Manual de Configuracin de FTP

MANUAL DE CONFIGURACION DE UN SERVIDOR FTP EN CENTOS

Autor: Roger Armando Contreras Corrales ( Fecha: 15 de Enero del 2011)

ndi de contenido 1.Int oducci n:............................................................................................................................. ........3 2.Inst l ci n y confi uraci n..................................................................................................... .........5 3.Definir que mquinas pueden establecer una conexi n con el servicio FTP:..................................7 4.Utilizaci n de certificados de seguridad:.........................................................................................8 5.Conexi n al servidor FTP :.............................................................................................................10

Manual de Configuraci n de FTP

1 . In t r od u c c i n : Antes de proceder con la configuraci n de nuestro servidor FTP, vamos a suponer que tenemos unser vidor Web, el cual lo hemos configur ado par a aloj ar dos sitios: uno que es el portal web denuestra instituci n y el otro la intranet.D a d a l a s i t u a c i n a n t e r i o r , s e r a a d e c u a d o d i s p o n e r d e u n s e r v i d o r F T P e n l a c u a l e x i s t a n d o s usuari os aut orizados par a publicar archi vos en estos dos sitios Web, el esquema de esta soluci nsera similar al siguiente:
    

Nombre de Usuario Intranet WebMaster

Sitio Web Intranet Institucional Postal Web Institucional

De acuerdo al esquema, vamos a necesitar dos usuarios, uno que sirve para publicar archivos en laIntranet, y otros para publicar en el portal Web de la instituci n. Par a impl ementar el ser vi cio FTP har emos uso de VSFTP. Podemos obtener mas infor maci n deVSFTP en la siguiente URL:http://vsftpd.beasts.org/ Para instalar VSFTP se ha hecho uso de la versi n en RPM que viene en el disco DVD de CentOS5.5. Si se tiene tal disco, se puede pr oceder a insertarl o en nuestro lector de DVD y ejecutar lasiguientes rdenes para tenerlo montado en la carpeta /mnt/disco :
  

# cd / # mkdir -p /mnt/disco # mount -t iso9660 /dev/cdrom /mnt/disco/

Con las rdenes anteri or es si nos dirigi mos al directorio / mnt/disco ya debemos tener acceso aldisco de CentOS.

FIGUR CIN DEL SER IDOR FTP

Carpetas de Acceso /var /www/Intranet /var /www/Web

Manual de Configuracin de FTP

Si no tenemos tal disco podemos acceder a descargar la versin RPM desde la siguiente URL quecorresponde a uno de los mirrors de CentOS:http://mirror.its.sfu.ca/mirror/CentOS/5.5/os/i386/CentOS/vsftpd-2.0.516.el5_4.1.i386.rpmEjecutando la siguiente orden podemos descargar el paquete mencionado en la URL anterior en eldirectorio donde nos encontremos:
# wget http://mirror. its.sfu. ca/mirr or /CentOS/5.5/os/i386/Cent OS/vsftpd2.0.5-16.el5_4.1.i386.rpm

Hay que recordar que el manual explica como instalar el servidor FTP usando el paquete RPM que se encuentra en el disco de Centos. Si no se tiene el disco se debera copiar el paquete RPM descargado de Internet en el directorio /mnt/disco/CentOS/, esto con la finalidad de ejecutar lasrdenes explicadas posteriormente en el presente manual sin ningn problema.

El servidor FTP debe ser configurado para que presente las siguientes caractersticas:
y y y y

y y

Ningn usuario especial del sistema puede hacer login va FTP. Acceso annimo debe estar inhabilitado, as como las operaciones que se puedan hacer con este. Se debe especificar de manera explcita que usuarios podrn hacer login va FTP. Se debe utilizar chroot para evitar el libre desplazamiento por directorios de los usuarios que hagan login (Este comportamiento debe ser el por defecto para hacer login). Slo determinadas mquinas deberan conectarse al servidor FTP. De manera opcional permitir que uno pueda elegir si desea establecer una comunicacin cifrada (Uso de certificados de seguridad).

Manual de Configuracin de FTP

2. Instalacin y configuracin Instalamos VSFTP ejecutando la siguiente orden:

# cd /mnt/disco/CentOS/ # rpm -ivh vsftpd-2.0.5-16.el5_4.1.i386.rpm

Una vez instalado el paquete podemos comprobar la informacin de este con las siguientes rdenes: # rpm -qi vsftpd # rpm -ql vsftpd

Editamos el archivo de configuracin de VSFTP, lo haremos con el editor vi: # vi /etc/vsftpd/vsftpd.conf

Editamos de tal manera que se tengan las siguientes opciones (Si alguna de ellas no se encuentra, agregarla al final del archivo):
anonymous_enable=NO local_enable=YES write_enable=YES anon_upload_enable=NO anon_mkdir_write_enable=NO ftpd_banner=Servidor FTP Institucional chroot_local_user=YES chroot_list_enable=NO chroot_list_file=/etc/vsftpd/chroot_list listen_ipv6=NO userlist_enable=YES max_clients=3 userlist_deny=NO

Se puede encontrar una explicacin detallada de estas opciones en la siguiente URL: http://vsftpd.beasts.org/vsftpd_conf.html Una vez que se ha comprobado lo anterior guardamos los cambios y cerramos el archivo. Luego de esto ejecutamos la siguiente orden, para crear el archivo donde colocaremos los usuarios q u e va m o s a cr ea r , d e t a l ma n e r a q u e e s t o s u n a v ez q u e i n gr es e n a l s er vi d o r F T P s l o p u ed a n desplazarse en su directorio local (Directorio Home):

Manual de Configuracin de FTP

# cd /etc/vsftpd/ # touch chroot_list Creamos los dos usuarios que tendrn acceso a nuestros sitios Web: # adduser intranet-d /var/www/intranet/ -g ftp -s /sbin/nologin # adduser webmaster -d /var/www/web/ -g ftp -s /sbin/nologin Asignamos contraseas a los usuarios anteriormente creados (Se recomienda una clave con mnimo de 6 caracteres que sean alfa-numricos y especiales): # passwd intranet # passwd webmaster
Ahora debemos editar el siguiente archivo:

# vi /etc/vsftpd/user_list En ese archivo encontraremos varios usuarios, borramos todos estos y slo dejamos lo siguiente: # vsftpd userlist # If userlist_deny=NO, only allow users in this file # If userlist_deny=YES (default), never allow users in this file, and # do not even prompt for a password. # Note that the default vsftpd pam config also checks /etc/vsftpd/ftpusers # for users that are denied. Intranet Webmaster En el anterior archivo deben estar los nombres d e los usuarios que pueden hacer login va FTP. Guardamos los cambios y cerramos el archivo. Ahora debemos cambiar los permisos de las carpetas y archivos a los cuales vamos acceder va FTP # cd /var/www/ # chown -R intranet intranet # chmod -R 755 intranet # chown -R webmaster web # chmod -R 755 web Ahora debemos reiniciar nuestro servidor FTP con la siguiente orden: # /etc/init.d/vsftpd restart

Manual de Configuracin de FTP

Para que el servicio FTP se inicie automticamente con el sistema operativo, debemos ejecutar la siguiente orden: # chkconfig --level 345 vsftpd on

3.Definir que mquinas pueden establecer una conexin con el servicio FTP:
Ahora vamos a configurar para que slo algunas mquinas puedan conectarse al servicio FTP, paraesto es necesario habilitar el s oporte TCP wrappers, el cual permitir el uso de archivos como el hosts.allow y hosts.deny, para controlar quienes pueden usar el servicio FTP. Editamos el archivo de configuracin principal a travs del siguiente comando: # vi /etc/vsftpd/vsftpd.conf A gr e ga mo s l a s s i g u i en t es l i n ea s a l f i n a l d el a r c h i vo ( S l o l a p r i m er a l n ea es o b l i ga t o r i a p a r a habilitar esta opcin) : tcp_wrappers=YES pasv_min_port=50000 pasv_max_port=60000 Guardamos los cambios y cerramos el archivo, despus tenemos que reiniciar el servicio FTP: # /etc/init.d/vsftpd restart Ahora debemos editar los archivo hosts.allow y hosts.deny. Supongamos que deseamos establecer que slo las mquinas con IP 192.168.4.26 y 192.168.4.28 puedan conectarse. Entonces debemoseditar lo siguiente:
y

En el archivo /etc/hosts.allow , debe haber la siguiente lnea de contenido (En este archivodeben estar las IP's de las mquinas que podrn acceder al servicio FTP): vsftpd: 192.168.4.26 192.168.4.28

En el archivo /etc/hosts.deny , debe haber la siguiente lnea de contenido:

vsftpd: ALL

Manual de Configuracin de FTP

4.Utilizacin de certificados de seguridad: En esta parte se va a explicar como utilizar los protocolos SSL y TLS a travs de un certificados RSA. Esto se utilizar con la finalidad de cifrar la comunicacin que se envi y/o reciba cuando se este usando el servidor FTP. En primer lugar creamos un directorio donde se almacenaran los certificados de seguridad para todas las comunicaciones SSL y TLS. Para lo cual ejecutamos la siguiente orden. # mkdir m 0700 /etc/ssl El directorio anterior sirve para almacenar todos los certificados que vamos a guardar, por ejemplopodemos almacenar certificados de seguridad para el servicio Apache, SSH, FTP, SMTP, etc. Para poder tener una organizacin sobre estos certificados, vamos a crear un directorio donde se almacenar el certificado para el servicio FTP. Para esto ejecutamos la siguiente orden: # mkdir -m 0700 /etc /ssl /ftp Ahora vamos a ingresar a este directorio, y en el vamos a crear nuestro certificado: # cd /etc/ssl/ftp/ # openssl req -x509 -nodes -days 1460 -newkey rsa:1024 -keyout vsftpd.pem -outvsftpd.pem Al ejecutar lo anteri or vamos a crear un certificado de seguridad que tendr una duracin de 1460 das (4 aos), este utilizar como algoritmo de cifrado el RSA de 1024 Kb. Tambin no se hace usode triple DES, con la finalidad de que el servicio FTP inicie de manera normal sin ningn tipo de interaccin. El fichero donde se almacena el certificado estar ubicado en /etc/ssl/ftp/vsftpd.pem Al momento de generar el certificado de seguridad, este solicitar la siguiente informacin:
y y y y y y y

Cdigo de dos letras del pas. (Se recomienda seguir el ISO 3166-1 alfa-2) Nombre del estado o provincia. Nombre de la localidad. Nombre de la organizacin. Nombre de la organizacin. Nombre comn (Puede ser el nombre de uno, o el nombre del host) Direccin de email