Vamos a panel superior -> Aplicaciones -> Accesorio -> Terminal y entramos como root luego procedemos a instalar los siguientes paquetes.
# aptitude install proftpd-basic proftpd-doc
Durante la instalación, debe seleccionarse el modo de funcionamiento "standalone"
Configuración
Toda la configuración de ProFTPD queda almacenada en el archivo /etc/proftpd/proftpd.conf.
La instalación está predeterminada para activar el soporte IPV6 de ProFTPD. Como nuestro servidor apenas soporta IPV4, la opción IPV6 debe desactivarse, con el fin de evitar mensajes de error durante el arranque del servicio.
#[...]
# Set off to disable IPv6 support which is annoying on IPv4 only boxes.
UseIPv6 off
#[...]
Verificar que el servidor esté configurado como standalone:
#
ServerName "Debian"
ServerType standalone
DeferWelcome off
#
Finalmente, reiniciar el servidor ftp:
# /etc/init.d/proftpd restart
Opciones de seguridad: restricción de accesos
De forma predeterminada, el servidor ProFTPD permite que el usuario navegue por todo el sistema de archivos al que normalmente tiene acceso. Sin embargo ProFTPD permite restringir el acceso a tan sólo una sección de las ramas del árbol de directorios. De esta forma, el cliente queda confinado a estas ramas, y por ende, no puede acceder a ningún recurso por fuera de este ámbito, lo que constituye una opción muy segura.
En el archivo de configuración de ProFTPD, el parámetro DefaultRoot debe indicar el directorio que permitirá el acceso del cliente vía ftp.
Acceso restringido al home del usuario
Para esto, basta con indicar ~ como DefaultRoot en el fichero /etc/proftpd/proftpd.conf:
#
# Use this to jail all users in their homes
DefaultRoot ~
#
Acceso restringido a un directorio específico
En este caso, se restringe el acceso a un solo directorio específico dentro del directorio home. Para esto, debe crearse primero el respectivo directorio, y después modificar la configuración del servidor en el archivo/etc/proftpd/proftpd.conf:
#
DefaultRoot ~/ftp
#
En seguida, cada usuario que pretenda acceder vía ftp, debe crear un directorio llamado ftp, en su home:
$ mkdir ~/ftp
Por último, debe reiniciar el servicio ftp para activar las alteraciones:
# /etc/init.d/proftpd restart
Para utilizar se puede acceder desde el navegador colocando ftp://IP_Server_FTP y colocando la clave y el usuario de la maquina se puede acceder a la informacion colocada en la carpeta /ftp
Acceso ftp anónimo
Objetivo
El paquete ProFTPD puede configurarse de modo que permita el acceso a usuarios anónimos en nuestra área restringida. Para evitar usos abusivos, el acceso anónimo sólo debe permitir el acceso en modo lectura, prohibiendo cualquier escritura en el área anónima.
Por seguridad, el acceso también debe restringirse al directorio home de ProFTPD, situado en /home/ftp.
Configuración
Debe activarse la sección Anonymous del archivo /etc/proftpd/proftpd.conf:
#
# A basic anonymous configuration, no upload directories.
<Anonymous ~ftp>
User ftp
Group nogroup
# We want clients to be able to login with "anonymous" as well as "ftp"
UserAlias anonymous ftp
# Cosmetic changes, all files belongs to ftp user
DirFakeUser on ftp
DirFakeGroup on ftp
RequireValidShell off
# Limit the maximum number of anonymous logins
MaxClients 10
# We want 'welcome.msg' displayed at login, and '.message' displayed
# in each newly chdired directory.
DisplayLogin welcome.msg
DisplayChdir .message
# Limit WRITE everywhere in the anonymous chroot
<Directory *>
<Limit WRITE>
DenyAll
</Limit>
</Directory>
# Uncomment this if you're brave.
# <Directory incoming>
# # Umask 022 is a good standard umask to prevent new files and dirs
# # (second parm) from being group and world writable.
# Umask 022 022
# <Limit READ WRITE>
# DenyAll
# </Limit>
# <Limit STOR>
# AllowAll
# </Limit>
# </Directory>
</Anonymous>
Luego, reiniciar el servicio ftp para activar las alteraciones:
# /etc/init.d/proftpd restart
Podemos acceder Al servidor ftp a través de un simple navegador, o utilizando un cliente ftp, como Filezilla
usuario: anonymous
passw:
Acceso seguro FTPS (TLS/SSL)
Objetivo
El protocolo ftp se considera inseguro, porque los nombres de los usuarios y sus contraseñas se transmiten como simple texto, es decir, sin protección. Por esto, son fáciles de interceptar por terceros.
Sin embargo, el servidor ProFTPD puede ser configurado de modo que pueda exigir la autenticación a los usuarios, así como la transmisión de datos encriptados con la activación del soporte TLS (Transport Layer Security).
Configuración
De manera predeterminada, la configuración de ProFTPD (ver 4.2.1. ProFTPD), el soporte TLS (mod_tls.c) está desactivado. Su activación tiene dos etapas. Primero se debe configurar el módulo TLS en el archivo de configuración /etc/proftpd/tls.conf Segundo, esta configuración debe incluirse en el archivo principal /etc/proftpd/proftpd.conf.
La configuración del módulo TLS se hace en el fichero /etc/proftpd/tls.conf:
#
<IfModule mod_tls.c>
TLSEngine on
TLSLog /var/log/proftpd/tls.log
TLSProtocol SSLv23
#
# Server SSL certificate. # [...]
#
TLSRSACertificateFile /etc/ssl/certs/server.crt
TLSRSACertificateKeyFile /etc/ssl/private/server.key.insecure
#
# Are clients required to use FTP over TLS when talking to this server?
#
TLSRequired on
#
Los certificados usados TLSRSACertificateFile y TLSRSACertificateKeyFile ya fueron generados previamente, en 3.5. Certificados Ssl. La opción TLSRequired on obliga a que los clientes ftp utilicen el protocolo TLS, en caso contrario, la conexión será rechazada. Si esta opción fuera desactivada (TLSRequired off), el servidor aceptará conexiones seguras e inseguras.
Esta configuración debe incluirse en el archivo de configuración principall /etc/proftpd/proftpd.conf:
#
#
# This is used for FTPS connections
#
Include /etc/proftpd/tls.conf
#
Por último, debe reiniciarse el servicio ftp para activar las alteraciones:
# /etc/init.d/proftpd restart
Utilización
Al servidor ftp puede accederse a través de un cliente ftp que soporte el protocolo TLS, como Filezilla. Para esto, deberá indicarse explícitamente que pretendemos una conexión al servidor ftp explícitamente con TLS
Luego de que se establezca la conexión, aparecerá una ventana donde se muestra el certificado utilizado y se pide que se confirme:
Cuando se acepte el certificado, todas las comunicaciones entre el cliente y el servidor estarán encriptadas y seguras.
No hay comentarios:
Publicar un comentario