wikinotes

Outils pour utilisateurs

Outils du site

Piste : installer_serveur_tftp
software:applications:tftpd-hpa:installer_serveur_tftp

Ceci est une ancienne révision du document !

Table des matières

, ,

:TODO_DOCUPDATE:

tftpd-hpa : Un serveur TFTP

Plusieurs versions de serveurs TFTP 1) sont disponibles sur la majorité des distributions GNU/Linux :

  • tftpd – Trivial file transfer protocol server ;
  • atftpd – Advanced TFTP server ;
  • tftpd-hpa – HPA’s tftp server ;
  • dnsmasq – Lightweight DNS, TFTP and DHCP server.

Le service TFTP est largement utilisé par PXE pour charger des images via le réseau et démarrer des systèmes sans disques, automatiser des installations, charger des programmes de diagnostic etc.

De nombreux matériels réseau permettent de charger/exporter leurs configurations via TFTP.

Installer/configurer le serveur

Via le gestionnaire de paquetage, installer le paquet tftp-hpa : 

sudo apt-get install tftpd-hpa

Pour vérifier l'état du service : 

systemctl status tftpd-hpa.service
 
netstat -anpe | grep :69

Le fichier de configuration par défaut est minimaliste :

tftpd-hpa
# /etc/default/tftpd-hpa
 
TFTP_USERNAME="tftp"
TFTP_DIRECTORY="/srv/tftp"
TFTP_ADDRESS=":69"
TFTP_OPTIONS="--secure"

L'installateur crée un dossier /srv/tftp c'est le dossier racine du serveur (l'option --secure active un chroot). Le dossier appartient à root, l'utilisateur tftp qui exécute le service n'a qu'un accès en lecture.

Avec la configuration par défaut, l'utilisateur pourra downloader les fichiers disponibles sur le serveur mais ne pourra pas uploader des fichiers.

Le service TFTP est peu sûr, il fonctionne sans authentification. Il est donc fortement conseillé :
  • de limiter sa portée (autoriser les clients bien connus, les réseaux locaux via le pare-feu) ;
  • de limiter son activation (activer le service seulement au besoin).
# Désactive le démarrage automatique du service
systemctl disable tftpd-hpa.service

Pour limiter l'accès au service TFTP, selon le mode de compilation du programme, il faudra utiliser :

  • soit les règles appropriées du pare-feu ;
  • soit s'appuyer sur la base host_access (confère man tftpd section SECURITY).
Sur Ubuntu 20.04 le programme est compilé pour utiliser la base host_access : il faut éditer les fichiers /etc/hosts.allow et /etc/hosts.deny pour controler l'accès au service TFTP.
hosts.deny
# /etc/hosts.deny: list of hosts that are _not_ allowed to access the system.
#                  See the manual pages hosts_access(5) and hosts_options(5).
#
# Example:    ALL: some.host.name, .some.domain
#             ALL EXCEPT in.fingerd: other.host.name, .other.domain
#
# If you're going to protect the portmapper use the name "rpcbind" for the
# daemon name. See rpcbind(8) and rpc.mountd(8) for further information.
#
# The PARANOID wildcard matches any host whose name does not match its
# address.
#
# You may wish to enable this to ensure any programs that don't
# validate looked up hostnames still leave understandable logs. In past
# versions of Debian this has been the default.
# ALL: PARANOID
 
# Tout service non explicitement autorisé est bloqué
ALL: ALL
hosts.allow
# /etc/hosts.allow: list of hosts that are allowed to access the system.
#                   See the manual pages hosts_access(5) and hosts_options(5).
#
# Example:    ALL: LOCAL @some_netgroup
#             ALL: .foobar.edu EXCEPT terminalserver.foobar.edu
#
# If you're going to protect the portmapper use the name "rpcbind" for the
# daemon name. See rpcbind(8) and rpc.mountd(8) for further information.
#
in.tftpd: LOCAL 192.168.1.0/24

:TODO:

  • Voir pourquoi le service est accessible alors que le pare-feu est paramétré pour interdire l’accès ;
  • Voir désactivation du service.

Autoriser l'upload sur le serveur

Par défaut le serveur TFTP rend accessible ses fichiers aux clients mais ne permet pas la création de nouveau contenu/l'écriture de fichiers. Il est cependant possible d'autoriser l'upload de fichiers sur le serveur TFTP.

Si le serveur n'est pas paramétré pour accepter la création de nouveaux fichiers, lors de l'utilisation de la commande put une erreur avec le message File not found est retournée: 

tftp> put prise-A10.txt
Error code 1: File not found

Modifier le fichier de configuration : 





Modifier les droits sur le dossier racine du serveur TFTP, l'utilisateur tftp doit avoir les droits d'écriture. Si les droit ne sont pas correctment positionnés, on obtient un message 'Error code 0: Permission denied'' :



sudo chown tftp:tftp /srv/tftp/




Relancer le service



systemctl restart tftpd-hpa.service




:TODO:





Modifier le masque associé à l'utilisateur tftp pour que les fichiers créés ne soient accessibles qu'en lecture aux utilisateurs du système (other).







Références










1) 

Trivial File Transfert Protocol




                    
                                    


                
software/applications/tftpd-hpa/installer_serveur_tftp.1702466157.txt.gz · Dernière modification : 2023/12/13 11:15 de yoann


                            


            


            
            

                
Outils de la page

                

                    
                

            

        


        



    
Sauf mention contraire, le contenu de ce wiki est placé sous les termes de la licence suivante : GNU Free Documentation License 1.3

    

        GNU Free Documentation License 1.3        Donate
        Powered by PHP
        Valid HTML5
        Valid CSS
        Driven by DokuWiki