Sylvain Deloux web architect

Un serveur FTP, c’est bien, mais un serveur SFTP c’est bien mieux car tout passe par une liaison SSH, donc cryptée. L’inconvénient, c’est que le serveur openssh-server utilise les comptes utilisateurs Unix, donc les utilisateurs peuvent avoir accès à l’ensemble du disque dur (suivant leurs droits), et même se connecter à un shell.

Installation de MySecureShell

Il faut ajouter une source APT au fichier /etc/apt/sources.list :

deb http://mysecureshell.free.fr/repository/index.php/debian testing main

Et ajouter la clé du dépot :

gpg --keyserver hkp://pool.sks-keyservers.net --recv-keys E328F22B; gpg --export E328F22B | sudo apt-key add -
sudo apt-get update
sudo apt-get install mysecureshell

Ajout d’un utilisateur

sudo adduser --home /home/toto --shell /bin/MySecureShell toto

Impossible de transférer des fichiers, erreur exitcode 10

En cas de message d’erreur exitcode 10 lors de la copie de fichiers, il faut augmenter le nombre de connexions autorisées en éditant le fichier /etc/ssh/sftp_config :

LimitConnectionByUser 3

Sources

• http://forum.ubuntu-fr.org/viewtopic.php?id=441546
• http://doc.ubuntu-fr.org/mysecureshell_sftp-server

Installez pure-ftp :

sudo apt-get install pure-ftpd-mysql

Connectez-vous au serveur MySQL :

mysql -u root -p

Créez l’utilisateur MySQL ftp (en changeant le mot de passe) :

CREATE USER 'ftp'@'localhost' IDENTIFIED BY 'mot_de_passe';
GRANT USAGE ON *.* TO 'ftp'@'localhost' IDENTIFIED BY 'mot_de_passe';
CREATE DATABASE IF NOT EXISTS `ftp` DEFAULT CHARACTER SET utf8 COLLATE utf8_general_ci;
GRANT ALL PRIVILEGES ON `ftp`.* TO 'ftp'@'localhost';

Ensuite, créez la table qui contiendra les utilisateurs :

USE `ftp`;
CREATE TABLE `users` (
`login` varchar(16) COLLATE utf8_unicode_ci NOT NULL DEFAULT '',
`is_active` enum('0','1') COLLATE utf8_unicode_ci NOT NULL DEFAULT '0',
`password` varchar(64) COLLATE utf8_unicode_ci NOT NULL DEFAULT '',
`uid` varchar(11) COLLATE utf8_unicode_ci NOT NULL DEFAULT '-1',
`gid` varchar(11) COLLATE utf8_unicode_ci NOT NULL DEFAULT '-1',
`home` varchar(128) COLLATE utf8_unicode_ci NOT NULL DEFAULT '',
`up_bandwidth_kbps` smallint(5) NOT NULL DEFAULT '0',
`down_bandwidth_kbps` smallint(5) NOT NULL DEFAULT '0',
`comment` tinytext COLLATE utf8_unicode_ci NOT NULL,
`quota_megabytes` smallint(5) NOT NULL DEFAULT '0',
PRIMARY KEY (`login`)
) ENGINE=MyISAM DEFAULT CHARSET=utf8 COLLATE=utf8_unicode_ci;
exit;

Pour créer un utilisateur FTP, il faut exécuter la requête suivante :

INSERT INTO `users` (`login`, `is_active`, `password`, `uid`, `gid`, `home`, `up_bandwidth_kbps`, `down_bandwidth_kbps`, `comment`, `quota_megabytes`) VALUES('login', '1', md5('password'), '1000', '1000', '/home/login', 0, 0, '', 0);

Maintenant que MySQL est prêt, il faut configurer pure-ftp en éditant le fichier /etc/pure-ftpd/db/mysql.conf avec les paramètres MySQL crées précédement :

# Optional : MySQL server name or IP. Don't define this for unix sockets.
# MYSQLServer     127.0.0.1

# Optional : MySQL port. Don't define this if a local unix socket is used.
# MYSQLPort       3306

# Optional : define the location of mysql.sock if the server runs on this host.
MYSQLSocket      /var/run/mysqld/mysqld.sock

# Mandatory : user to bind the server as.
MYSQLUser       ftp

# Mandatory : user password. You must have a password.
MYSQLPassword   mot_de_passe

# Mandatory : database to open.
MYSQLDatabase   ftp

# Mandatory : how passwords are stored
# Valid values are : "cleartext", "crypt", "md5" and "password"
# ("password" = MySQL password() function)
# You can also use "any" to try "crypt", "md5" *and* "password"
MYSQLCrypt      md5

# In the following directives, parts of the strings are replaced at
# run-time before performing queries :
#
# \L is replaced by the login of the user trying to authenticate.
# \I is replaced by the IP address the user connected to.
# \P is replaced by the port number the user connected to.
# \R is replaced by the IP address the user connected from.
# \D is replaced by the remote IP address, as a long decimal number.
#
# Very complex queries can be performed using these substitution strings,
# especially for virtual hosting.

# Query to execute in order to fetch the password
MYSQLGetPW      SELECT password FROM users WHERE login="\L" AND is_active="1"

# Query to execute in order to fetch the system user name or uid
MYSQLGetUID     SELECT uid FROM users WHERE login="\L" AND is_active="1"

# Optional : default UID - if set this overrides MYSQLGetUID
#MYSQLDefaultUID 1000

# Query to execute in order to fetch the system user group or gid
MYSQLGetGID     SELECT gid FROM users WHERE login="\L" AND is_active="1"

# Optional : default GID - if set this overrides MYSQLGetGID
#MYSQLDefaultGID 1000

# Query to execute in order to fetch the home directory
MYSQLGetDir     SELECT home FROM users WHERE login="\L" AND is_active="1"

# Optional : query to get the maximal number of files
# Pure-FTPd must have been compiled with virtual quotas support.
# MySQLGetQTAFS  SELECT QuotaFiles FROM users WHERE login="\L" AND is_active="1"

# Optional : query to get the maximal disk usage (virtual quotas)
# The number should be in Megabytes.
# Pure-FTPd must have been compiled with virtual quotas support.
MySQLGetQTASZ  SELECT quota_megabytes FROM users WHERE login="\L" AND is_active="1"

# Optional : ratios. The server has to be compiled with ratio support.
# MySQLGetRatioUL SELECT ULRatio FROM users WHERE login="\L" AND is_active="1"
# MySQLGetRatioDL SELECT DLRatio FROM users WHERE login="\L" AND is_active="1"

# Optional : bandwidth throttling.
# The server has to be compiled with throttling support.
# Values are in KB/s .
MySQLGetBandwidthUL SELECT up_bandwidth_kbps FROM users WHERE login="\L" AND is_active="1"
MySQLGetBandwidthDL SELECT down_bandwidth_kbps FROM users WHERE login="\L" AND is_active="1"

# Enable ~ expansion. NEVER ENABLE THIS BLINDLY UNLESS :
# 1) You know what you are doing.
# 2) Real and virtual users match.
# MySQLForceTildeExpansion 1

# If you upgraded your tables to transactionnal tables (Gemini,
# BerkeleyDB, Innobase...), you can enable SQL transactions to
# avoid races. Leave this commented if you are using the
# traditionnal MyIsam databases or old (< 3.23.x) MySQL versions.
# MySQLTransactions On

Il reste à configurer certaines options de pure-ftp en créant un fichier par paramètre avec sa valeur. Les noms sont assez explicites :

cd /etc/pure-ftpd-conf
sudo echo ,21 > Bind
sudo echo 4500 4600 > PassivePortRange
sudo echo yes > ChrootEveryone
sudo echo yes > ProhibitDotFilesRead
sudo echo yes > ProhibitDotFilesWrite
sudo echo yes > NoChmod
sudo echo yes > BrokenClientsCompatibility
sudo echo 4 > MaxClientsPerIP
sudo echo 20 > MaxClientsNumber
sudo echo no > PAMAuthentication
sudo echo no > UnixAuthentication
sudo /etc/init.d/pure-ftpd restart

Et c’est tout. Source : How to install and configure pure-ftpd

Si vous êtes sur un réseau qui est surveillé ou limité, il peut être utile d’avoir accès à un serveur situé « à l’extérieur » et de créer un tunnel SSH afin de s’en servir comme d’un serveur proxy. L’avantage est que tout le trafic réseau est crypté jusqu’au serveur proxy et que personne ne peut voir, ni filtrer ce qui y passe. Ceci va être très utile en France car, grâce à la loi LOPPSI, l’Internet Français va prochainement ressembler à celui de la Chine.

Côté serveur

Il faut tout simplement installer OpenSSH (qui a de fortes chances d’être déjà installé) :

sudo apt-get install ssh

Si le réseau de votre boulot bloque le port SSH (ce qui est fort possible), il faudra changer le port utilisé par le serveur en éditant le fichier /etc/ssh/sshd_config (en utilisant le port 443 par exemple, ou tout autre port non utilisé) :

# What ports, IPs and protocols we listen for
Port 443

Et c’est tout, le serveur est maintenant prêt à faire suivre les requêtes TCP d’un client SSH.

Côté client

Client MacOS

Le petit utilitaire SSHTunnel est parfait pour cela et assez simple à configurer.

Client Linux

Il existe un outil Gnome pour configurer graphiquement les tunnels SSH sur une machine Linux : gstm (SSH Tunnel Manager), qui se contente de lancer la commande suivante :

ssh -N -f user@serveur -p 443 -D9999

Toutes les requêtes envoyées vers localhost:9999 seront maintenant encapsulées dans des paquets SSH et redirigées via serveur:443. Les options -N -f servent à éviter d’ouvrir la console SSH distante.

Client Windows

Sous Windows, il y a le célèbre PuTTY, et un tutorial assez simple pour le configurer pour une utilisation avec un tunnel.

Pour plus d’informations

Vous pouvez trouver plus d’informations sur ces différents liens :

• Quick-Tip: SSH Tunneling Made Easy
• Comment constituer des tunnels ssh, pour utiliser POP, IMAP, SMTP, FTP, et plus encore depuis l’extérieur ?
• Tunnel ssh : ssh -L (local) et ssh -R (remote) en bref
• [Tuto] Tunnel SSH et Firefox & Co

Voici un petit script bash qui permet de versionner sur un dépôt SVN des dumps de bases de données MySQL. Il crée un dump au format SQL par base.

L’option --skip-extended-insert permet d’avoir un enregistrement par ligne, ce qui sera très pratique pour les diff SVN et l’option --skip-dump-date retire le timestamp à la fin du fichier, et évite ainsi de créer une nouvelle version du fichier si il n’y a eu aucune modification sur la base.

J’ai fait ce script vite fait hier soir, et il fonctionne bien pour moi, je pense pouvoir l’améliorer à l’avenir et suis ouvert à toute proposition ;) Il suffit juste de configurer les 6 variables au début du fichier et de le mettre dans une crontab, et le tour est joué!

#!/bin/bash

export SVN_USERNAME='svn_user'
export SVN_PASSWORD='svn_pwd'
export SVN_REPOSITORY='http://my_svn_repository.com/'
export MYSQL_USERNAME='mysql_user'
export MYSQL_PASSWORD='mysql_pwd'
export TMP_DIRECTORY='/tmp/mysqlsvn_backup_tmp'

if [ -d $TMP_DIRECTORY ]; then
        echo "Cleaning tmp directory"
        rm -Rf $TMP_DIRECTORY
fi;

echo "Initializing tmp directory"
mkdir $TMP_DIRECTORY
cd $TMP_DIRECTORY

echo "Checking out repository"
svn co $SVN_REPOSITORY . --username=$SVN_USERNAME --password=$SVN_PASSWORD

for DB_NAME in `echo 'SHOW DATABASES;' | mysql -u$MYSQL_USERNAME -p$MYSQL_PASSWORD --batch -N`; do
        export filename=$DB_NAME.sql

        echo "Dumping '$DB_NAME' database"
        mysqldump -u$MYSQL_USERNAME -p$MYSQL_PASSWORD --skip-extended-insert --skip-dump-date $DB_NAME > $filename

        svn add $filename
done

echo "Sending files to repository"
svn ci -m "Automatic backup $(date +%Y)-$(date +%m)-$(date +%d) $(date +%H):$(date +%M)" 

echo "Removing tmp directory"
rm -Rf $TMP_DIRECTORY

To close all SSH sessions of a given user :

skill -KILL -u username

You can list connected users with the who command.

find /my_folder -name "*.php" -exec sed -i "s/search/replacement/g" {} \;

And some explanations :

/my_folder
the directory where to search (recursively).

-name "*.php"
the files I want to process.

-exec a_command \;
means I want to execute a_command command on each file found. In this example, the command is sed -i "s/search/replacement/g" {}, the {} parameter will be replaced by the name of each file found.

You need to install the sshfs package :

sudo apt-get install sshfs

Then, just create a local directory and mount your distant one inside :

mkdir ~/my_distant_directory
sshfs [user@]host:[dir] ~/my_distant_directory

To umount it :

fusermount -u ~/my_distant_directory

To automate rsync backups between 2 Linux machines, you have to use SSH keys. These keys allow you to connect through SSH without typing any password.

First, you need to generate public key on the client (only for the current user). Do not answer to the following questions :

ssh-keygen -t dsa -b 1024

Now, you have 2 generated files for the current user : ~/.ssh/id_dsa for the private key and ~/.ssh/id_dsa.pub for the public one. Then, you must copy the public key to the server authorized keys’s list and that’s all !

ssh-copy-id -i ~/.ssh/id_dsa.pub "-p 22 distant_user@server"

To deactivate sshd timeout, just add these lines at the end of your /etc/ssh/sshd_config :

KeepAlive yes
ClientAliveInterval 60

And don’t forget to restart the daemon :

sudo /etc/init.d/ssh restart

Voici un petit récapitulatif pour migrer des données MySQL d’un serveur à un autre ou tout simplement pour faire des sauvegardes.

Exporter une base

mysqldump -u LOGIN_MYSQL -pMOT_DE_PASSE -rNOM_FICHIER NOM_BASE

Attention entre les attributs -p, -r et leurs valeurs respectives, il ne faut pas d’espace.

Importer une base

mysql -u LOGIN_MYSQL -pMOT_DE_PASSE NOM_DE_LA_BASE < NOM_FICHIER

Pour que l’importation fonctionne, il faut que la base de données soit crée et que l’utilisateur y ait accès :)