
                   Comment installer un serveur FTP scuris

Christopher Klaus <cklaus@shadow.net>

   26 Juillet 94
     _________________________________________________________________

   _Ce document pourra intresser tous ceux qui envisagent d'installer un
   serveur FTP anonyme sur leur systme Linux. crit par Christopher
   Klaus, il est post rgulirement dans le groupes de nouvelles
   comp.security.misc sous le titre ``computer-security/anonymous-ftp
   FAQ''. Traduction et adaptation par Michel Billaud
   <billaud@labri.u-bordeaux.fr> (Septembre 1995)._
     _________________________________________________________________

1. Introduction

   Ce qui suit est une liste de questions-rponses sur l'installation
   d'un serveur FTP scuris.

   Il est bien connu que les serveurs FTP sont utiliss pour effectuer
   des transferts illgaux de fichiers. Un serveur FTP mal configur
   offre beaucoup d'opportunits d'accs  des pirates. Enfin, beaucoup
   de serveurs prsentent des brches de scurit.

   Cette FAQ (liste de questions frquentes) est destine  limiter les
   dgts en donnant aux administrateurs une liste de points  contrler
   pour s'assurer que leur serveur FTP est bien configur, et qu'ils
   possdent bien la dernire version du dmon FTP.

2. Liste de questions-rponses

   Le texte est organis comme suit :

    1. Description gnrale de l'installation d'un serveur de FTP anonyme
    2. Installation d'un serveur FTP scuris  racine dplace
    3. Informations spcifiques au systme d'exploitation et suggestions
    4. O obtenir d'autres dmons FTP.
    5. Comment savoir si votre serveur FTP anonyme est scuris
    6. Archie

2.1 Description gnrale de l'installation d'un serveur de FTP anonyme

   Comment installer un ftp anonyme scuris ?

   _Lisez toutes les notes et tous les avertissements !_

    1. Ajoutez un nouvel utilisateur ftp dans /etc/passwd. Utilisez un
       groupe ordinaire. Le rpertoire d'accueil de cet utilisateur sera
       ~ftp, ce sera la racine de l'arborescence que les utilisateurs
       anonymes verront.
       Utilisez un mot de passe et un shell invalides pour plus de
       scurit. Cette ligne du fichier passwd ressemblera  ceci :
ftp:*:400:400:Anonymous FTP:/home/ftp:/bin/true
    2. Crez le rpertoire d'accueil ~ftp, et donnez-en la proprit 
       root (_pas _ ftp). Ainsi, les permissions du propritaires seront
       attribues  root, et les permissions de groupes concerneront les
       utilisateurs anonymes. Mettez les droits d'accs de ~ftp  555
       (lecture, pas d'criture, excution).

     Certaines pages de manuel recommandent d'attribuer le rpertoire
     ~ftp  l'utilisateur ftp. _Ne le fates surtout pas_ si vous tenez
      la scurit de votre systme.
    3. Crez le rpertoire ~ftp/bin appartenant  root (groupe wheel par
       exemple), avec les droits d'accs 111 (pas de lecture, pas
       d'criture, excution).
    4. Copiez le programme ls dans ~ftp/bin. ls appartiendra  root, avec
       les droits 111 (pas de lecture, pas d'criture, excution). Vous
       donnerez les mmes droits  toutes les commandes que vous mettrez
       ultrieurement dans ~ftp/bin.
    5. Crez le rpertoire ~ftp/etc, proprit de root avec les droits
       111.
    6. Crez des fichiers passwd et group dans ~ftp/etc, avec les droits
       444. Le fichier passwd ne devrait contenir que root, daemon, uucp
       et ftp. Le fichier group contiendra le groupe choisi pour
       l'utilisateur ftp. Utilisez vos fichiers /etc/passwd et /etc/group
       comme modles pour ~ftp/etc/passwd et ~ftp/etc/group. Vous pouvez
       changer les noms d'utilisateurs dans ce fichier, ils ne sont
       utiliss que par la commande ls. Si par exemple les fichiers de
       votre arborescence ~ftp/pub/linux sont grs par un utilisateur
       balon ayant l'uid 156, vous pouvez mettre la ligne
        linux:*:156:120:Kazik Balon::
       dans le fichier ~ftp/etc/passwd (indpendemment de son vrai nom).
       Ne fates figurer que les utilisateurs qui possdent des fichiers
       dans l'arborescence FTP, (c'est--dire root, daemon, ftp...) et
       supprimez rsolument _tous_ les mots de passe en les replaant par
       une toile ``*''. Les lignes du fichier ~ftp/etc/passwd
       ressembleront donc  ceci :
        root:*:0:0:Ftp maintainer::
        ftp:*:400:400: Anonymous ftp::
       Pour plus de scurit, vous pouvez tout simplement supprimer
       ~ftp/etc/passwd et ~ftp/etc/group (dans ce cas la commande ``ls
       -l'' ne montrera pas les noms des groupes des rpertoires). Le
       dmon FTP de Wuarchive (et d'autres) se base galement sur le
       contenu des fichiers group et passwd : lire la documentation
       approprie.
    7. Crez le rpertoire ~ftp/pub. Ce rpertoire vous appartiendra et
       aura le mme groupe que ftp avec les droits 555. Sur la plupart
       des systmes (comme SunOs) vous pourrez donner les droits 2555
       (positionnant le bit set-group-id) pour que les fichiers crs
       dans ce rpertoire appartiennent au mme groupe. Les fichiers
       dposs dans ce rpertoire seront accessibles publiquement. Vous
       mettrez les mmes droits d'accs 555  tous les sous-rpertoires
       de ~ftp/pub. Ni le rpertoire d'accueil ~ftp, ni aucun de ses
       sous-rpertoires ne devra appartenir  l'utilisateur ftp (ni aucun
       fichier nulle part ailleurs). Les dmons FTP modernes supportent
       des tas de commandes trs utiles, comme chmod, qui permettent de
       modifier de l'extrieur les droits d'accs que vous avez
       laborieusement positionns. Des options de configurations
       permettent de dsactiver ces commandes (ici WuFTP) :
         _____________________________________________________________

# all the following default to "yes" for everybody
delete          no      guest,anonymous         # delete permission?
overwrite       no      guest,anonymous         # overwrite permission?
rename          no      guest,anonymous         # rename permission?
chmod           no      anonymous               # chmod permission?
umask           no      anonymous               # umask permission?
         _____________________________________________________________

    8. Si vous voulez que les utilisateurs anonymes puissent dposer des
       fichiers, crez le rpertoire ~ftp/pub/incoming (propritaire
       root, droits 733). Fates un ``chmod +t ~ftp/pub/incoming ''.
       Normalement le dmon FTP interdit aux utilisateurs anonymes
       d'craser un fichier existant, mais un utilisateur normal pourrait
       dtruire n'importe quoi. En mettant les droits  1733 ce ne sera
       plus possible. Avec wuftpd vous pouvez configurer le dmon pour
       que les fichiers crs le soient avec les droits 600 et
       appartiennent  root (ou tout autre utilisateur).
       Parfois rpertoires ``incoming'' sont utiliss frauduleusement
       pour changer de fichiers pirats ou pornographiques. Les
       fraudeurs y crent des sous-rpertoires cachs prcisment dans ce
       but. a aide un peu de rendre le rpertoire incoming illisible par
       les utilisateurs anonymes. Avec les serveurs FTP usuels, on ne
       peut pas empcher la cration de rpertoires dans incoming. Le
       serveur ftp de WUarchive permet de limiter les dpts  certains
       rpertoires, et de mettre des restrictions sur les noms que l'on
       peut donner aux fichiers, comme par exemple:
         _____________________________________________________________

# specify the upload directory information
upload  /var/spool/ftp  *       no
upload  /var/spool/ftp  /incoming       yes     ftp     staff   0600    nodirs

# path filters
                 # path-filter...
path-filter  anonymous  /etc/msgs/pathmsg  ^[-A-Za-z0-9_\.]*$  ^\.  ^-
path-filter  guest      /etc/msgs/pathmsg  ^[-A-Za-z0-9_\.]*$  ^\.  ^-
         _____________________________________________________________

     _Suggestion_ : installez votre arborescence FTP (ou tout au moins
     la partie incoming) dans un systme de fichiers  part. Ceci
     empchera une _attaque paralysante_ consistant  saturer
     compltement votre partition principale (via le rpertoire
     incoming) avec des cochonneries.
       Si vous avez wuftpd vous pourrez installer quelques extensions
       comme la compression-dcompression _au vol_, ou la cration de
       fichiers tar pour les arborescences. Rcuprez les sources
       ncessaires (gzip, gnutar, compress), compilez-les avec une
       dition des liens _statique_, et ditez le fichier qui contient la
       dfinition des conversions autorises. Le programme /usr/bin/tar
       est dj li statiquement. Vous prfrerez probablement utiliser
       GNU-tar de toutes faons. Garry Mills a crit le petit programme
       qui fait  :

     J'ai pris compress sur ftp.uu.net,  la racine je crois, et je l'ai
     compil. Pour tar et compress, j'ai crit un petit programme appel
     ``pipe'', que j'ai li statiquement. Mon fichier
     /etc/ftpconversions ressemble  ceci :

     Note du traducteur: les 3 lignes qui ne commencent pas par
     deux-points ou dise sont la continuation de celles qui les
     prcdent. J'ai d les tronquer pour des raisons de formattage.
       ______________________________________________________________

#strip prefix:strip postfix:addon prefix:addon postfix:external command:
#types:options:description
 :.Z:  :  :/bin/compress -d -c %s:T_REG|T_ASCII:O_UNCOMPRESS:UNCOMPRESS
 :-z:  :  :/bin/compress -d -c %s:T_REG|T_ASCII:O_UNCOMPRESS:UNCOMPRESS
 :  :  :.Z:/bin/compress -c %s:T_REG:O_COMPRESS:COMPRESS
 :  :  :.tar:/bin/tar cf - %s:T_REG|T_DIR:O_TAR:TAR
 :  :  :.tar.Z:/bin/pipe /bin/tar cf - %s | /bin/compress -c:T_REG|T_DI
R:O_COMPRESS|O_TAR:TAR+COMPRESS
 :  :  :.tar:/bin/gtar -c -f - %s:T_REG|T_DIR:O_TAR:TAR
 :  :  :.tar.Z:/bin/gtar -c -Z -f - %s:T_REG|T_DIR:O_COMPRESS|O_TAR:TAR
+COMPRESS
 :  :  :.tar.gz:/bin/gtar -c -z -f - %s:T_REG|T_DIR:O_COMPRESS|O_TAR:TA
R+GZIP
       ______________________________________________________________

     Voil le programme:
       ______________________________________________________________

/* pipe.c: exec two commands in a pipe */

#define NULL (char *)0
#define MAXA 16

main(argc, argv) int argc; char *argv[]; {
    char *av1[MAXA], *av2[MAXA];
    int i, n, p[2], cpid;

    i = 0; n = 0;
    while ( ++i < argc && n < MAXA ) {
        if ( *argv[i] == '|' && *(argv[i]+1) == '\0' ) break;
        av1[n++] = argv[i];
    }
    if ( n == 0 ) uexit();
    av1[n] = NULL;
    n = 0;
    while ( ++i < argc && n < MAXA )
      av2[n++] = argv[i];
    if ( n == 0 ) uexit();
    av2[n] = NULL;
    if ( pipe(p) != 0 ) exit(1);
    if ( ( cpid = fork() ) == (-1) ) exit(1);
    else if ( cpid == 0 ) {
        (void)close(p[0]);
        (void)close(1);
        (void)dup(p[1]);
        (void)close(p[1]);
        (void)execv(av1[0], av1);
        _exit(127);
    }
    else {
        (void)close(p[1]);
        (void)close(0);
        (void)dup(p[0]);
        (void)close(p[0]);
        (void)execv(av2[0], av2);
        _exit(127);
       }
    /*NOTREACHED*/
}

uexit() {
    (void)write(2, "Usage: pipe <command> | <command>\n", 34);
    exit(1);
}
       ______________________________________________________________

    9. Autres choses  faire :
          + Sous root crez des fichiers .rhosts et .forward vides,
            appartenant  rootn en faisant par exemple

        touch ~ftp/.rhosts ~ftp/.forward
        chmod 400 ~ftp/.rhosts ~ftp/.forward
          + Prvoyez un alias de courrier pour que les utilisateurs
            puissent signaler leurs problmes  l'administrateur FTP.
          + Si vous montez des disques d'autres machines (ou mme de la
            vtre) dans l'arborescence  ftp, montez-les en lecture
            seulement. La ligne correcte dans /etc/fstab (sur la machine
            o tourne ftpd) ressemble  :
other:/u1/linux /home/ftp/pub/linux nfs ro,noquota,nosuid,intr,bg 1 0
            Ceci monte le disque de la machine other sur le rpertoire
            /home/ftp/pub/linux sans quotas, sans aucun programme 
            ``suid'' (on ne sait jamais), interruptible (pour le cas o
            other s'arrte), et en arrire-plan ``bg'', pour que si vous
            redmarrez votre machine alors que other est arrt, elle ne
            vous bloque pas en ressayant continuellement de monter
            /home/ftp/pub/linux.

2.2 Installation d'un serveur FTP scuris  racine dplace

     Note du traducteur : Il s'agit l des serveurs ``chrooted FTP'',
     c'est--dire qui ne montrent  tous les utilisateurs (pas seulement
     les anonymes) qu'une sous-arborescence volontairement limite, dont
     la racine apparente _n'est pas_ la vraie racine de la hirarchie de
     fichiers.

   Contribution de Marcus J. Ranum <mjr@tis.com>.

   Etapes d'installation :

    1. Faites une version de ftpd qui soit lie _statiquement_, et mettez
       dans ~ftp/bin. Assurez-vous que root en est le propritaire.
    2. Si vous avez besoin de /bin/ls, fates-en une version _statique_
       galement, que vous mettrez dans ~ftp/bin. Il y a un portage de la
       commande ls de BSD net2 pour SunOs sur ftp.tis.com dans
       pub/firewalls/toolkit/patches/ls.tar.Z . Vrifiez que root en est
       propritaire.
    3. Remplissez ~ftp/etc/passwd ~ftp/etc/group comme vous le feriez
       normalement, _mais surtout_ ne mettez pas la racine / comme
       rpertoire d'accueil pour l'utilisateur ftp. Assurez-vous que ces
       deux fichiers appartiennent  root.
    4. crivez un ``lanceur'' (wrapper) pour ftpd et installez-le dans
       /etc/inetd.conf. En supposant que ~ftp = /var/ftp, le lanceur
       ressemble  ceci :
         _____________________________________________________________

main()
{
        if(chdir("/var/ftp")) {
                perror("chdir /var/ftp");
                exit(1);
        }
        if(chroot("/var/ftp")) {
                perror("chroot /var/ftp");
                exit(1);
        }
        /* optional: seteuid(FTPUID); */
        execl("/bin/ftpd","ftpd","-l",(char *)0);
        perror("exec /bin/ftpd");
        exit(1);
}
         _____________________________________________________________

       Autres possibilits :
          + Vous pouvez utiliser netacl de la boite  outils standard, ou
            des ``tcp-wrappers'' pour obtenir le mme rsultat.
          + Nous utilisons netacl pour pouvoir activer/dsactiver le
            confinement pour que quelques machines qui se connectent au
            service FTP _ne soient pas_ confines ds le dbut. Ceci rend
            le transfert de fichiers un peu moins pnible.
          + Vous pouvez aussi modifier les sources de ftpd et enlever
            tous les appels  seteuid(). Ceux qui connaissent des trous
            de scurit qui permettent de passer root n'y arriveront
            plus. Dtendez-vous et imaginez combien ils vont tre
            frustrs.
          + Si vous bricolez les sources de ftpd, je vous recommande de
            dsactiver un tas d'options dans ftpcmd.y en enlevant
            l'indicateur ``implemented''. a ne sera commode que si votre
            serveur FTP est destin uniquement  la consultation.
          + Comme d'habitude, faites un tour dans votre zone FTP, et
            vrifiez que les fichiers ont des droits convenables et que
            rien ne trane qui puisse tre excut.
          + Notez que le fichier /etc/passwd de votre zone FTP est
            maintenant compltement spar de votre vrai /etc/passwd. Il
            y a des avantages et des inconvnients.
          + Certains programmes peuvent ne pas fonctionner, comme syslog,
            parce qu'il n'y a pas de /dev/log. Dans ce cas vous pouvez
            construire une version de ftpd avec une routine syslog()
            base sur UDP, ou encore faire tourner un second syslogd
            reposant sur le code BSD Net2, qui avec l'option -p
            ~ftp/dev/log grera un socket _unix-domain_.

     _Rappellez-vous :_ si on peut passer root par une faille de votre
     ftpd, on peut vous causer des dgts mme sur un serveur 
     arborescence dplace. Si vous n'avez pas peur de bricoler du code,
     s'arranger pour faire tourner ftpd sans permissions est une trs
     bonne chose. Vous pouvez vrifier le bon fonctionnement de votre
     serveur bricol en vous y connectant et (pendant qu'il en est  la
     chane d'invite utilisateur) en faisant un ps-axu pour voir s'il le
     tourne pas sous root.

2.3 Informations scifiques au systme d'exploitation et suggestions

  Vieux systmes SVR2 et SVR3, ...

   ... RTU6.0 (Masscomp, maintenant dnomme Concurrent Real Time UNIX),
   machines AT&T 3B1 et 3B2 :

   Ces systmes peuvent avoir besoin de dev/tcp.

   _(dev/tcp)_ Ces implmentations de ftpd peuvent requrir un
   ~ftp/dev/tcp en tat de marche pour que le FTP anonyme fonctionne.

   Il faut crer un fichier spcial en mode caractres avec les nombres
   majeur et mineur convenables. Les nombres convenables pour
   ~ftp/dev/tcp sont ceux de /dev/tcp.

   ~ftp/dev est un rpertoire, et ~ftp/dev/tcp est un fichier spcial en
   mode caractres. Fixez-en le groupe et le propritaire  root. Les
   droits d'accs de ~ftp/dev sont lecture-criture-excution pour root,
   et lecture-excution pour le groupe et les autres. Pour ~ftp/dev/tcp,
   root aura le droit de lire et crire, les autres et le groupe le droit
   de lire seulement.

  HPUX

   _(Fichiers de trace)_ Si vous utilisez le ftpd de HP, la ligne de
   /etc/inetd.conf devrait lancer ftpd -l, qui fait des traces
   supplmentaires.

  SunOs

   _(Bibliothques)_ Pour que SunOs utilise ses bibliothques dynamiques
   partages, suivez ces tapes :
    1. Crez le rpertoire ~ftp/usr. Le propritaire est root, avec les
       droits 555.
    2. Crez le rpertoire ~ftp/usr/lib. Le propritaire est root, avec
       les droits 555.
    3. Copiez le chargeur dynamique ld.so dans ~ftp/usr/lib pour qu'il
       soit utilisable par ls. ld.so appartient  root avec les droits
       555.
    4. Copiez la version la plus rcente de la bibliothque X partage,
       (libc.so.*) dans ~ftp/usr/lib pour qu'elle soit utilise par ls.
       La copie libc.so.* appartiendra  root avec les droits 555.
       Utilisateurs de 4.1.2 (ou au-del) : il faut aussi copier
       /usr/lib/libdl.so.* dans ~ftp/lib.
    5. Crez le rpertoire ~ftp/dev. Propritaire root et droits d'accs
       111.
    6. Le chargeur a besoin de ~ftp/dev/zero. Placez-vous dans le
       rpertoire ~ftp/dev et crez-le par la commande :
        mknod zero c 3 12
       transfrez-en la proprit  root. Assurez-vous qu'il est lisible.

     _Avertissement aux novices :_ N'essayez pas de copier /dev/zero
     dans ~/ftp/dev/zero !!! C'est un fichier sans fin de zeros et il va
     remplir compltement votre partition !
    7. Si vous voulez que l'heure locale s'affiche quand les gens se
       connectent, crez le rpertoire ~ftp/usr/share/lib/zoneinfo et
       copiez-y /usr/share/lib/zoneinfo/localtime.
    8. Si vous n'aimez pas l'ide de copier vos bibliothques pour
       pouvoir utiliser le ls de Sun qui est li dynamiquement, vous
       pouvez essayer de rcuprer un ls statique  la place. Il y en a
       un sur le CD-ROM de distribution de SunOS. Dans ce cas vous pouvez
       vous dispenser des tapes 6  8.
       Si vous voulez un autre ls statique, rcuprez fileutils de GNU
       sur un serveur d'archives proche et liez-le statiquement.

   _(Fichiers de trace)_ Le dmon ftpd standard de Sun enregistre _tous_
   les mots de passe. Pour corriger a, passez le patch :
101640-03     SunOS 4.1.3: in.ftpd logs password info when -d option is used.

   Dans _/etc/inetd.conf_ trouvez la ligne qui commence par ftp. La fin
   de la ligne qui devrait tre ``in.ftpd'', remplacez-la par ``in.ftpd
   -dl>>. Dans /etc/syslog.conf, ajoutez une ligne
daemon.*                                        /var/adm/daemonlog

   L'information peut-tre ventile sur plusieurs fichiers, en faisant :
daemon.info                                    /var/adm/daemon.info
daemon.debug                                   /var/adm/daemon.debug
daemon.err                                     /var/adm/daemon.err

   Attention, l'espace entre les deux colonnes doit contenir au moins une
   tabulation, et pas seulement des espaces, sinon a ne va pas marcher.
   Vous pouvez mettre vos fichiers de traces o vous voulez. Ensuite,
   crez les fichiers de traces (par exemple par touch
   /var/adm/daemonlog). Pour finir, relancez inetd et syslogd, soit
   manuellement, soit en dmarrant le systme. a devrait fonctionner.

   Si vous n'installez pas le patch, assurez-vous que le fichier de
   traces appartient bien  root et qu'il a les droits 600, parce que le
   dmon ftpd enregistrera absolument tout, y compris les mots de passe
   des utilisateurs.

     Pour des raisons de scurit les fichiers de traces ne doivent tre
     lisibles que par root : si par erreur un utilisateur tape son mot
     de passe au lieu de son nom, il pourrait tre pirat par quiconque
     peut lire les traces.

2.4 O se procurer d'autres dmons FTP ?

   _Wuarchive FTP 2.4_ - Un dmon FTP scuris qui amliore le contrle
   d'accs, les fichiers de traces, les bannires d'avant-login, et offre
   de nombreuses options de configuration. Par ftp sur ftp.uu.net dans le
   rpertoire /networking/ftp/wuarchive-ftpd. Vrifiez bien le checksum
   pour tre sr d'avoir charg une copie valide. (_Avertissement_ : les
   anciennes versions de Wu-FTP sont trs vulnrables et certaines ont
   des chevaux de Troie.)

                        BSD        SVR4
     File               Checksum   Checksum    MD5 Digital Signature
     -----------------  --------   ---------   --------------------------------
     wu-ftpd-2.4.tar.Z  38213  181  20337 362  cdcb237b71082fa23706429134d8c32e
     patch_2.3-2.4.Z    09291    8  51092  16  5558a04d9da7cdb1113b158aff89be8f

     For DECWRL ftpd, sites can obtain version 5.93 via anonymous FTP
     from gatekeeper.dec.com in the "/pub/misc/vixie" directory.

                        BSD        SVR4
     File               Checksum   Checksum    MD5 Digital Signature
     -----------------  --------   --------- --------------------------------
     ftpd.tar.gz        38443  60  1710 119  ae624eb607b4ee90e318b857e6573500

     For BSDI systems, patch 005 should be applied to version 1.1 of
     the BSD/386 software.  You can obtain the patch file via
     anonymous FTP from ftp.bsdi.com in the "/bsdi/patches-1.1"
     directory.

                        BSD        SVR4
     File               Checksum   Checksum    MD5 Digital Signature
     -----------------  --------   ---------   --------------------------------
     BU110-005          35337 272  54935 543   1f454d4d9d3e1397d1eff0432bd383cf

   Sources dans le domaine public :
   ftp.uu.net            ~ftp/systems/unix/bsd-sources/libexec/ftpd
   gatekeeper.dec.com    ~ftp/pub/DEC/gwtools/ftpd.tar.Z

2.5 Comment savoir si votre serveur FTP anonyme est scuris

   Cette section offre  l'administrateur une petite liste de points 
   vrifier pour vrifier que son serveur n'est pas trop facile 
   fracturer.

    1. Vrifiez que votre serveur n'a pas la commande SITE EXEC en vous
       connectant par telnet sur le port 21 et en tapant ``SITE EXEC''.
       Si votre dmon FTP accepte cette commande, vrifiez qu'il est dans
       sa version la plus rcente (c'est--dire Wu-FTP 2.4). Dans les
       versions plus anciennes, la commande permet  n'importe qui
       d'excuter un shell par le port 21.
    2. Vrifiez que personne ne peut se connecter et crer des fichiers
       et des rpertoires dans le rpertoire principale. Si n'importe qui
       peut se connecter sous anonymous et crer des fichiers .rhosts, et
       .forward, l'accs est alors ouvert  tout intrus.
    3. Vrifiez que le rpertoire principal _n'appartient pas_  ftp.
       Sinon un intrus peut faire ``SITE CHMOD 777'' sur le rpertoire
       principal et installer des fichiers qui lui donneront
       immdiatement un accs. La commande SITE CHMOD devrait tre
       supprime parce que les utilisateurs anonymes n'ont besoin d'aucun
       privilge particulier.
    4. Vrifier qu'_aucun_ fichier ou rpertoire n'appartient  ftp. Si
       c'etait le cas, un intrus pourrait les remplacer par un cheval de
       Troie.
    5. Il y a plusieurs erreurs dans les vieux dmons, il est donc trs
       important de vous assurer que vous avez les versions les plus
       rcentes.

2.6 Archie

   Recherche des programmes dans les sites FTP. Connectez-vous  ces
   sites sous le nom archie ou utilisez un client Archie pour un accs
   plus rapide. Pour faire ajouter votre site dans la liste des serveurs
   explors par Archie, envoyez un courrier lectronique 
   archie-updates@bunyip.com.

    archie.ac.il               132.65.20.254    (Israel server)
    archie.ans.net             147.225.1.10     (ANS server, NY (USA))
    archie.au                  139.130.4.6      (Australian Server)
    archie.doc.ic.ac.uk        146.169.11.3     (United Kingdom Server)
    archie.edvz.uni-linz.ac.at 140.78.3.8       (Austrian Server)
    archie.funet.fi            128.214.6.102    (Finnish Server)
    archie.internic.net        198.49.45.10     (ATT server, NY (USA))
    archie.kr                  128.134.1.1      (Korean Server)
    archie.kuis.kyoto-u.ac.jp  130.54.20.1      (Japanese Server)
    archie.luth.se             130.240.18.4     (Swedish Server)
    archie.ncu.edu.tw          140.115.19.24    (Taiwanese server)
    archie.nz                  130.195.9.4      (New Zealand server)
    archie.rediris.es          130.206.1.2      (Spanish Server)
    archie.rutgers.edu         128.6.18.15      (Rutgers University (USA))
    archie.sogang.ac.kr        163.239.1.11     (Korean Server)
    archie.sura.net            128.167.254.195  (SURAnet server MD (USA))
    archie.sura.net(1526)      128.167.254.195  (SURAnet alt. MD (USA))
    archie.switch.ch           130.59.1.40      (Swiss Server)
    archie.th-darmstadt.de     130.83.22.60     (German Server)
    archie.unipi.it            131.114.21.10    (Italian Server)
    archie.univie.ac.at        131.130.1.23     (Austrian Server)
    archie.unl.edu             129.93.1.14      (U. of Nebraska, Lincoln (USA))
    archie.uqam.ca             132.208.250.10   (Canadian Server)
    archie.wide.ad.jp          133.4.3.6        (Japanese Server)

3. Remerciements

   Merci  toutes les personnes suivantes, dont les suggestions ont aid
    raliser cette FAQ :
Tomasz Surmacz (tsurmacz@asic.ict.pwr.wroc.pl)
Wolfgang Ley (Ley@rz.tu-clausthal.de)
Russel Street (russells@ccu1.auckland.ac.nz)
Gary Mills (mills@CC.UManitoba.CA)
Nicholas Ironmonger (ndi@sam.math.ethz.ch)
Morten Welinder (terra@diku.dk)
Nick Christenson (npc@minotaur.jpl.nasa.gov)
Mark Hanning-Lee (markhl@romoe.caltech.edu)
Marcus J Ranum <mjr@tis.com>

4. Copyright

   Ce document est  1994 par Christopher Klaus de Internet Security
   Systems, Inc.

   La permission de donner des copies gratuites est accorde. Vous pouvez
   distribuer, transfrer ou rpandre ce papier. Vous ne pouvez pas
   prtendre en tre l'auteur. Cet avertissement doit figurer dans toute
   copie.

   This paper is Copyright () 1994 by Christopher Klaus of Internet
   Security Systems, Inc.

   Permission is hereby granted to give away free copies. You may
   distribute, transfer, or spread this paper. You may not pretend that
   you wrote it. This copyright notice must be maintained in any copy
   made.

5. Dngation de responsabilits

   Les informations contenues dans ce document peuvent changer sans
   pravis. Elles sont prsentes _en l'tat_, et leur utilisation
   constitue une acceptation de cette condition. Elles ne sont nullement
   garanties. En aucun cas l'auteur ou le traducteur ne pourront tre
   tenus responsables des dommages pouvant rsulter directement ou
   indirectement de l'usage ou de la diffusion de ces informations. Tout
   usage se fait aux risques de l'utilisateur lui-mme.

6. Adresse de l'auteur

   Vous pouvez envoyer vos suggestions, mise--jour et commentaires 
Christopher Klaus <cklaus@shadow.net>
Internet Security Systems, Inc. <iss@shadow.net>
Internet Security Systems, Inc.
2209 Summit Place Drive,
Atlanta,GA 30350-2430. (404)998-5871.
