Servidor FTP seguro con Debian y ProFTPD

http://www.esdebian.org/seguridad/23791/servidor...

Ingres como latino | Salir

La mayor comunidad de Debian en espaol

esDebian

Buscar

Inicio

Wiki

Artculos

Blogs

Videos

Foro

Qu haces?

1 de 3

29/05/11 18:16

Servidor FTP seguro con Debian y ProFTPD

http://www.esdebian.org/seguridad/23791/servidor...

Conexiones Principal

Mi perfil

Envos recientes

Soplona

Crear contenido

Mi cuenta

Informacin

Contacto

Servidor FTP seguro con Debian y ProFTPD

Enviado por Obi-Wan el 22 Julio, 2005 - 09:21. Seguridad

Uno de los antiguos servicios bsicos de Internet es sin duda el que hoy da sigue generando mayor peligro en nuestros sistemas: FTP o File Transfer Protocol, es decir Protocolo para la Transferencia de Ficheros, que aunque va siendo reemplazado cada da mas por las redes P2P y el protocolo HTTP sigue teniendo una gran importancia. Cual es el problema de FTP? Sencillamente que todas las transferencias se hacen sin ningn tipo de cifrado, por lo que todos los comandos y datos (y lo que es ms grave, los datos de usuario y contrasea) que enviemos y recibamos pueden ser capturados por terceras personas. Algunos se estarn preguntando por que no usar RSSH, que aportara una solucin sobre servidores SSH. La razn es que quiero servicios totalmente independientes, que corran sobre puertos diferentes y que me permitan opciones adicionales. En mi caso usar ProFTPD, ya que es un servidor soportado por Webmin, con lo que la configuracin puede simplificarse para algunas cosas. De todas formas recomiendo configurar a mano todo. Instalar ProFTPD es muy sencillo, basta con ejecutar como root el comando: apt-get install proftpd Con eso quedar todo configurado por defecto. CHROOT est activo por defecto, con lo que nuestros usuarios quedan ceidos estrictamente a su directorio HOME, del que no pueden salir. Pero falta ensear a ProFTPD como reconocer conexiones TLS, y si lo deseamos, ensearle a que fuerce a los usuarios a utilizar TLS (altamente recomendado). Lo primero es generar un certificado para el servidor, ejecutando (de nuevo como root): make-ssl-cert /usr/share/ssl-cert/ssleay.cnf /etc/ssl/certs/proftpd.pem Necesitaremos introducir los datos pertinentes. Ahora editamos /etc/proftpd.conf (siempre como root) y aadimos al final lo siguiente:
<IfModule mod_tls.c> TLSEngine on TLSLog /var/ftpd/tls.log TLSProtocol TLSv1 # Obligar a los clientes a usar TLS (on/off) TLSRequired on # Certificado del Servidor TLSRSACertificateFile /etc/ssl/certs/proftpd.pem # Permitir a usuarios que deseen usar FTP sobre TLS (on/off) TLSVerifyClient on </IfModule>

Tras ello reiniciamos el servidor ftp con: /etc/init.d/proftpd restart Y listo! Con la configuracin que acabamos de poner SOLO quien use TLS podr identificarse en el servidor. Las contraseas ya no viajarn nunca en texto plano.

Documentacin empleada: FTPS: http://www.ford-hutchinson.com/~fh-1-pfh/ftps-ext.html Documentacin ProFTPD - mod_tls: http://www.castaglia.org/proftpd/modules/mod_tls.html ProFTPD mini-HOWTO - SSL/TLS: http://www.castaglia.org/proftpd/doc/contrib/ProFTPD-mini-HOWTO-TLS.html Copyright (c) 2005 Julio Gonzlez Gil. Este artculo puede copiarse, distribuirse y/o modificarse bajo los trminos de la Licencia GNU para Documentacin Libre 1.1 o superior, manteniendo esta nota en su totalidad
Responder 41905 lecturas Citar Suscribirse

Enviado por tazok el 5 Agosto, 2005 - 07:24.

Algunos se estarn preguntando por que no usar RSSH, que aportara una solucin sobre servidores SSH. La razn es que quiero servicios totalmente independientes, que corran sobre puertos diferentes y que me permitan opciones adicionales. Varias cosas: al usar el TLS los clientes ftp deben tener soporte para TLS y eso no es algo comn entre ellos. Es decir si usas el sshd TODOS los clientes tienen el soporte ya que es inherente al protocolo, por lo tanto no fuerzas a nadie a usar un cliente modificado con soporte ya que todos lo traen. El cifrado surgi como un parche a un protocolo inseguro, lo que provoca que no todos los clientes tengan soporte (son pocos los que lo tienen). Por lo tanto

2 de 3

29/05/11 18:16

Servidor FTP seguro con Debian y ProFTPD

mejor usar ssh o rssh ya que su uso es independiente del cliente.

http://www.esdebian.org/seguridad/23791/servidor...

De tu afirmacin de arriba: ssh no tiene por qu correr en el puerto 22, es ms, puedes tener muchos demonios de ssh corriendo en puertos distintos y con configuraciones distintas (son servicios distintos con opciones adicionales si es preciso). Por lo tanto no entiendo tu afirmacin. Por ltimo, aadir soporte de cifrado al protocolo de ftp ya es de por s un riesgo de seguridad, puesto que cada dos por tres se le encuentran buffers overflows y dems. Esa es la razn por la que yo uso vsftpd (el mejor en cuanto a la seguridad del cdigo fuente respecto a bugs) SIN soporte SSL . Para defenderse de ellos, el demonio de ssh se dise para "droppear" los privilegios y que la comunicacin se hiciera en base a un "fork" carente de ellos, cosa que no ocurre en los ftp. Por lo tanto: pierdo confidencialidad pero gano seguridad frente a exploits, a lo que aado que al ser un servidor SLO annimo y de slo lectura no me preocupa en exceso ya que no viaja informacin sensible. Un consejo: No elijas tu servidor por la facilidad de configuracin sino por las cualidades de seguridad/rendimiento/fiabilidad que posea (la seguridad no depende tanto del cifrado sino de la claridad y el buen hacer del cdigo fuente y la cantidad de bugs que se le saquen es un gran ndice de ello). --"Don't accept that what's happening; Is just a case of others' suffering; Or you'll find that you're joining in -Pink Floyd- On the turning away.
Responder Citar

Enviado por tazok el 5 Agosto, 2005 - 07:45.

PD: me baso en dar mi opinin acerca de vsftpd a que no ha tenido nunca un exploit remoto serio y eso es ndice de que el cdigo fuente es bueno. He de aadir algo ms: El chroot es una barrera MUY dbil, es decir, si se aprovecha una vulnerabilidad del servicio ftp (que corre como superusuario) un atacante ya tendra los permisos necesarios para escapar de ella. Distinto sera que el servicio no fuera lanzado como superusuario (un servicio que escuche en un puerto alto por ejemplo) ya que en caso de explotacin el atacante accedera con los permisos de un usuario normal y corriente (unprivilegiado) y carece de los privilegios necesarios para escapar. Ah tendra que buscar la utilizacin de un exploit local para escalar y poder hacerlo. --"Don't accept that what's happening; Is just a case of others' suffering; Or you'll find that you're joining in -Pink Floyd- On the turning away.
Responder Citar

Enviado por Obi-Wan el 5 Agosto, 2005 - 10:55.

Respondo aqu, ya que no me deja contestaros en vuestros hilos y no se el motivo. Habra incluido otros soportes mas 'estandar' para FTP seguro, pero como visteis en los documentos adjuntos, o rompen el RFC o bien el IETF no los apoya. Solo AUTH TLS cumple esos requisitos. Si, se puede usar SSH, sin embargo no quera romperme los cuernos, y los overflows y dems que puedan afectar a estos cifrados, tambin afectarn a muchas mas aplicaciones que usen SSL, entre ellas servidores IMAP, POP3, HTTP, SMTP, etc... La solucin que tu propones de dejar que vayan los datos sin encriptar no es solucin, ya que mucha gente (obviamente es a la que iba dirigido este artculo) no le dar al FTP un uso annimo, con lo que viajan contraseas del sistema, que pueden dar acceso a mas servicios en algunos casos. En algo estoy de acuerdo, debera mirar ms a fondo el historial de seguridad de ProFTPD, pero como tampoco conozco el de VSFTPD, no te puedo decir cual de los dos es mejor/peor. El tema de la jaula CHROOT, tienes razn, debera haber comentado que ProFTPD puede funcionar tambin como usuario no privilegiado (en mi sistema el usuario ftp), evitando esos problemas que comentas. Espero haber aclarado algo con respecto al artculo :-) --Julio Gonzlez Gil http://www.juliogonzalez.info
Responder Citar

3 de 3

29/05/11 18:16