====== Installer proFTPd ======

{{:proftpd.png?110 |}} ProFTPd est un serveur FTP libre. Ses auteurs l'annoncent comme puissant et parfaitement sécurisé sur le [[http://www.proftpd.org/|site web dédié au logiciel]].

Son architecture est modulaire, ce qui a permis d'écrire des extensions pour le support de la cryptographie SSL/TLS (protocole FTPS) et l'extension de l'authentification via des bases RADIUS, LDAP ou SQL.

===== Installation =====

Pour l'installation, exécuter la commande :

<code bash>sudo apt-get install proftpd</code>

L’installation propose 2 méthodes : 
  * inetd : quand il y a peu de monde, consomme moins de ressources 
  * indépendant : quand le nombre de connexion doit être plus important 

Sauf si vous prévoyez d'utiliser massivement le FTP, sélectionnez **inetd**

===== Configuration =====

Rien de plus simple, on édite le fichier de configuration : 

<code bash>sudo vi /etc/proftpd/proftpd.conf</code>

On désactive l'utilisation d'IPv6 :

<code bash>UseIPv6 off</code>

On va également cacher l'identification du serveur pour que les petits malins ne voient pas qu'il s'agit d'un serveur proFTPd en ajoutant la ligne suivante :

<code bash>ServerIdent     off</code>

Puis on va configurer le serveur pour que les utilisateurs du système accèdent à leur home uniquement, on décommente les lignes suivantes :

<code bash>
#DefaultRoot ~
#RequireValidShell off
</code>

Puis on relance le service :

<code bash>sudo service proftpd restart</code>

{{:warning.png |}} Dans ce cas, la configuration utilise des utilisateurs réels du système pouvant se connecter au serveur via ssh si on leur laisse le droit, il est fortement recommandé d'utiliser alors la directive AllowUsers dans le fichier /etc/ssh/sshd_config pour autoriser ou non cet accès.

===== Configuration FTPES (SSL/TLS) =====

{{:linux:lock.png?32 |}} Il est possible d'utiliser une connexion cryptée avec proFTPd utilisant un certificat. Cela amène une sécurité beaucoup plus importante de vos connexions et transferts vers votre serveur. Attention cependant, certains clients FTP ne sont pas compatible avec ce protocole.

==== Génération de la clé privée ====

Pour générer la clé privée auto signée on utilise la commande suivante :

<code bash>sudo openssl req -x509 -nodes -days 365 -newkey rsa:1024 -keyout /etc/ssl/private/proftpd.key -out /etc/ssl/certs/proftpd.crt</code>

On répond alors à la série de question posée par le générateur, soyez précis si vous voulez donner plus de crédibilité à votre certificat mais vous pouvez laisser les champs vides :

<code>
Generating a 1024 bit RSA private key
...++++++
....++++++
writing new private key to '/etc/ssl/private/ssl-cert-snakeoil.key'
-----
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) [AU]:
State or Province Name (full name) [Some-State]:
Locality Name (eg, city) []:
Organization Name (eg, company) [Internet Widgits Pty Ltd]:
Organizational Unit Name (eg, section) []:
Common Name (eg, YOUR name) []:
Email Address []:
</code>

Puis on protège la clé en changeant les droits :

<code bash>
sudo chmod 0600 /etc/ssl/private/proftpd.key 
sudo chmod 0640 /etc/ssl/certs/proftpd.crt
</code>

==== Configuration ====

On édite le fichier de configuration du serveur :

<code>sudo vi /etc/proftpd/proftpd.conf</code>

Puis on décommente la ligne suivante :

<code>#Include /etc/proftpd/tls.conf</code>

Si vous êtes derrière une box, décommenter et mettre votre ip publique :

<code>#MasqueradeAddress               1.2.3.4</code>

Puis décommenter et définissez les ports passifs, ne pas oublier d'ouvrir les ports sur votre box (TCP) :

<code>#PassivePorts                  49152 65534</code>

Sortir et éditer le fichier de configuration tls :

<code>sudo vi /etc/proftpd/tls.conf</code>

Décommenter les lignes suivantes :

<code>
#TLSEngine                               on
#TLSLog                                  /var/log/proftpd/tls.log
#TLSProtocol                             SSLv23
#TLSRSACertificateFile           	 /etc/proftpd/ssl/proftpd.crt
#TLSRSACertificateKeyFile        	 /etc/proftpd/ssl/proftpd.key
#TLSOptions                              NoCertRequest
</code>

Puis vous pouvez définir si les connexions doivent obligatoirement passer par le protocole FTPES ou si vous autorisez quand même les connexions par FTP classique, mettre à off si vous autorisez les deux :

<code>#TLSRequired                             on</code>

Pour finir on redémarre proftpd :

<code bash>sudo /etc/init.d/proftpd restart</code>

Pour se connecter avec Filezilla utiliser FTPES - FTP plus explicite (TLS/SSL)