plus anciens et les plus utilis�s que l'on trouve sur Internet de nos jours. Son but est de transf�rer de mani�re s�curis�e des fichiers entre les ordinateurs h�tes d'un r�seau sans que l'utilisateur ne doive se connecter directement � l'h�te distant ou ne doive savoir comment utiliser le syst�me distant. Ce protocole permet aux utilisateurs d'acc�der � des fichiers sur des syst�mes distants en utilisant un ensemble standard de commandes simples.
Ce chapitre pr�sente les �l�ments de base du protocole FTP ainsi que les options de configuration pour le serveur FTP primaire inclus dans Red Hat Enterprise Linux, vsftpd.
15.1. Protocole FTP (File Transport Protocol)
FTP utilise une architecture de serveur client pour transf�rer des fichiers � l'aide du protocole r�seau TCP. �tant donn� que FTP est un protocole relativement ancien, il utilise une authentification bas�e sur un nom d'utilisateur et un mot de passe non-crypt�s. Telle est la raison pour laquelle ce protocole est consid�r� comme vuln�rable au niveau de la s�curit� et que son utilisation est d�conseill�e � moins qu'elle ne soit essentielle. Une bonne alternative � FT existe avec sftp, de la suite d'outils OpenSSH. Pour obtenir des informations sur la configuration d'OpenSSH, reportez-vous au chapitre intitul� OpenSSH du Guide d'administration syst�me de Red Hat Enterprise Linux. Pour de plus amples informations sur le protocole SSH, reportez-vous au Chapitre 20.
Toutefois, en raison de l'utilisation tr�s r�pandue de FTP sur Internet, il est souvent n�cessaire de partager des fichiers avec le public. Les administrateurs syst�me devraient donc �tre conscients des caract�ristiques uniques du protocole FTP.
15.1.1. Ports multiples, Modes multiples
Contrairement � la plupart des protocoles utilis�s sur Internet, FTP a besoin de multiples ports r�seau afin de pouvoir fonctionner correctement. Lorsqu'une application FTP client �tablit une connexion avec un serveur FTP, elle ouvre le port 21 sur le serveur — appel� port de commande. Ce port est utilis� pour ex�cuter toutes les commandes destin�es au serveur. Toute donn�e requise du serveur est renvoy�e au client via un port de donn�es. Le num�ro de port pour les connexions aux donn�es et la mani�re selon laquelle les connexions aux donn�es sont effectu�es varient selon que le client demande les donn�es en mode actif ou en mode passif.
Ces modes sont d�finis de la mani�re suivante�:
mode actif
Le mode actif repr�sente la m�thode utilis�e � l'origine par le protocole FTP pour transf�rer des donn�es � l'application cliente. Lorsqu'un transfert de donn�es en mode actif est engendr� par le client FTP, le serveur �tablit une connexion depuis le port 20 sur le serveur vers l'adresse IP et un port al�atoire, non-privil�gi� (sup�rieur � 1024) sp�cifi� par le client. Dans une telle situation, l'ordinateur client doit �tre autoris� � accepter des connexions sur tout port sup�rieur � 1024. Avec le nombre croissant de r�seaux non-s�curis�s, tels que l'Internet, l'utilisation de pare-feu pour prot�ger les ordinateurs clients est d�sormais tr�s r�pandue. �tant donn� que ces pare-feu c�t� client refusent souvent les connexions entrantes originaires de serveurs FTP en mode actif, il est recommand� d'utiliser le mode passif.
mode passif
Le mode passif, tout comme le mode actif, est engendr� par l'application client FTP. Lors d'une demande de donn�es aupr�s du serveur, le client FTP indique qu'il souhaite acc�der aux donn�es en mode passif et le serveur fournit une adresse IP et un port al�atoire, non-privil�gi� (sup�rieur � 1024) sur le serveur. Le client se connecte alors � ce port sur le serveur afin de t�l�charger les informations demand�es.
Alors que le mode passif r�sout les probl�mes d'interf�rence du pare-feu c�t� client avec des connexions aux donn�es, il peut rendre plus complexe l'administration du pare-feu c�t� serveur. En limitant dans le fichier de configuration du serveur FTP, l'�ventail des ports non-privil�gi�s disponibles pour des connexions passives, il est possible de restreindre le nombre de ports ouverts sur un serveur, ce qui permet �galement de simplifier la cr�ation de r�gles de pare-feu pour le serveur. Reportez-vous � la Section 15.5.8 pour obtenir de plus amples informations sur la mani�re de limiter le nombre de ports passifs.
