Administracin Redes GNU/Linux 2010

Javier Armas Villn - BS Buffa Sistemas

Administracin y Configuracin del Servidor FTP

1.
2.
3.
4.
5.
6.
7.

Introduccin
Instalacin del software
Archivos de configuracin
Parmetros importantes del archivo de configuracin vsftpd.conf
Estableciendo lmites o jaulas para los usuarios
Control del ancho de banda
Levantando el servicio

1.- Introduccin
Very Secure FTP Daemon es un software utilizado para implementar servidores de
archivos a travs del protocolo FTP.
Se distingue principalmente porque sus valores por defecto son muy seguros y por
su sencillez en la configuracin, comparado con otras alternativas como WU-FTPD.
Actualmente se presume que VSFTPD es quiz el servidor FTP ms seguro del
mundo.

2.- Instalacin del software

Instalamos los paquetes del Servidor de VFTP tipeando en la consola el siguiente
comando:
apt-get install vsftpd
El sitio donde se puede bajar el paquete es http://vsftpd.beasts.org

3.- Archivos de configuracin

Los archivos de configuracin con los que trabajaremos son dos:
a. /etc/vsftpd.user_list
La lista que definir los usuarios autorizados a conectarse o no, dependiendo
de la configuracin (veremos esto seguidamente)
b. /etc/vsftpd/vsftpd.conf
El archivo de configuracin principal
En el curso la ruta que encontramos fue esta: /usr/local/sbin/vsftpd

4.- Parmetros importantes del archivo de configuracin vsftpd.conf

a. Parmetro anonymous_enable

Administracin y Configuracin del Servidor FTP

Administracin Redes GNU/Linux 2010

Javier Armas Villn - BS Buffa Sistemas

Este parmetro se utiliza para definir si se permitirn los accesos annimos al

servidor. Estableceremos los valores YES o NO de acuerdo a lo que queramos
permitir.
anonymous_enable=YES
b. Parmetro local_enable
Este parmetro es particularmente atractivo si se combina con la funcin de jaula
que establece si se van a permitir los accesos autenticados de los usuarios locales
del sistema.
Definiremos este valor por YES o NO de acuerdo a lo que queramos habilitar segn
el servidor que estemos configurando.
local_enable=YES
c. Parmetro write_enable
Este parmetro establece si se permite el mandato write (escritura) en el servidor.
El valor establecido por defecto es YES. Pero podemos modificarlo si deseamos
crear un servidor que slo permite bajar archivos.
write_enable=YES
d. Parmetro ftpd_banner
Este parmetro sirve para establecer el mensaje de bienvenida que ser mostrado
cada vez que un usuario acceda a nuestro servidor. Podemos definir cualquier frase
breve que nos parezca conveniente y que de poca informacin sobre nuestro
servidor.
ftpd_banner=Bienvenido al servidor FTP de nuestra empresa
e. Parmetros userlist_enable y userlist_deny
userlist_enable=NO/YES
userlist_deny=NO/YES
La opcin "userlist_enable" le indica a vsftpd si consultar o no consultar 2
archivos: vsftpd.ftpusers y vsftpd.user_list. Si est opcin es establecida a "YES", los
2 archivos funcionan como una lista de usuarios que estn autorizados a conectarse
al servidor FTP. Sin embargo, cuando es usada en combinacin con la opcin
"userlist_deny=YES", los 2 archivos funcionan como una lista de usuarios que NO
estn autorizados a conectarse al servidor FTP.
Esta opcin es muy til para negar completamente el acceso FTP a usuarios crticos
del sistema como "root", "apache" o "www". Una muy buena capa de seguridad para
el servidor FTP.

Administracin y Configuracin del Servidor FTP

Administracin Redes GNU/Linux 2010

Javier Armas Villn - BS Buffa Sistemas

Cuando la opcin "userlist_deny" es utilizada, la naturaleza de la denegacin de

servicio FTP que un usuario prohibido recibe difiere dependiendo de en cual de los 2
archivos este listado.
Si un usuario esta listado en el archivo "vsftpd.user_list" y la opcin "userlist_deny"
est activada, a los usuarios ni siquiera se les preguntar por una contrasea
cuando intenten conectarse al servidor FTP. Son rechazados desde el principio.
Si un usuario es listado dentro de el archivo "vsftpd.ftpusers" y la opcin
"userlist_deny" esta activada, a los usuarios se les preguntar por una contrasea,
pero nunca podrn iniciar sesin.

5.- Estableciendo lmites o jaulas para los usuarios

De modo predefinido los usuarios del sistema que se autentiquen tendrn acceso a
otros directorios del sistema fuera de su directorio personal.
Si lo que queremos es limitar a los usuarios a slo poder utilizar su directorio
personal, tendremos que utilizar el parmetro chroot_local_user. Este parmetro
habilitar la funcin de chroot() y los parmetros chroot_list_enable y chroot_list_file
para establecer el archivo con la lista de usuarios que quedarn excluidos de la
funcin chroot().
Si seteamos los parmetros de la forma que sigue:
chroot_local_user=YES
chroot_list_enable=YES
chroot_list_file=/etc/vsftpd/vsftpd.chroot_list
tenemos que cada vez que un usuario local se autentique en el servidor FTP, slo
tendr acceso a su propio directorio y lo que este contenga.
No nos tenemos que olvidar de crear el archivo:
/etc/vsftpd/vsftpd.chroot_list
Este archivo establece una lista de usuarios que sern enjaulados a su directorio
home. Si no se crea este archivo, habiendo habilitado la limitacin explicada
anteriormente, no arrancar vsftpd.

6.- Control del ancho de banda

Si queremos limitar la tasa de transferencia de bytes por segundo para los usuarios
annimos utilizaremos el parmetro anon_max_rate. Es sumamente til en
servidores FTP de acceso pblico.
En el siguiente ejemplo limitaremos la tasa de transferencia a 5 KB por segundo
para los usuarios annimos:

Administracin y Configuracin del Servidor FTP

Administracin Redes GNU/Linux 2010

Javier Armas Villn - BS Buffa Sistemas

anon_max_rate=5120
Con el parmetro local_max_rate haremos lo mismo que anon_max_rate, pero ser
vlido para los usuarios locales del servidor:
local_max_rate=5120
Con el parmetro max_clients estableceremos el nmero mximo de clientes que
podrn acceder simultneamente al servidor FTP.
En la lnea que sigue limitaremos el acceso a 5 clientes simultneos:
max_clients=5
Con el parmetro que sigue estableceremos el nmero mximo de conexiones que
se pueden realizar desde una misma direccin IP, por ejemplo limitaremos el
nmero de conexiones a 5:
max_per_ip=5
Tengamos en cuenta que algunas redes acceden a travs de un Servidor Proxy o
puerta de enlace y debido a esto podran quedar bloqueados innecesariamente
algunos accesos.

7.- Levantando el servicio

Luego de todos los cambios que realicemos, ejecutamos el comando:
/etc/init.d/vsfptd restart

Administracin y Configuracin del Servidor FTP