Format de fichier /etc/ftpd.cnf pour TCP/IP
Objectif
Spécifie les paramètres de configuration du démon " ftpd pour démarrer une session TLS (transport layer security).
Descriptif
Le fichier " /etc/ftpd.cnf est un fichier ASCII qui contient les paramètres de configuration du démon " ftpd pour établir une session TLS à la réception d'une requête TLS d'un client " ftp.
Le fichier " /etc/ftpd.cnf contient les entrées suivantes, séparées par des espaces, des tabulations ou de nouvelles lignes :
| Article | Descriptif |
|---|---|
CA_PATH |
Indique le chemin d'accès au fichier de l'autorité de certification sécurisée au format PEM. Si l'entrée " CA_PATH est spécifiée, le certificat du client est vérifié auprès de l'autorité de certification. Si le client ne fournit pas de certificat numérique, la connexion échoue. Si le client fournit un certificat numérique, mais que celui-ci n'est pas signé par l'autorité de certification, la session TLS échoue. Si ce paramètre n'est pas spécifié, le client n'a pas besoin de fournir un certificat numérique. |
CERTIFICATE |
Indique le chemin d'accès à une chaîne valide de fichiers de certificats numériques au format PEM. Cette entrée doit être spécifiée pour démarrer une session TLS. Si cette entrée n'est pas spécifiée, le serveur " ftpd rejette toutes les demandes TLS. |
CERTIFICATE_PRIVATE_KEY |
Indique le chemin d'accès à la clé privée de certificat au format PEM. Cette entrée doit être spécifiée pour démarrer une session TLS. Si cette entrée n'est pas spécifiée, le serveur " ftpd rejette toutes les demandes TLS. |
CIPHER_LIST |
Indique la liste utilisée lors de la session TLS. Si elle n'est pas spécifiée, une liste de codes de chiffrement par défaut est utilisée. |
CIPHERSUITE |
Spécifie la suite de chiffrement de la version TLS 1.3 ( TLSv1.3 ) utilisée pour la session TLS. Si la suite de chiffrement du TLSv1.3 n'est pas spécifiée, alors la suite de chiffrement TLSv1.3 par défaut est utilisée. Pour la version TLS 1.2 ( TLSv1.2 ) et les chiffrements antérieurs, l'option CIPHER_LIST existante doit être utilisée. Si CIPHER_LIST l'option n'est pas utilisée pour TLSv1.2 et les chiffrements antérieurs, la suite de chiffrement par défaut du TLSv1.3 est utilisée. |
CRL_PATH |
Indique le chemin d'accès au fichier de liste de révocation de certificat dans le format de courrier électronique amélioré (PEM). Si l'entrée " CRL_PATH est spécifiée, le certificat numérique fourni par le client est vérifié par rapport à la liste de révocation des certificats. Si le client " ftp n'utilise pas de certificat numérique, la connexion échoue. Si le client fournit un certificat numérique, mais que celui-ci est révoqué, la session TLS échoue. Si ce paramètre n'est pas spécifié, le client n'a pas besoin de fournir un certificat numérique. |
DH_PARAMETERS_DIR |
Indique le chemin d'accès à un répertoire contenant les paramètres Diffie-Helman au format PEM. Plusieurs fichiers peuvent être inclus dans ce répertoire. Le démon " ftpd recherche le paramètre approprié. |
DEPTH |
Vérifier le certificat fourni par le client " ftp dans la hiérarchie des certificats numériques, si le paramètre de configuration " CA_PATH est spécifié. Si l'entrée " DEPTH n'est pas fournie, une valeur par défaut de 9 est utilisée. |
EC_CURVE_NAME |
Spécifie le nom de la courbe de clé Elliptic Curve (EC) à utiliser dans le protocole d'échange de clés Elliptic-Curve Diffie-Hellman (ECDH) ou le nom du groupe TLSv1.3 Finite Field Diffie-Hellman Ephemeral (FFDHE). |
Exemples
L'exemple suivant montre une entrée dans le fichier " /etc/ftpd.cnf:
CRL_PATH /crl.pem
CA_PATH /ca.pem
CIPHER_LIST ALL:!ADH:!LOW:!EXP:!MD5:@STRENGTH
CIPHERSUITE TLS_AES_256_GCM_SHA384
DEPTH 2
CERTIFICATE /cert.pem
CERTIFICATE_PRIVATE_KEY /privatekey.pem
DH_PARAMETERS_DIR /DH_DIR
EC_CURVE_NAME "secp256k1"
Fichiers
| Article | Descriptif |
|---|---|
| /usr/samples/tcpip/ftpd.cnf | Exemple de fichier " ftpd.cnf |