3 votes

Epaga avatar

Est-ce que je cours un risque en laissant un compte FTP de test disponible sur le serveur ?

Demandé el 20 de Janvier, 2015
Quand la question a-t-elle été
1328 affichage
Nombre de visites la question a
4 Réponses
Nombre de réponses aux questions
Résolu
Situation réelle de la question

J'ai deux instances de serveur Filezilla sur des connexions WAN différentes, les deux se connectant au même répertoire /test sur le serveur de fichiers.

Pour valider la connectivité des clients, je dispose d'un compte de test en lecture/liste uniquement (par exemple, test) avec un mot de passe simple qui peut être donné verbalement au téléphone (par exemple, pass). Cela évite bien des tracas lors de l'intégration de nouveaux clients ou du débogage de problèmes de routage.

J'ai eu tendance à désactiver le compte de test lorsqu'il n'était pas nécessaire, mais c'est un peu gênant car il faut se connecter au serveur et cela peut être nécessaire plusieurs fois par semaine.

Quels risques prendrais-je, le cas échéant, si je laissais le compte de test activé avec un mot de passe faible ou facile à deviner ? Existe-t-il des exploits connus qui pourraient être utilisés pour accéder ou refuser l'accès au serveur ?

Note : Le serveur est configuré pour interdire les adresses IP pendant 2 heures après 10 tentatives de connexion infructueuses. La surveillance Syslog du pare-feu est également paramétrée pour signaler toute activité suspecte. Cette fonction pourrait être étendue à l'interdiction des adresses IP malveillantes dans le périmètre.

EDIT : J'ai mentionné le FTP pour des raisons de commodité, mais les serveurs sont en fait configurés pour exiger le FTPS, le FTP non crypté étant interdit.

Demandé el 20 de Janvier, 2015 par Epaga

Réponses

Trop de publicités?

11voto

Katherine Villyard avatar
Katherine Villyard Points 18470

Je ne suis pas sûr qu'il y ait une réponse objective à cette question. Cela dépend entièrement de facteurs tels que le contenu du serveur de fichiers, la nature de votre activité, le fait que les noms d'utilisateur et les mots de passe soient utilisés ailleurs (le ftp transmet les informations d'identification en clair), le fait que vous soyez soumis à une législation exigeant une plus grande prudence (HIPAA, FERPA, PCI), etc. Cela dit, il y a toujours un risque, tout dépend du niveau de risque que vous êtes prêt à accepter.

Par exemple : Si vous êtes un fournisseur et qu'aucune donnée client n'est autorisée à toucher le serveur de fichiers parce qu'il est isolé sur son propre système, vous pouvez décider que laisser les comptes ftp activés est un risque acceptable. Si vous êtes une école primaire et que le serveur de fichiers contient des notes et des adresses d'élèves, ce n'est probablement pas le cas. Si les comptes FTP se trouvent sur un serveur web qui accepte les cartes de crédit, ne le faites pas.

Répondu el 20 de Janvier, 2015 par Katherine Villyard (18470 Points )

7voto

shearn89 avatar
shearn89 Points 3102

Réponse courte : le désactiver .

Réponse plus longue : cela dépend de la niveau de risque avec laquelle vous êtes à l'aise.

Il peut y avoir des exploits qui fonctionnent contre la version du logiciel que vous utilisez, ou qui n'ont pas encore été découverts, et qui pourraient permettre un accès non autorisé. C'est à vous de déterminer le niveau de risque que vous êtes prêt à prendre : si vous estimez que la surveillance est suffisante, vous pouvez tout à fait la laisser ouverte. Personnellement, je désactiverais un tel compte ou, à tout le moins, je lui donnerais un mot de passe complexe mais lisible (les triplets CVC sont efficaces et faciles à dicter ou à mémoriser, par exemple "lef-tok-tar"). Ou utilisez une séquence de mots à la XKCD), et surveillez de près toute tentative d'accès (réussie ou non) à ce compte.

Répondu el 20 de Janvier, 2015 par shearn89 (3102 Points )

2voto

user2629636 avatar
user2629636 Points 752

S'il ne s'agit que d'autorisations de lecture, je ne vois pas de risque important, mais vous devriez peut-être vous assurer que vous utilisez le logiciel de serveur FTP le plus récent et le plus sûr pour plus de sécurité.

Vous pouvez créer un script sur votre bureau pour activer/désactiver le compte depuis votre bureau.

Répondu el 20 de Janvier, 2015 par user2629636 (752 Points )

1voto

Low Kian Seong avatar
Low Kian Seong Points 341

Le risque est toujours présent lorsque les serveurs sont tournés vers le public. Une autre façon de réduire un peu le risque est d'exécuter le service sur un port non standard, par exemple 8021. Avez-vous la possibilité de faire cela ?

Répondu el 21 de Janvier, 2015 par Low Kian Seong (341 Points )

Questions en vedette

Top Tags

Dans notre réseau

SistemesEz.com

SystemesEZ est une communauté de sysadmins où vous pouvez résoudre vos problèmes et vos doutes. Vous pouvez consulter les questions des autres sysadmins, poser vos propres questions ou résoudre celles des autres.

Powered by:

Yandex
X