SERVIDOR FTP

La instalacin de VSFTPD es relativamente sencilla , solo debe teclear en terminal el siguiente comando.
[root@ localhost ~]# yum install -y vsftpd

La con iguracin de VSFTPD se reali!ara sobre dos ic"eros distintos, uno de con iguracin general # otro $ara es$eci icar al servidor FTP los usuarios %ue "ar&n uso del acceso. El $rimer ic"ero de con iguracin lo encontramos en la siguiente ruta
/etc/vsftpd/vsftpd.conf

El segundo ic"ero de con iguracin debe ser creado $or usted mismo #a %ue de otra orma nunca $odr& es$eci icar al servidor FTP los usuarios %ue "ar&n uso del acceso. La ruta en la %ue se debe crear dic"o ic"ero es la siguiente'
/etc/vsftpd

( sera nombrado con el nombre siguiente'

)c"root*list+

, este ic"ero deber&n ser agregados los nombres de los usuarios de FTP %ue traba-aran en su directorio de traba-o, de esta manera se restringe a estos usuarios el acceso a otras $artes del sistema o$erativo. ,l inal nuestros arc"ivos deber&n estar ubicados en las siguientes ruta'
/etc/vsftpd/vsftpd.conf /etc/vsftpd/chroot%list ---> Fichero de configuracin propio de !F"#$ ---> Fichero &ue definir' los usuarios &ue har'n uso del acceso de invitado [()*+)($) ,+) )!") F-*.)(/ $)0) !)( 1)2)(3$/ #/( +!")$]

El siguiente $aso sera editar # con igurar los ic"eros %ue $reviamente creamos. Configuracin del fichero vsftpd.conf Para llevar a cabo la con iguracin de este ic"ero le recomendamos usar el editor de te.tos VI/. , continuacin le $resentamos las di erentes o$ciones %ue $ueden ser "abilitadas o negadas en el ic"ero de con iguracin vs t$d.con Habilitando o negando accesos annimos al servidor FTP
anonymous%ena4le56)!72/

Habilitar o negar autenticarse a los usuarios

local%ena4le56)!72/

Habilitar o negar la escritura en el servidor FTP

8rite%ena4le56)!72/

Estableciendo un mensaje de bienvenida en el servidor FTP .

ftpd%4anner50ienvenido al !ervidor F"# de 9inu: #ara "odos

Habilitar el acceso de invitado para ciertos usuarios de FTP

chroot%list%ena4le56)! 72/

0na ve! ubicada esta linea recuerde borrar 1 si es %ue esta 2 el signo de numero 132 $ara "abilitar esta uncin. 4abilitar este $ar&metro indicara al servidor FTP %ue el usuario solo $odr& traba-ar
chroot%list%file5/etc/vsftpd/chroot%list

El $ar&metro
/etc/vsftpd/chroot%list

indica la ruta en la cual se encuentra el ic"ero con los nombres de los usuarios %ue ser&n limitados a traba-ar en su $ro$ia car$eta de traba-o Recuerde %ue usted creo $reviamente este ic"ero Habilitar al usuario annimo la funcin de subir contenido al servidor FTP
anon%upload%ena4le56)!72/

Habilitar al usuario annimo la funcin de crear carpetas en servidor FTP Para "abilitar o negar al usuario crear car$etas en servidor FTP deber& buscar la siguiente linea'
anon%m;dir%8rite%ena4le56)!72/

!)( -$/( !F"#

La orma en %ue se instalaran estos $a%uetes sera tecleando en consola lo siguiente'
[root@ localhost ] # yum install -y openssh openssh-clients openssh-server

Archivos de configuracin del lado del servidor

La ubicacin de los ic"eros re erentes al servidor se encuentran en la ruta'
/etc/ssh/

Dentro del directorio $odemos encontrar los siguientes ic"eros de con iguracin' 5ontiene gru$os Di ie64ellman usados $ara el intercambio de la clave Di ie64ellman %ue es im$rescindible $ara la construccin de una ca$a de trans$orte seguro. 5uando se intercambian las claves al inicio de una sesin SS4, se crea un valor secreto # com$artido %ue no $uede ser determinado $or ninguna de las $artes individualmente. Este valor se usa $ara $ro$orcionar la autenticacin del "ost. El arc"ivo de con iguracin del sistema cliente SS4 $or de ecto. Este arc"ivo se sobrescribe si "a# alguno #a $resente en el directorio $rinci$al del usuario.

moduli

ss"*con ig

ss"d*con i El arc"ivo de con iguracin $ara el demonio ss"d. g ss"*"ost*d La clave $rivada DS, usada $or el demonio ss"d sa*7e# ss"*"ost*d sa*7e#.$u La clave $8blica DS, usada $or el demonio ss"d b ss"*"ost*7 La clave $rivada RS, usada $or el demonio ss"d $ara la versin 9 del $rotocolo SS4. e#

ss"*"ost*7 La clave $8blica RS, usada $or el demonio ss"d $ara la versin 9 del $rotocolo SS4. e#.$ub ss"*"ost*r La clave $rivada RS, usada $or el demonio ss"d $ara la versin : del $rotocolo SS4. sa*7e# ss"*"ost*r sa*7e#.$u La clave $8blica RS, usada $or el demonio ss"d $ara la versin : del $rotocolo SS4. b

Archivos de configuracin del lado del cliente

La ubicacin de los ic"eros re erentes al cliente se encuentran almacenados en el directorio de traba-o de cada usuario' Ejemplo:
/home/usuario/

Dentro del directorio $odemos encontrar los siguientes ic"eros de con iguracin' Este arc"ivo contiene una lista de claves $8blicas autori!adas. 5uando un cliente se aut"ori!ed*7e conecta al servidor, el servidor autentica al cliente c"e%ueando su clave $8blica #s irmada almacenada dentro de este arc"ivo. id*dsa id*dsa.$ub id*rsa id*rsa.$ub identit#. identit#.$ub 5ontiene la clave $rivada DS, del usuario. La clave $8blica DS, del usuario. La clave RS, $rivada usada $or ss" $ara la versin : del $rotocolo SS4. La clave $8blica RS, usada $or ss" $ara la versin : del $rotocolo SS4. La clave $rivada RS, usada $or ss" $ara la versin 9 del $rotocolo SS4. La clave $8blica RS, usada $or ss" $ara la versin 9 del $rotocolo SS4.

Este arc"ivo contiene las claves de "ost DS, de los servidores SS4 a los cuales el 7no;n*"osts usuario "a accedido. Este arc"ivo es mu# im$ortante $ara asegurar %ue el cliente SS4 est& conectado al servidor SS4 correcto. <lindando el ic"ero ss"d*con ig Este ic"ero lo $odr& locali!ar en en la siguiente ruta'
/etc/ssh/

El siguiente $aso sera abrir el ic"ero con la a#uda del editor de te.tos VI
[root@ localhost #] vi /etc/ssh/sshd%config

, $artir de este $unto comen!aremos a blindar SS4.

Cambiando el puerto por defecto

SS4 tiene asignado $or de ecto el $uerto ::, esto es algo %ue conocen todos nuestros $osibles atacantes , $or lo %ue es una buena idea cambiarlo. Se recomienda usar un $uerto cual%uiera $or encima del 9=:>, as? %ue usted $uede elegir el %ue %uiera.
# # # # "he strategy used for options in the default sshd%config shipped 8ith /pen!!. is to specify options 8ith their default value 8here possi4le< 4ut leave them commented. +ncommented options change a default value.

#ort =>?@A #3ddressFamily any #9isten3ddress B.B.B.B #9isten3ddress CC

esactivando el Protocolo !
4a# dos versiones de ss" en cuanto a su $rotocolo de comunicacin, estas son' Versin 9 Versin :. indicar %ue solo admita comunicaciones de ss" basadas en el $rotocolo :, $or lo %ue tendr& %ue editar el $ar&metro Protocol del ic"ero de con iguracin el cual deber& %uedar as?'
# $isa4le legacy Dprotocol version EF support in the server for ne8 # installations. -n future the default 8ill change to re&uire e:plicit # activation of protocol E

Protocol :

eshabilitando el acceso a root

0na manera de des"abilitar el logeo al sistema a trav@s de la cuenta de root es $oner en AnoA la variable PermitRootLogin , con esto el usuario root no tendr& $ermiso de acceder mediante ss" # $or lo tanto cual%uier intento de ata%ue directo a root ser& in8til. 5on esto siem$re tendremos %ue ingresar como un usuario normal # #a estando adentro entonces mediante un su B cambiarnos a la cuenta de root. Para llevar a cabo estos cambios tendr& %ue editar el $ar&metro PermitRootLogin del ic"ero de con iguracin el cual deber& %uedar de la siguiente manera'
# 3uthenticationC #9ogin1race"ime Gm #ermit(oot9ogin no #!trictHodes yes #Ha:3uth"ries @

efiniendo un n"mero m#$imo de intentos de cone$in.

Para llevar a cabo estos cambios tendr& %ue editar el $ar&metro /a.,ut"Tries del ic"ero de con iguracin el cual deber& %uedar de la siguiente manera'
# 3uthenticationC #9ogin1race"ime Gm #ermit(oot9ogin no #!trictHodes yes Ha:3uth"ries G Activando el modo estricto

La o$cin Strict/odes debe activarse $ara %ue, $or e-em$lo, los usuarios %ue establecen $ermisos de escritura $ara todos en sus ic"eros # directorios no se lleven una desagradable noticia cuando otro usuario los modi i%ue, de esta manera se $rotege la in ormacin de los usuarios. Para llevar a cabo estos cambios tendr& %ue editar el $ar&metro Strict/odes del ic"ero de con iguracin el cual deber& %uedar de la siguiente manera'

# 3uthenticationC #9ogin1race"ime Gm #ermit(oot9ogin no !trictHodes yes Ha:3uth"ries G

%imitando el tiempo para autenticarse con &&H

El n8mero indica la cantidad de segundos en %ue la $antalla de login estar& dis$onible $ara %ue el usuario ca$ture su nombre de usuario # contraseCa, si no lo "ace, el login se cerrar&, evitando as? de-ar $or tiem$o indeterminado $antallas de login sin %ue nadie las use, o $eor aun, %ue alguien este intentando mediante un scri$t varias veces el adivinar un usuario # contraseCa. Si somos el 8nico usuario del sistema considero %ue con := o D= segundos es mas %ue su iciente. Para llevar a cabo estos cambios tendr& %ue editar el $ar&metro LoginEraceTime del ic"ero de con iguracin el cual deber& %uedar de la siguiente manera'
# 3uthenticationC 9ogin1race"ime =B #ermit(oot9ogin no !trictHodes yes Ha:3uth"ries G

'niciando el servicio &&H

Llegado a este $unto usted #a deber& contar con las con iguraciones de seguridad a$ro$iadas, $or lo %ue solo altar?a iniciar el servicio de SS4. Para iniciar el servicio de SS4 tendr& %ue teclear en consola # como root lo siguiente'
[root@ localhost ]# /etc/init.d/sshd start

Igualmente e.isten o$ciones #a sea $ara reiniciar, detener, recargar o conocer el status en el %ue se encuentra el servicio. Estas o$ciones $ueden ser consultadas en la siguiente tabl

Ane$ando el servicio de &&H al arran(ue del servidor

Para aCadir el servicio de SS4 al arran%ue del servidor solo tendr& %ue teclear en consola # como root lo siguiente'
[root@ localhost ]# ch;config sshd on.

Aprendiendo a utili)ar open&&H

Conect#ndose a un e(uipo remoto a trav*s de &&H
[root@ localhost ]# ssh usuario(emoto@ip$el!ervidor(emoto

En caso de "aber establecido un $uerto de escuc"a distinto al $uerto ::,

[root@ localhost ]# ssh -p[puerto$e)scucha] usuario(emoto@ip$el!ervidor(emoto