Академический Документы
Профессиональный Документы
Культура Документы
INSTITUTO SUPERIOR TECNOLGICO PRIVADO IDAT PIURA El archivo /etc/vsftpd/chroot_list es inexistente, debemos crearlo con el siguiente comando: touch /etc/vsftpd/chroot_list
INSTITUTO SUPERIOR TECNOLGICO PRIVADO IDAT PIURA mkdir /var/ftp/incoming chown ftp:ftp /var/ftp/incoming Se recomienda que /var/ftp/incoming est asignado como una particin independiente al resto del sistema, o bien se le aplique cuota de disco al usuario ftp, porque de otro modo cualquiera podra fcilmente saturar el espacio de disco disponible, desencadenando una denegacin de servicio en el servidor. Parmetro ftpd_banner : Este parmetro sirve para establecer el bandern de bienvenida que ser mostrado cada vez que un usuario acceda al servidor. Puede establecerse cualquier frase breve que considere conveniente, pero sin signos de puntuacin. ftpd_banner=Bienvenido al servidor IDAT PIURA FTP Estableciendo jaulas para los usuarios: parmetros chroot_local_user, y chroot_list_file De modo predeterminado los usuarios del sistema que se autentiquen tendrn acceso a otros directorios del sistema fuera de su directorio personal. Si se desea limitar a los usuarios a slo poder utilizar su propio directorio personal, puede hacerse fcilmente con el parmetro chroot_local_user que habilitar la funcin de chroot(), y los parmetros chroot_list_enable, y chroot_list_file, para establecer el archivo con la lista de usuarios que quedarn excluidos de la funcin chroot(). chroot_local_user=YES chroot_list_enable=YES chroot_list_file=/etc/vsftpd/chroot_list Con lo anterior, cada vez que un usuario local se autentique en el servidor FTP, slo tendr acceso a su propio directorio personal, y lo que ste contenga. Por favor, recuerde crear el archivo /etc/vsftpd/chroot_list, ya que de otro modo ser imposible que funcione correctamente el servicio vsftpd. Parmetros pasv_min_port y pasv_max_port Ambos estn ausentes en el archivo /etc/vsftpd/vsftpd.conf, pero pueden ser aadidos en cualquier parte de ste. Permiten establecer el rango arbitrario de puertos utilizados para las conexiones pasivas. Puede elegirse cualquier rango de puertos entre 1024 y 65535, mismo que deber ser habilitado en el muro cortafuegos del servidor. En el siguiente ejemplo se establece el rango de puertos para conexiones pasivas de 30300 a 30309: pasv_min_port=30300 pasv_max_port=30309
INSTITUTO SUPERIOR TECNOLGICO PRIVADO IDAT PIURA Control del ancho de banda Parmetro anon_max_rate Se utiliza para limitar la tasa de transferencia, en bytes por segundo, para los usuarios annimos, algo sumamente til en servidores FTP de acceso pblico. En el siguiente ejemplo se limita la tasa de transferencia a 500 Kb por segundo para los usuarios annimos: anon_max_rate=524288 Parmetro local_max_rate Hace lo mismo que anon_max_rate, pero aplica para usuarios locales del servidor. En el siguiente ejemplo se limita la tasa de transferencia a 1 MB por segundo para los usuarios locales: local_max_rate=1048576 Parmetro max_clients Establece el nmero mximo de clientes que podrn acceder simultneamente hacia el servidor FTP. En el siguiente ejemplo se limitar el acceso a 20 clientes simultneos. max_clients=20 Parmetro max_per_ip Establece el nmero mximo de conexiones que se pueden realizar desde una misma direccin IP. Tome en cuenta que algunas redes acceden a travs de un servidor intermediario (Proxy) o puerta de enlace, y debido a sto podran quedar bloqueados innecesariamente algunos accesos. En el siguiente ejemplo se limita el nmero de conexiones por IP simultneas a un mximo de 10.
max_per_ip=10
Soporte SSL/TLS
Siendo que todos los datos enviados a travs del protocolo FTP se hacen en texto simple (incluyendo nombres de usuario y claves de acceso), hoy en da es muy peligroso operar un servidor FTP sin SSL/TLS. VSFTPD puede ser configurado fcilmente para utilizar los protocolos SSL (Secure Sockets Layer, o Nivel de Zcalo Seguro), y TLS (Transport Layer Security, o Seguridad para Nivel de Transporte) a travs de un certificado RSA. Acceda al sistema como el usuario root Acceda al directorio /etc/pki/tls/ cd /etc/pki/tls/
El certificado y firma digital se pueden generar utilizando el siguiente mandato, para lo cual se utilizar una estructura X.509, algoritmo de cifrado RSA de 1024 kb, sin Triple DES, el cual
El archivo vsftpd.crt y vsftpd.key, deben tener permisos de slo lectura para el usuario root. chmod 400 certs/vsftpd.crt private/vsftpd.key Regrese al directorio de inicio del usuario root. Cd Edite el archivo /etc/vsftpd/vsftpd.conf: vim /etc/vsftpd/vsftpd.conf Una vez concluida la configuracin, reinicie el servicio vsftpd ejecutando el siguiente mandato: service vsftpd restart