-
Situation professionnelle n°3
SESSION 2020
Ecole INSTA
BTS SIO SISR
Mise en place d’un serveur SFTP avec OpenSSH
sous Debian 10
ADJANOHOUN Brigitte
SFTP (SSH File Transfer Protocol) est un protocole
permettant de transférer des fichiers grâce à une
connexion sécurisée via SSH
DESCRIPTION
-
Page | 2
Table des matières
1- Présentation de l’entreprise
..................................................................................................
3
2- Contexte de la mission
..........................................................................................................
4
3- Analyse de l’existant
.............................................................................................................
4
4- Analyse des besoins
..............................................................................................................
4
5- Solutions proposées
..............................................................................................................
5
6- Solution
choisie.....................................................................................................................
6
7- Prérequis
..............................................................................................................................
6
8- Délai
.....................................................................................................................................
6
9- Périmètre
.............................................................................................................................
7
10- Etapes d’implémentation
......................................................................................................
7
11- Planification des tâches
.........................................................................................................
7
12- Rendu intermédiaire
.............................................................................................................
8
13- Rendu final
...........................................................................................................................
9
14- Recettage
...........................................................................................................................
10
15- Retour sur expérience
.........................................................................................................
11
16- Annexes
..............................................................................................................................
12
A- Schéma réseau
..........................................................................................................................
12
B- Documentation technique
........................................................................................................
12
1- Installation d’un serveur SFTP avec OpenSSH sous Debian 10
............................................... 12
2- Installation et configuration d’un client SFTP sous Windows
10 avec FileZilla ........................ 15
-
Page | 3
1- Présentation de l’entreprise
VM Building Solutions est une entreprise offrant des solutions
de construction
destinées aux professionnels des toitures et façades.
Cette entreprise, appartenant au groupe Fedrus International,
est spécialisée dans la
fabrication et la commercialisation de matériaux haut de gamme
tels que les membranes
EPDM et le ZINC titane. Elle est aujourd’hui le principal
fournisseur européen de membranes
d’étanchéité EPDM et assure la promotion et la commercialisation
d’une gamme complète de
produits pour toiture en Europe et dans le monde.
Le service informatique de VM Building Solutions est composé de
8 personnes,
comme indiqué sur l’organigramme suivant :
En tant que technicienne helpdesk en alternance, mes tâches
principales consistent à :
- Traiter et résoudre les demandes et incidents sur GLPI et
ServiceNow
- Gérer le monitoring des équipements réseaux (switchs,
routeurs, serveurs)
- Configurer et administrer le logiciel de ticketing GLPI
- Masteriser des PC fixes et des ordinateurs portables
- Migrer des PC de Windows 7 à Windows 10
- Participer à la réalisation de projets.
-
Page | 4
2- Contexte de la mission
Afin d’améliorer et sécuriser le processus de transfert de
fichiers utilisé par ses différents
services, VM Building Solutions souhaite mettre en place un
serveur SFTP.
L’implémentation d’un tel serveur permettra à l’entreprise de
protéger davantage son
processus de transfert grâce à un système de chiffrement. Ce
système aura pour objectif de
crypter les connexions établies sur le serveur SFTP, y compris
les mots de passe et l’ensemble
du contenu transféré. Ce serveur permettra également d’éviter
d’éventuelles tentatives de
piratage ou d’interception de données.
3- Analyse de l’existant
Afin de mettre en place un processus de transfert de fichiers,
le service informatique de VM
Building Solutions a choisi par le passé d’implémenter un
serveur FTP fonctionnant avec
l’application FileZilla. Cette application fût installée sur un
serveur Windows Server 2012 R2.
Les utilisateurs concernés peuvent actuellement y transférer et
y récupérer des fichiers via
l’application FileZilla Client installée sur leurs postes
Windows 10.
4- Analyse des besoins
L’équipe informatique aura pour mission de remplacer le serveur
FTP existant. Afin de mener
ce projet à bien, le serveur SFTP mis en place devra répondre
aux besoins suivants :
- Améliorer la sécurité du processus de transfert de fichier via
l’utilisation du protocole
SSH
- Implémenter l’utilisation de clés publiques et privées
- Limiter à certains groupes et utilisateurs les droits d’accès
aux répertoires et fichiers
via la mise en place d’ACL (Access Control List)
- Limiter l’utilisation de la bande passante lors des transferts
de fichiers
-
Page | 5
5- Solutions proposées
3 solutions applicatives sont envisagées pour mettre en place ce
serveur SFTP :
- OpenSSH
- FileZilla
- Cerberus
Le tableau comparatif suivant permet d’identifier les avantages
et les inconvénients de ces
solutions.
Prix Gratuit Gratuit à l’exception de la version Pro
Payant
Plateforme Multiplateforme Multiplateforme Windows
Contrôle de la bande passante
✔
✔
✗ Restrictions sur
les fichiers et dossiers
✔
✔
✗
ACL Par IP/groupe/nom
d’utilisateur Par IP/groupe/nom
d’utilisateur
Par IP
Génération clé publique/privée
✔
✗ ✗
Chroot jail ✔
✗ ✗
-
Page | 6
6- Solution choisie
La solution choisie par le service
informatique de VM Building Solutions
est la suite d’outils open source
OpenSSH.
Cette suite, qui incorpore un serveur
SFTP, sécurisera l’ensemble des
transferts de fichiers réalisés par les utilisateurs grâce à
l’implémentation du protocole SSH.
Contrairement aux logiciels FileZilla et Cerberus, OpenSSH
permettra à l’entreprise de
bénéficier de différentes fonctionnalités telles que :
- La gestion de la bande passante
- La restriction des droits d’accès sur les fichiers et
dossiers
- Un système de gestion des ACL (pour les utilisateurs, les
groupes et les adresses IP)
- La mise en place d’un environnement chroot jail
- La génération de clés publiques et privées SSH
7- Prérequis
L’implémentation du serveur SFTP nécessitera la mise en place du
prérequis suivant :
- L’installation d’un serveur fonctionnant sous Linux. Nous
choisirons d’implémenter le
serveur SFTP sous Debian 10.
8- Délai
Le service informatique disposera d’un délai de 3 semaines pour
installer et configurer le
serveur SFTP.
-
Page | 7
9- Périmètre
La totalité du projet sera effectuée par les techniciens de
l’équipe informatique. Ces derniers
devront donc installer et configurer un serveur sous Debian 10,
ainsi qu’implémenter la
solution SFTP choisie, OpenSSH. Suite à sa mise en place, les
techniciens effectueront
plusieurs tests afin de vérifier le bon fonctionnement du
serveur.
10- Etapes d’implémentation
L’implémentation de ce serveur SFTP avec OpenSSH comportera
plusieurs étapes :
1- L’installation et la configuration d’un serveur Debian 10
2- L’intégration du serveur au domaine de l’entreprise
3- L’installation d’OpenSSH
4- La génération de clés SSH
5- La mise en place d’un environnement chroot jail
6- L’attribution de droits aux différents groupes et
utilisateurs
7- La mise en place de clé privée sur FileZilla Client
8- La mise en place d’une phase de test vérifiant la
configuration du serveur SFTP
11- Planification des tâches
Ce projet s’effectuera du 16 septembre au 4 octobre 2019. Il se
déroulera selon le calendrier
suivant.
-
Page | 8
12- Rendu intermédiaire
L’objectif de ce projet consiste à mettre en place un serveur
SFTP sous Debian 10. Ce serveur
sera mis à disposition des différents services de l’entreprise
VM Building Solutions et
permettra aux utilisateurs de transférer des fichiers de manière
sécurisée. La solution SFTP
choisie par le service informatique est la suite d’outils open
source OpenSSH.
4 étapes de ce projet ont été effectuées pendant la période du
16 au 20 septembre 2019 :
1- L’installation et la configuration d’un serveur sous Debian
10
2- L’intégration du serveur au domaine de l’entreprise
3- L’installation d’OpenSSH
4- La génération de paires de clés publiques et privées SSH
Ces étapes se sont déroulées selon le planning prévu par le
service informatique. De plus,
celles-ci sont conformes aux résultats attendus. Les techniciens
n’ont connu aucune difficulté
pour installer et configurer le serveur Debian 10, et le
rattacher au domaine de l’entreprise.
L’installation de la suite OpenSSH et la génération de paires de
clés publiques et privées SSH
se sont également déroulées correctement.
La génération des paires de clés a été effectuée sur les postes
de utilisateurs depuis une invite
de commande. La clé publique générée a ensuite été copiée sur le
serveur SFTP dans le
répertoire ~/.ssh/authorized_keys par l’intermédiaire du
protocole SCP.
Les prochaines étapes du projet consisteront à :
- Mettre en place un environnement chroot jail
- Attribuer des droits aux différents groupes et utilisateurs de
l’entreprise
- Installer FileZilla Client sur les postes Windows 10
- Mettre en place une clé privée sur FileZilla Client
- Effectuer des tests de vérification
-
Page | 9
13- Rendu final
Ce compte-rendu final fait suite à l’installation et à la
configuration du serveur SFTP avec
OpenSSH sur Debian 10. Ce projet s’est déroulé du 16 septembre
au 4 octobre 2019 et a été
effectué par les techniciens du service informatique de VM
Building Solutions.
8 étapes ont été effectuées au cours de ce projet :
1- L’installation et la configuration d’un serveur sous Debian
10
2- L’intégration du serveur au domaine de l’entreprise
3- L’installation d’OpenSSH
4- La génération de paires de clés publiques et privées SSH
5- La mise en place d’un environnement chroot jail
6- L’attribution de droits aux groupes et utilisateurs
7- L’installation de FileZilla Client sur Windows10
8- La mise en place d’une clé privée sur FileZilla Client
Les installations d’OpenSSH sur Debian 10 et de FileZilla Client
sur Windows 10 se sont
déroulées correctement. OpenSSH a été installé en ligne de
commande tandis que
l’application FileZilla Client a été téléchargé depuis le site
de FileZilla.
La génération des paires de clés publiques et privées SSH a été
effectuée sur les postes
Windows 10 des utilisateurs. Ces clés permettront aux
utilisateurs de s’authentifier auprès du
serveur SFTP sans entrer de mot de passe. La clé publique
servant à authentifier les utilisateurs
a été copier sur le serveur via le protocole SCP.
Un environnement chroot jail a également été mis en place afin
d’interdire aux utilisateurs
appartenant à un service spécifique l’accès aux fichiers et
dossiers d’autres services. Cette
configuration n’autorisera à ces derniers que l’utilisation du
protocole SFTP. Ils ne pourront
donc pas accéder au serveur en utilisant le protocole SSH.
Des groupes ont été créés sur le serveur Debian 10 pour chaque
service de l’entreprise. Un
utilisateur spécifique a été créé pour ces services. Les
employés utiliseront ces comptes pour
se connecter au serveur SFTP.
Suite à l’installation de FileZilla Client sur les postes
Windows 10, la clé privée générée par
ces derniers a été mise en place sur l’application afin de
permettre l’authentification
automatique et sécurisée des utilisateurs.
-
Page | 10
14- Recettage
Ce cahier de recette a pour objectif de contrôler le bon
fonctionnement du serveur SFTP
OpenSSH mis en place par le service informatique de VM Building
Solutions. Il permettra de
vérifier la qualité du service mis en place ainsi que le respect
des exigences fonctionnelles et
techniques.
Ce recettage fait suite aux tests effectués entre le 2 octobre
et le 4 octobre 2019.
ACTIONS DESCRIPTION RÉUSSITE DU TEST COMMENTAIRES
Connexion au serveur SFTP
Connexion au serveur SFTP via l’application FileZilla Client
✔
La connexion au serveur est effectuée via l’utilisation de
l’application FileZilla Client. Les utilisateurs n’utilisent pas de
mots de passe pour s’y connecter mais des paires de clés SSH.
Transfert de fichiers
Transfert de fichiers depuis ou vers le serveur SFTP
✔
Possibilité de transférer des fichiers dans des répertoires
spécifiques aux services de l’entreprise.
Impossibilité d’accéder aux
fichiers/dossiers des autres services
Vérification de la mise en place de l’environnement
chroot jail
✔
Les utilisateurs ne pourront accéder qu’aux fichiers du/des
groupe(s) au(x)quel(s) ils appartiennent.
Accès limité au service SFTP
Les groupes et utilisateurs ne pourront qu’utiliser le protocole
SFTP
✔
Les utilisateurs et groupes de l’entreprise à l’exception du
service informatique ne pourront accéder au serveur qu’avec le
protocole SFTP. Ils ne pourront donc pas s’y connecter via SSH.
-
Page | 11
15- Retour sur expérience
Ma participation à ce projet m’a permis d’apprendre à mettre en
place un serveur SFTP, mais
aussi à utiliser les protocoles SFTP et SSH. De plus, ce projet
m’a également incité à me
documenter sur la sécurisation des transferts de fichiers via
l’utilisation de clés publiques et
privées SSH.
Ce projet a pu être mené à terme en respectant les exigences
imposées par l’entreprise, dont
le délai d’exécution, la mise en place d’un environnement chroot
jail et l’utilisation de clés
SSH.
L’implémentation de ce serveur SFTP m’a aussi permis
d’expérimenter le travail en groupe en
travaillant en collaboration avec les techniciens du service
informatique.
-
Page | 12
16- Annexes
A- Schéma réseau
B- Documentation technique
1- Installation d’un serveur SFTP avec OpenSSH sous Debian
10
1.1- Installation et configuration d’OpenSSH sous Debian 10
Passer en mode Administrateur et entrer le mot de passe
root.
Mettre à jour les paquets APT.
-
Page | 13
Installer ensuite OpenSSH.
1.2- Création de groupes et utilisateurs SFTP
Afin de permettre aux différents services de l’entreprise de
transférer des fichiers de manière
sécurisée, nous créerons plusieurs groupes et utilisateurs qui
seront seulement autorisés à
utiliser le service SFTP. Pour cela, nous mettrons en place un
environnement chroot jail.
Nous créerons ici un groupe SFTP pour le service Achat de
l’entreprise. La même commande
devra être utilisée pour les autres services de
l’entreprise.
Nous allons ensuite créer un utilisateur nommé achat.
Modifier le mot de passe de l’utilisateur achat.
Ajouter l’utilisateur achat au groupe achat_sftp.
Changer le propriétaire du répertoire /home/achat. Le
propriétaire sera l’utilisateur root.
Créer un dossier nommé sftp dans le répertoire personnel de
l’utilisateur achat.
-
Page | 14
Donner les droits sur le dossier /home/achat/sftp à
l’utilisateur achat.
1.3- Génération d’une paire de clés SSH publiques et privées
Sur le poste Windows 10 de l’utilisateur, ouvrir une invite de
commandes en entrant cmd
dans la barre de recherche.
Entrer ensuite la commande ssh-keygen pour générer une paire de
clés privées et publiques
SSH.
Copier ensuite la clé publique générée depuis le poste client
sur le serveur Debian 10. Afin
de la copier, nous utiliserons le protocole SCP.
Nous pourrons ensuite nous connecter au serveur SFTP sans entrer
de mot de passe.
1.4- Mis en place d’un environnement chroot jail
Copier le fichier de configuration d’OpenSSH.
-
Page | 15
Ouvrir le fichier de configuration d’OpenSSH en entrant la
commande suivante.
Editer le fichier de configuration en entrant les commandes
suivantes, puis enregistrer et
quitter.
2- Installation et configuration d’un client SFTP sous Windows
10 avec FileZilla
2.1- Installation de FileZilla Client sur Windows 10
Nous allons installer l’application FileZilla Client sur les
postes Windows 10 des utilisateurs.
Aller sur le site suivant pour télécharger l’application :
https://filezilla-project.org/download.php?platform=win64
https://filezilla-project.org/download.php?platform=win64https://filezilla-project.org/download.php?platform=win64
-
Page | 16
Une fois le téléchargement terminé, lancer l’installation puis
entrer les identifiants Administrateur.
Accepter les termes de la licence en cliquant sur I Agree.
-
Page | 17
Cliquer sur Next.
Sélectionner tous les composants puis cliquer sur Next.
-
Page | 18
Cliquer sur Next.
Cliquer sur Next.
-
Page | 19
L’installation s’effectue.
Cliquer sur Finish pour terminer.
-
Page | 20
FileZilla Client est installée.
2.2- Mis en place d’une clé privée sur FileZilla Client
Sur FileZilla Client, cliquer sur Fichier < Gestionnaire de
sites.
-
Page | 21
Cliquer ensuite sur Nouveau site.
Nous allons nommer ce nouveau site Achat.
-
Page | 22
Dans Général, sélectionner SFTP – SSH File Transfer Protocol et
entrer l’adresse IP du serveur
SFTP dans le champ Hôte ainsi que le port correspondant.
Sélectionner ensuite Fichier de clé comme Type
d’authentification et saisir l’identifiant de
connexion. Cliquer ensuite sur Parcourir pour ajouter la clé
privée.
Cliquer enfin sur Connexion.
-
Page | 23
Pour finir, cliquer sur OK.
La connexion au serveur SFTP est établie.