INSTITUTO SUPERIOR TECNOLGICO PRIVADO IDAT PIURA

SERVIDOR FTP EN CENTOS LINUX

FTP significa File Transfer Protocol, Protocolo para la Transferencia de Archivos. Qu es un servidor FTP? Un servidor FTP es un programa especial que se ejecuta en un servidor conectado normalmente en Internet (aunque puede estar conectado en otros tipos de redes, LAN, MAN, etc.). La funcin del mismo es permitir el desplazamiento de datos entre diferentes servidores / ordenadores. El acrnimo de FTP es protocolo de transferencia de ficheros (File Transfer Protocol) y es un software cliente/servidor que permite a usuarios transferir ficheros entre ordenadores en una red TCP/IP. FTP tiene sus orgenes en 1971, y aunque ha evolucionado con el paso de los aos, es uno de los protocolos ms antiguos que todava estn en uso. Hoy en da se usa principalmente en redes corporativas y la red ms grande que existe, Internet. El funcionamiento es sencillo. Una persona desde su ordenador invoca un programa cliente FTP para conectar con otro ordenador, que a su vez tiene instalado el programa servidor FTP. Una vez establecida la conexin y debidamente autenticado el usuario con su contrasea, se pueden empezar a intercambiar archivos de todo tipo.

Instalando nuestro Servidor FTP (Vsftpd)

Instalando paquetes necesarios en centos:

ARCHIVOS DE CONFIGURACIN DE NUESTRO FTP

/etc/vsftpd/vsftpd.conf = Archivo de configuracin de VSFTPD. /etc/vsftpd/chroot_list = Lista que definir usuarios a enjaular o no a enjaular, dependiendo de la configuracin.

INSTITUTO SUPERIOR TECNOLGICO PRIVADO IDAT PIURA El archivo /etc/vsftpd/chroot_list es inexistente, debemos crearlo con el siguiente comando: touch /etc/vsftpd/chroot_list

Iniciando Nuestro Servidor FTP

service vsftpd start

Agregamos el servicio vsftpd al arranque automatico de Centos

chkconfig vsftpd on

Parmetros del archivo vsftpd.conf

Parmetro anonymous_enable : Se utiliza para definir si se permitirn los accesos annimos al servidor. Establezca como valor YES o NO de acuerdo a lo que se requiera. anonymous_enable=YES Parmetro local_enable : Establece si se van a permitir los accesos autenticados de los usuarios locales del sistema. Establezca como valor YES o NO de acuerdo a lo que se requiera. local_enable=YES Parmetro write_enable : Establece si se permite el mandato write (escritura) en el servidor. Establezca como valor YES o NO de acuerdo a lo que se requiera. write_enable=YES Parmetros anon_upload_enable y anon_mkdir_write_enable : El parmetro anon_upload_enable especfica si los usuarios annimos tendrn permitido subir contenido al servidor. Por lo general no es una funcin deseada, por lo que se acostumbra desactivar sta. anon_upload_enable=NO El parmetro anon_mkdir_write_enable especfica si los usuarios annimos tendrn permitido crear directorios en el servidor. Al igual que la anterior, por lo general no es una funcin deseada, por lo que se acostumbra desactivar sta. anon_mkdir_write_enable=NO Si se desea que los usuarios annimos puedan subir archivos al servidor FTP, se deben dejar estos dos parmetros con valor YES, guardar el archivo /etc/vsftpd/vsftpd.conf y regresar al intrprete de mandatos para crear un directorio denominado /var/ftp/incoming, el cual debe pertenecer al usuario y grupo ftp.

INSTITUTO SUPERIOR TECNOLGICO PRIVADO IDAT PIURA mkdir /var/ftp/incoming chown ftp:ftp /var/ftp/incoming Se recomienda que /var/ftp/incoming est asignado como una particin independiente al resto del sistema, o bien se le aplique cuota de disco al usuario ftp, porque de otro modo cualquiera podra fcilmente saturar el espacio de disco disponible, desencadenando una denegacin de servicio en el servidor. Parmetro ftpd_banner : Este parmetro sirve para establecer el bandern de bienvenida que ser mostrado cada vez que un usuario acceda al servidor. Puede establecerse cualquier frase breve que considere conveniente, pero sin signos de puntuacin. ftpd_banner=Bienvenido al servidor IDAT PIURA FTP Estableciendo jaulas para los usuarios: parmetros chroot_local_user, y chroot_list_file De modo predeterminado los usuarios del sistema que se autentiquen tendrn acceso a otros directorios del sistema fuera de su directorio personal. Si se desea limitar a los usuarios a slo poder utilizar su propio directorio personal, puede hacerse fcilmente con el parmetro chroot_local_user que habilitar la funcin de chroot(), y los parmetros chroot_list_enable, y chroot_list_file, para establecer el archivo con la lista de usuarios que quedarn excluidos de la funcin chroot(). chroot_local_user=YES chroot_list_enable=YES chroot_list_file=/etc/vsftpd/chroot_list Con lo anterior, cada vez que un usuario local se autentique en el servidor FTP, slo tendr acceso a su propio directorio personal, y lo que ste contenga. Por favor, recuerde crear el archivo /etc/vsftpd/chroot_list, ya que de otro modo ser imposible que funcione correctamente el servicio vsftpd. Parmetros pasv_min_port y pasv_max_port Ambos estn ausentes en el archivo /etc/vsftpd/vsftpd.conf, pero pueden ser aadidos en cualquier parte de ste. Permiten establecer el rango arbitrario de puertos utilizados para las conexiones pasivas. Puede elegirse cualquier rango de puertos entre 1024 y 65535, mismo que deber ser habilitado en el muro cortafuegos del servidor. En el siguiente ejemplo se establece el rango de puertos para conexiones pasivas de 30300 a 30309: pasv_min_port=30300 pasv_max_port=30309

INSTITUTO SUPERIOR TECNOLGICO PRIVADO IDAT PIURA Control del ancho de banda Parmetro anon_max_rate Se utiliza para limitar la tasa de transferencia, en bytes por segundo, para los usuarios annimos, algo sumamente til en servidores FTP de acceso pblico. En el siguiente ejemplo se limita la tasa de transferencia a 500 Kb por segundo para los usuarios annimos: anon_max_rate=524288 Parmetro local_max_rate Hace lo mismo que anon_max_rate, pero aplica para usuarios locales del servidor. En el siguiente ejemplo se limita la tasa de transferencia a 1 MB por segundo para los usuarios locales: local_max_rate=1048576 Parmetro max_clients Establece el nmero mximo de clientes que podrn acceder simultneamente hacia el servidor FTP. En el siguiente ejemplo se limitar el acceso a 20 clientes simultneos. max_clients=20 Parmetro max_per_ip Establece el nmero mximo de conexiones que se pueden realizar desde una misma direccin IP. Tome en cuenta que algunas redes acceden a travs de un servidor intermediario (Proxy) o puerta de enlace, y debido a sto podran quedar bloqueados innecesariamente algunos accesos. En el siguiente ejemplo se limita el nmero de conexiones por IP simultneas a un mximo de 10.
max_per_ip=10

Soporte SSL/TLS
Siendo que todos los datos enviados a travs del protocolo FTP se hacen en texto simple (incluyendo nombres de usuario y claves de acceso), hoy en da es muy peligroso operar un servidor FTP sin SSL/TLS. VSFTPD puede ser configurado fcilmente para utilizar los protocolos SSL (Secure Sockets Layer, o Nivel de Zcalo Seguro), y TLS (Transport Layer Security, o Seguridad para Nivel de Transporte) a travs de un certificado RSA. Acceda al sistema como el usuario root Acceda al directorio /etc/pki/tls/ cd /etc/pki/tls/
El certificado y firma digital se pueden generar utilizando el siguiente mandato, para lo cual se utilizar una estructura X.509, algoritmo de cifrado RSA de 1024 kb, sin Triple DES, el cual

INSTITUTO SUPERIOR TECNOLGICO PRIVADO IDAT PIURA

permita iniciar normalmente, sin interaccin alguna, al servicio vsftpd, con una validez por 1825 das (cinco aos). Por favor, ejecute, desde la terminal, el siguiente mandato: openssl req -x509 -nodes -days 1825 -newkey rsa:1024 -keyout private/vsftpd.key out certs/vsftpd.crt

El archivo vsftpd.crt y vsftpd.key, deben tener permisos de slo lectura para el usuario root. chmod 400 certs/vsftpd.crt private/vsftpd.key Regrese al directorio de inicio del usuario root. Cd Edite el archivo /etc/vsftpd/vsftpd.conf: vim /etc/vsftpd/vsftpd.conf Una vez concluida la configuracin, reinicie el servicio vsftpd ejecutando el siguiente mandato: service vsftpd restart

INSTITUTO SUPERIOR TECNOLGICO PRIVADO IDAT PIURA

Creamos un usuario restringido con password

[root@piura ~]# useradd -s /sbin/nologin jaime [root@piura~]# passwd jaime