Blog clemanet

Sécuriser les mises à jour de switches avec un serveur SFTP

Écrit par

Albert

dans

La configuration d’un serveur SFTP te permet de sécuriser les mises à jour de tes switches en chiffrant entièrement les transferts de fichiers. Cette approche remplace avantageusement le FTP classique et renforce la protection de ton infrastructure réseau. Dans cet article, tu verras comment mettre en place facilement un serveur SFTP fiable et adapté à tes besoins de maintenance.

Le serveur SFTP sera installé sur un serveur Linux Debian.

Installer le serveur SSH (si non installé)

bob@debian:~$ sudo apt update
bob@debian:~$ sudo apt install openssh-server

Créer un groupe dédié au SFTP

bob@debian:~$ sudo groupadd sftpusers
bob@debian:~$

Créer le répertoire pour accueillir les fichiers

bob@debian:~$ sudo mkdir -p /srv/sftp/sftpuser/upload

Créer un utilisateur dédié au SFTP et création d’un mot de passe pour cet utilisateur

bob@debian:~$ sudo useradd -g sftpusers -s /usr/sbin/nologin -d /srv/sftp/sftpuser sftpuser
bob@debian:~$
bob@debian:~$ sudo passwd sftpuser
Nouveau mot de passe : 
Retapez le nouveau mot de passe : 
passwd : mot de passe mis à jour avec succès

On applique les droits sur le répertoire.


bob@debian:~$ sudo chown root:root /srv/sftp/sftpuser
bob@debian:~$ sudo chmod 755 /srv/sftp/sftpuser
bob@debian:~$ 
bob@debian:~$ sudo chown -R sftpuser:sftpusers /srv/sftp/sftpuser/upload
bob@debian:~$

Modifier la configuration SSH pour activer le mode SFTP (ajout des lignes de configuration)

sudo vi /etc/ssh/sshd_config

Match Group sftpusers
    ChrootDirectory /srv/sftp/%u
    ForceCommand internal-sftp
    X11Forwarding no
    AllowTcpForwarding no

On redémarre le service sshd

bob@debian:~$ sudo systemctl restart sshd
bob@debian:~$

On se connecte maintenant sur le switch. Dans l’exemple, c’est un switch catalyst du constructeur Cisco et on lance la commande pour se connecter au serveur FTP et télécharger le fichier.

albert@Boo:~$ ssh -o KexAlgorithms=+diffie-hellman-group14-sha1     -o HostKeyAlgorithms=+ssh-rsa     -o PubkeyAcceptedAlgorithms=+ssh-rsa admin@192.168.1.249

admin@192.168.1.249) Password: 

Switch-lab#
Switch-lab#copy sftp://sftpuser:motdepasse@192.168.1.12/upload/c2960-lanbasek9-mz.150-7.SE15.bin flash:

Gestion de l’erreur en cas de protocole trop ancien sur le switch : on ajoute alors les lignes suivantes dans la configuration du service ssh du serveur:

bob@debian:~$ vi /etc/ssh/sshd_config

KexAlgorithms=+diffie-hellman-group14-sha1
HostKeyAlgorithms=+ssh-rsa
PubkeyAcceptedAlgorithms=+ssh-rsa

bob@debian:~$ sudo systemctl restart sshd

On vérifier que le fichier est bien sur le switch.

Switch-lab#dir flash:                                                          
Directory of flash:/

  675  -rwx         101   Jan 1 2000 00:19:07 +00:00  c2960-lanbasek9-mz.150-7.SE15.bin

En choisissant SFTP, tu protèges tes mises à jour de switches contre les failles et les intrusions. Tu assures la confidentialité de tes fichiers tout en simplifiant leur transfert au quotidien.
Si tu as l’erreur concernant les protocoles obsolètes, vois pour mettre à jour ton switch.

Commentaires

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Plus de publications