Situation professionnelle n°3

SESSION 2020

Ecole INSTA

BTS SIO SISR

Mise en place d’un serveur SFTP avec OpenSSH

sous Debian 10

ADJANOHOUN Brigitte

SFTP (SSH File Transfer Protocol) est un protocole

permettant de transférer des fichiers grâce à une

connexion sécurisée via SSH

DESCRIPTION

Page | 2

Table des matières

1- Présentation de l’entreprise .................................................................................................. 3

2- Contexte de la mission .......................................................................................................... 4

3- Analyse de l’existant ............................................................................................................. 4

4- Analyse des besoins .............................................................................................................. 4

5- Solutions proposées .............................................................................................................. 5

6- Solution choisie..................................................................................................................... 6

7- Prérequis .............................................................................................................................. 6

8- Délai ..................................................................................................................................... 6

9- Périmètre ............................................................................................................................. 7

10- Etapes d’implémentation ...................................................................................................... 7

11- Planification des tâches ......................................................................................................... 7

12- Rendu intermédiaire ............................................................................................................. 8

13- Rendu final ........................................................................................................................... 9

14- Recettage ........................................................................................................................... 10

15- Retour sur expérience ......................................................................................................... 11

16- Annexes .............................................................................................................................. 12

A- Schéma réseau .......................................................................................................................... 12

B- Documentation technique ........................................................................................................ 12

1- Installation d’un serveur SFTP avec OpenSSH sous Debian 10 ............................................... 12

2- Installation et configuration d’un client SFTP sous Windows 10 avec FileZilla ........................ 15

Page | 3

1- Présentation de l’entreprise

VM Building Solutions est une entreprise offrant des solutions de construction

destinées aux professionnels des toitures et façades.

Cette entreprise, appartenant au groupe Fedrus International, est spécialisée dans la

fabrication et la commercialisation de matériaux haut de gamme tels que les membranes

EPDM et le ZINC titane. Elle est aujourd’hui le principal fournisseur européen de membranes

d’étanchéité EPDM et assure la promotion et la commercialisation d’une gamme complète de

produits pour toiture en Europe et dans le monde.

Le service informatique de VM Building Solutions est composé de 8 personnes,

comme indiqué sur l’organigramme suivant :

En tant que technicienne helpdesk en alternance, mes tâches principales consistent à :

- Traiter et résoudre les demandes et incidents sur GLPI et ServiceNow

- Gérer le monitoring des équipements réseaux (switchs, routeurs, serveurs)

- Configurer et administrer le logiciel de ticketing GLPI

- Masteriser des PC fixes et des ordinateurs portables

- Migrer des PC de Windows 7 à Windows 10

- Participer à la réalisation de projets.

Page | 4

2- Contexte de la mission

Afin d’améliorer et sécuriser le processus de transfert de fichiers utilisé par ses différents

services, VM Building Solutions souhaite mettre en place un serveur SFTP.

L’implémentation d’un tel serveur permettra à l’entreprise de protéger davantage son

processus de transfert grâce à un système de chiffrement. Ce système aura pour objectif de

crypter les connexions établies sur le serveur SFTP, y compris les mots de passe et l’ensemble

du contenu transféré. Ce serveur permettra également d’éviter d’éventuelles tentatives de

piratage ou d’interception de données.

3- Analyse de l’existant

Afin de mettre en place un processus de transfert de fichiers, le service informatique de VM

Building Solutions a choisi par le passé d’implémenter un serveur FTP fonctionnant avec

l’application FileZilla. Cette application fût installée sur un serveur Windows Server 2012 R2.

Les utilisateurs concernés peuvent actuellement y transférer et y récupérer des fichiers via

l’application FileZilla Client installée sur leurs postes Windows 10.

4- Analyse des besoins

L’équipe informatique aura pour mission de remplacer le serveur FTP existant. Afin de mener

ce projet à bien, le serveur SFTP mis en place devra répondre aux besoins suivants :

- Améliorer la sécurité du processus de transfert de fichier via l’utilisation du protocole

SSH

- Implémenter l’utilisation de clés publiques et privées

- Limiter à certains groupes et utilisateurs les droits d’accès aux répertoires et fichiers

via la mise en place d’ACL (Access Control List)

- Limiter l’utilisation de la bande passante lors des transferts de fichiers

Page | 5

5- Solutions proposées

3 solutions applicatives sont envisagées pour mettre en place ce serveur SFTP :

- OpenSSH

- FileZilla

- Cerberus

Le tableau comparatif suivant permet d’identifier les avantages et les inconvénients de ces

solutions.

Prix Gratuit Gratuit à l’exception de la version Pro

Payant

Plateforme Multiplateforme Multiplateforme Windows

Contrôle de la bande passante

✔

✔

✗ Restrictions sur

les fichiers et dossiers

✔

✔

✗

ACL Par IP/groupe/nom

d’utilisateur Par IP/groupe/nom

d’utilisateur

Par IP

Génération clé publique/privée

✔

✗ ✗

Chroot jail ✔

✗ ✗

Page | 6

6- Solution choisie

La solution choisie par le service

informatique de VM Building Solutions

est la suite d’outils open source

OpenSSH.

Cette suite, qui incorpore un serveur

SFTP, sécurisera l’ensemble des

transferts de fichiers réalisés par les utilisateurs grâce à l’implémentation du protocole SSH.

Contrairement aux logiciels FileZilla et Cerberus, OpenSSH permettra à l’entreprise de

bénéficier de différentes fonctionnalités telles que :

- La gestion de la bande passante

- La restriction des droits d’accès sur les fichiers et dossiers

- Un système de gestion des ACL (pour les utilisateurs, les groupes et les adresses IP)

- La mise en place d’un environnement chroot jail

- La génération de clés publiques et privées SSH

7- Prérequis

L’implémentation du serveur SFTP nécessitera la mise en place du prérequis suivant :

- L’installation d’un serveur fonctionnant sous Linux. Nous choisirons d’implémenter le

serveur SFTP sous Debian 10.

8- Délai

Le service informatique disposera d’un délai de 3 semaines pour installer et configurer le

serveur SFTP.

Page | 7

9- Périmètre

La totalité du projet sera effectuée par les techniciens de l’équipe informatique. Ces derniers

devront donc installer et configurer un serveur sous Debian 10, ainsi qu’implémenter la

solution SFTP choisie, OpenSSH. Suite à sa mise en place, les techniciens effectueront

plusieurs tests afin de vérifier le bon fonctionnement du serveur.

10- Etapes d’implémentation

L’implémentation de ce serveur SFTP avec OpenSSH comportera plusieurs étapes :

1- L’installation et la configuration d’un serveur Debian 10

2- L’intégration du serveur au domaine de l’entreprise

3- L’installation d’OpenSSH

4- La génération de clés SSH

5- La mise en place d’un environnement chroot jail

6- L’attribution de droits aux différents groupes et utilisateurs

7- La mise en place de clé privée sur FileZilla Client

8- La mise en place d’une phase de test vérifiant la configuration du serveur SFTP

11- Planification des tâches

Ce projet s’effectuera du 16 septembre au 4 octobre 2019. Il se déroulera selon le calendrier

suivant.

Page | 8

12- Rendu intermédiaire

L’objectif de ce projet consiste à mettre en place un serveur SFTP sous Debian 10. Ce serveur

sera mis à disposition des différents services de l’entreprise VM Building Solutions et

permettra aux utilisateurs de transférer des fichiers de manière sécurisée. La solution SFTP

choisie par le service informatique est la suite d’outils open source OpenSSH.

4 étapes de ce projet ont été effectuées pendant la période du 16 au 20 septembre 2019 :

1- L’installation et la configuration d’un serveur sous Debian 10

2- L’intégration du serveur au domaine de l’entreprise

3- L’installation d’OpenSSH

4- La génération de paires de clés publiques et privées SSH

Ces étapes se sont déroulées selon le planning prévu par le service informatique. De plus,

celles-ci sont conformes aux résultats attendus. Les techniciens n’ont connu aucune difficulté

pour installer et configurer le serveur Debian 10, et le rattacher au domaine de l’entreprise.

L’installation de la suite OpenSSH et la génération de paires de clés publiques et privées SSH

se sont également déroulées correctement.

La génération des paires de clés a été effectuée sur les postes de utilisateurs depuis une invite

de commande. La clé publique générée a ensuite été copiée sur le serveur SFTP dans le

répertoire ~/.ssh/authorized_keys par l’intermédiaire du protocole SCP.

Les prochaines étapes du projet consisteront à :

- Mettre en place un environnement chroot jail

- Attribuer des droits aux différents groupes et utilisateurs de l’entreprise

- Installer FileZilla Client sur les postes Windows 10

- Mettre en place une clé privée sur FileZilla Client

- Effectuer des tests de vérification

Page | 9

13- Rendu final

Ce compte-rendu final fait suite à l’installation et à la configuration du serveur SFTP avec

OpenSSH sur Debian 10. Ce projet s’est déroulé du 16 septembre au 4 octobre 2019 et a été

effectué par les techniciens du service informatique de VM Building Solutions.

8 étapes ont été effectuées au cours de ce projet :

1- L’installation et la configuration d’un serveur sous Debian 10

2- L’intégration du serveur au domaine de l’entreprise

3- L’installation d’OpenSSH

4- La génération de paires de clés publiques et privées SSH

5- La mise en place d’un environnement chroot jail

6- L’attribution de droits aux groupes et utilisateurs

7- L’installation de FileZilla Client sur Windows10

8- La mise en place d’une clé privée sur FileZilla Client

Les installations d’OpenSSH sur Debian 10 et de FileZilla Client sur Windows 10 se sont

déroulées correctement. OpenSSH a été installé en ligne de commande tandis que

l’application FileZilla Client a été téléchargé depuis le site de FileZilla.

La génération des paires de clés publiques et privées SSH a été effectuée sur les postes

Windows 10 des utilisateurs. Ces clés permettront aux utilisateurs de s’authentifier auprès du

serveur SFTP sans entrer de mot de passe. La clé publique servant à authentifier les utilisateurs

a été copier sur le serveur via le protocole SCP.

Un environnement chroot jail a également été mis en place afin d’interdire aux utilisateurs

appartenant à un service spécifique l’accès aux fichiers et dossiers d’autres services. Cette

configuration n’autorisera à ces derniers que l’utilisation du protocole SFTP. Ils ne pourront

donc pas accéder au serveur en utilisant le protocole SSH.

Des groupes ont été créés sur le serveur Debian 10 pour chaque service de l’entreprise. Un

utilisateur spécifique a été créé pour ces services. Les employés utiliseront ces comptes pour

se connecter au serveur SFTP.

Suite à l’installation de FileZilla Client sur les postes Windows 10, la clé privée générée par

ces derniers a été mise en place sur l’application afin de permettre l’authentification

automatique et sécurisée des utilisateurs.

Page | 10

14- Recettage

Ce cahier de recette a pour objectif de contrôler le bon fonctionnement du serveur SFTP

OpenSSH mis en place par le service informatique de VM Building Solutions. Il permettra de

vérifier la qualité du service mis en place ainsi que le respect des exigences fonctionnelles et

techniques.

Ce recettage fait suite aux tests effectués entre le 2 octobre et le 4 octobre 2019.

ACTIONS DESCRIPTION RÉUSSITE DU TEST COMMENTAIRES

Connexion au serveur SFTP

Connexion au serveur SFTP via l’application FileZilla Client

✔

La connexion au serveur est effectuée via l’utilisation de l’application FileZilla Client. Les utilisateurs n’utilisent pas de mots de passe pour s’y connecter mais des paires de clés SSH.

Transfert de fichiers

Transfert de fichiers depuis ou vers le serveur SFTP

✔

Possibilité de transférer des fichiers dans des répertoires spécifiques aux services de l’entreprise.

Impossibilité d’accéder aux

fichiers/dossiers des autres services

Vérification de la mise en place de l’environnement

chroot jail

✔

Les utilisateurs ne pourront accéder qu’aux fichiers du/des groupe(s) au(x)quel(s) ils appartiennent.

Accès limité au service SFTP

Les groupes et utilisateurs ne pourront qu’utiliser le protocole SFTP

✔

Les utilisateurs et groupes de l’entreprise à l’exception du service informatique ne pourront accéder au serveur qu’avec le protocole SFTP. Ils ne pourront donc pas s’y connecter via SSH.

Page | 11

15- Retour sur expérience

Ma participation à ce projet m’a permis d’apprendre à mettre en place un serveur SFTP, mais

aussi à utiliser les protocoles SFTP et SSH. De plus, ce projet m’a également incité à me

documenter sur la sécurisation des transferts de fichiers via l’utilisation de clés publiques et

privées SSH.

Ce projet a pu être mené à terme en respectant les exigences imposées par l’entreprise, dont

le délai d’exécution, la mise en place d’un environnement chroot jail et l’utilisation de clés

SSH.

L’implémentation de ce serveur SFTP m’a aussi permis d’expérimenter le travail en groupe en

travaillant en collaboration avec les techniciens du service informatique.

Page | 12

16- Annexes

A- Schéma réseau

B- Documentation technique

1- Installation d’un serveur SFTP avec OpenSSH sous Debian 10

1.1- Installation et configuration d’OpenSSH sous Debian 10

Passer en mode Administrateur et entrer le mot de passe root.

Mettre à jour les paquets APT.

Page | 13

Installer ensuite OpenSSH.

1.2- Création de groupes et utilisateurs SFTP

Afin de permettre aux différents services de l’entreprise de transférer des fichiers de manière

sécurisée, nous créerons plusieurs groupes et utilisateurs qui seront seulement autorisés à

utiliser le service SFTP. Pour cela, nous mettrons en place un environnement chroot jail.

Nous créerons ici un groupe SFTP pour le service Achat de l’entreprise. La même commande

devra être utilisée pour les autres services de l’entreprise.

Nous allons ensuite créer un utilisateur nommé achat.

Modifier le mot de passe de l’utilisateur achat.

Ajouter l’utilisateur achat au groupe achat_sftp.

Changer le propriétaire du répertoire /home/achat. Le propriétaire sera l’utilisateur root.

Créer un dossier nommé sftp dans le répertoire personnel de l’utilisateur achat.

Page | 14

Donner les droits sur le dossier /home/achat/sftp à l’utilisateur achat.

1.3- Génération d’une paire de clés SSH publiques et privées

Sur le poste Windows 10 de l’utilisateur, ouvrir une invite de commandes en entrant cmd

dans la barre de recherche.

Entrer ensuite la commande ssh-keygen pour générer une paire de clés privées et publiques

SSH.

Copier ensuite la clé publique générée depuis le poste client sur le serveur Debian 10. Afin

de la copier, nous utiliserons le protocole SCP.

Nous pourrons ensuite nous connecter au serveur SFTP sans entrer de mot de passe.

1.4- Mis en place d’un environnement chroot jail

Copier le fichier de configuration d’OpenSSH.

Page | 15

Ouvrir le fichier de configuration d’OpenSSH en entrant la commande suivante.

Editer le fichier de configuration en entrant les commandes suivantes, puis enregistrer et

quitter.

2- Installation et configuration d’un client SFTP sous Windows 10 avec FileZilla

2.1- Installation de FileZilla Client sur Windows 10

Nous allons installer l’application FileZilla Client sur les postes Windows 10 des utilisateurs.

Aller sur le site suivant pour télécharger l’application : https://filezilla-project.org/download.php?platform=win64

https://filezilla-project.org/download.php?platform=win64https://filezilla-project.org/download.php?platform=win64

Page | 16

Une fois le téléchargement terminé, lancer l’installation puis entrer les identifiants Administrateur.

Accepter les termes de la licence en cliquant sur I Agree.

Page | 17

Cliquer sur Next.

Sélectionner tous les composants puis cliquer sur Next.

Page | 18

Cliquer sur Next.

Cliquer sur Next.

Page | 19

L’installation s’effectue.

Cliquer sur Finish pour terminer.

Page | 20

FileZilla Client est installée.

2.2- Mis en place d’une clé privée sur FileZilla Client

Sur FileZilla Client, cliquer sur Fichier < Gestionnaire de sites.

Page | 21

Cliquer ensuite sur Nouveau site.

Nous allons nommer ce nouveau site Achat.

Page | 22

Dans Général, sélectionner SFTP – SSH File Transfer Protocol et entrer l’adresse IP du serveur

SFTP dans le champ Hôte ainsi que le port correspondant.

Sélectionner ensuite Fichier de clé comme Type d’authentification et saisir l’identifiant de

connexion. Cliquer ensuite sur Parcourir pour ajouter la clé privée.

Cliquer enfin sur Connexion.

Page | 23

Pour finir, cliquer sur OK.

La connexion au serveur SFTP est établie.