Cómo asegurar un servidor FTP en Linux

El Protocolo de transferencia de archivos, o FTP, es una solución popular para compartir archivos a través de Internet. Creado en 1980, FTP permanece desplegado activamente hoy en día, ya que es compatible de forma nativa en todos los sistemas operativos y ofrece una entrega fiable de archivos arbitrariamente grandes.

Debido a que FTP fue diseñado antes de virus, gusanos y ataques de denegación de servicio llegó a ser común en el Internet, el protocolo permite una serie de Actividades al potencialmente peligrosos.

Antes de ejecutar un servidor FTP en el sistema Linux, debe asegurarse de que ha endurecido su configuración.

Instrucciones

1 Desactive FTP anónimo.

FTP anónimo permite a los usuarios conectarse a su servidor de archivos y la descarga sin una contraseña. Si usted espera que sus usuarios subir archivos, a continuación, permitir FTP anónimo es un riesgo innecesario. Si es necesario dejar que la gente descargar archivos de forma anónima, a continuación, se debe utilizar un servidor Web.

2 Habilitar "chroot) (" apoyo.

Los usuarios de FTP se les permite ver todos los archivos en el servidor, no sólo el contenido de su propio directorio. Un usuario malintencionado podría ser capaz de robar datos confidenciales si los permisos de archivos del sistema no están configurados correctamente.

La mayoría de los servidores FTP mitigar este riesgo, proporcionando un "chroot ()" medio ambiente. En este modo, el propio servidor de cerraduras después de un usuario se conecta. Dentro de la jaula chroot (), el usuario puede acceder a sus propios archivos y nada más.

Ajuste "chroot_local_user = SÍ" en /etc/vsftpd.conf para permitir (apoyo chroot) en el servidor vsftpd.

3 Habilitar el cifrado.

Debido a que FTP no ofrece la seguridad de su cuenta, es posible que un intruso para interceptar la contraseña de un usuario sin ser atrapado.

Consulte la documentación del servidor para encontrar su configuración de cifrado. Las funciones de cifrado pueden ser listadas bajo "SSL", "TLS" o "FTPS."

Para activar el cifrado en vsftpd se ejecuta en Linux Ubuntu, ajuste "ssl_enable = SÍ" en /etc/vsftpd.conf.

4 Desactivar las cuentas del sistema.

Muchas cuentas en los sistemas Linux tienen el propósito de ser utilizado sólo por el propio sistema. Si alguna de la "raíz" o "demonio" o usuarios "bin" Regístrese, por ejemplo, entonces lo más probable es que alguien está tratando de atacar a su servidor FTP.

Para mantener estos usuarios puedan acceder, añadir sus nombres, uno por línea, en el archivo / etc / ftpusers. También debe añadir los nombres de usuario de los usuarios legítimos que no necesitan para acceder al servidor FTP.

5 Asignar a los usuarios conchas ficticias.

cuentas FTP pueden hacer más que subir archivos: también tienen permiso para iniciar sesión remotamente en el sistema Linux. Cualquier cuenta con una cáscara válido puede iniciar la sesión de forma interactiva.

El programa / bin / true es un shell simulado adecuado: se devuelve inmediatamente el control al sistema operativo. Para permitir / bin / true como una concha ficticia, editar el archivo "/ etc / shells" y añadir "/ bin / true" a la lista.

Para cada usuario FTP, utilice el comando "chsh" para cambiar el shell del usuario a la envolvente simulado. Para cambiar la consola de juansoto, por ejemplo, emitir el comando "chsh -s / bin / true juansoto."

Consejos y advertencias

• FTP requiere que su tráfico no será recibido por un servidor de seguridad - una petición razonable sobre la Internet de hoy. Para solucionar el problema, utilice un cortafuegos de estado con la ayuda para el tráfico FTP. En los firewalls Cisco, utilice el comando "ftp protocolo de corrección"; en el cortafuegos de Linux, "nf_conntrack_ftp modprobe; modprobe nf_nat_ftp."
• FTP anónimo es peligroso si se deja sin garantía. Si debe permitir el acceso FTP anónimo, asegúrese de que impedir que usuarios anónimos la posibilidad de subir archivos. servidores FTP anónimos no garantizados son un vector preferido con el que compartir material de copywritten ilegal.