Posteado por: jfranzon | 16 septiembre, 2007

Configuración de un servidor ftp (vsftpd) con usuarios fantasma

Este documento lo he sacado de la web de Yawag.org, más concretamente del documento

http://www.yawag.org/?q=node/78

Espero que el autor me de su consentimiento para fusilarlo.

Introducción y Objetivos

Vamos a instalar y configurar un servidor de ftp, en este caso lo vamos a hacer con vsftpd.En la configuración vamos a ver paso por paso las múltiples opciones que tenemos, aunque muchas de ellas vienen explicadas (en inglés) en el man de vsftpd.conf [1]Vamos a crear usuario “fantasma”, es decir, solo serán usuarios del ftp, no existirán como usuario del sistema, de esta manera en caso de que exista algún tipo de fallo en el servidor, sólo se quedaría compretido el ftp. Además vamos a enjaular a los usuarios, para que solo puedan acceder al directorio que nosotros queramos, y así evitar que “naveguen” por nuestro disco duro.

Instalación

Como tenemos un sistema con debian😛 la instalación es extremadamente simple, con hacer

    # apt-get install vsftpd

ya tenemos instalado el servidor.

Configurando

Una vez instalado, nuestro debian lo inicia por nosotros con la configuración que viene por defecto. Así que podemos probar a conectarnos a nosotros mismos para ver que realmente funciona.

Para ver todas las opcines de forma detallada hacemos

    # man vsftpd.conf

Aqui nos aparecerán muchísimas opciones, así como el estado por defecto en el que se encuentran (Las opciones más relevantes para el caso que nos ocupan, vienen detalladas en el Apéndice). Es decir si nuestro archivo de configuración [1] se encontrase en blanco, el estado de las opciones se encontrarán tal y como aparecen aquí.

En el Apéndice, están comentadas muchas de las opciones.

Para indicarle los usuarios que queremos, hacemos uso de db3 (Berkereley db), sino lo tenemos instalado, hacemos:

    # apt-get install libdb3

Lo que hacemos ahora es crear un archivo con los login / passwords que queramos en formato db, para ello creamos un archivo de texto, y metemos logins y passwords en lineas alternas, de esta manera:

    pepe
    pass1
    paco
    pass2

Por lo tanto tenemos dos usuarios, pepe y paco, con contraseñas pass1 y pass2 respectivamente, (y al archivo lo hemos llamado users).

Ahora creamos la base de datos en formato db ayudándonos de ‘Berkereley db’ (tenemos que ser root, puesto que necesitamos permisos de escritura en /etc)

    # db3_load -T -t hash -f users /etc/vsftpd_login.db

Con esto hemos creado /etc/vsftpd_login.db, ahora nos aseguramos que los permisos son lo más resctrictivo posible:

    # chmod 600 /etc/vsftpd_login.db

Una vez creada nuestra base de datos, necesitamos crear un archivo PAM para indicar que use nuestra base de datos. Para ello incluimos estas líneas:

    auth required /lib/security/pam_userdb.so db=/etc/vsftpd_login
    account required /lib/security/pam_userdb.so db=/etc/vsftpd_login

que básicamente lo que hacen es direccionar a nuestra base de datos. Una vez lo tengamos, lo añadimos a /etc/pam.d/vsftpd

**OJO aqui, en otras distribuciones que no son debian, hay que copiarlo a /etc/pam.d/ftp no a /etc/pam.d/vsftpd.

Si miramos en “man vsftpd.conf” (en debian) vemos que aparece esto:

    pam_service_name
    This string is the name of the PAM service vsftpd will use.Default: vsftpd

Por lo tanto, o lo copiamos a vsftpd o indicamos pam_service_name=ftp, o lo que queramos.

Ahora vamos a crear a nuestro usuario ‘fantasma’, para esto hacemos:

    # useradd -d /srv/ftp fantasma

He creado el usuario ‘fantasma’ dentro de /srv/ftp.

Ya tenemos casi todo, nos falta crear una buena configuración. Para esto vamos a por el archivo vsftpd.conf que se en cuentra en /etc

Como ya comentamos antes, vamos a configurarlo de tal manera que no permitamos usuarios anónimos,

    anonymous_enable=NO
    local_enable=YES

Si queremos que nuestros usuarios no tengas posibilidad de escribir, hacemos:

    write_enable=NO
    anon_upload_enable=NO
    anon_mkdir_write_enable=NO
    anon_other_write_enable=NO

Y con esto enjaulamos al ‘fantasma’

    chroot_local_user=YES

Y ahora el puntito final en lo que a la configuración de usuarios se refiere.

    guest_enable=YES
    guest_username=fantasma

Con esto estamos diciendo que todos los usuarios sean ‘fantasma’ a nivel de usuario en nuestro servidor.

El resto de opciones, como ya comentamos antes vienen correctamente explicadas en [1].

Si ahora entramos en nuestro servidor, nos va a decir que

    150 Here comes the directory listing.
    226 Transfer done (but failed to open directory).

Puesto que no tenemos permisos suficientes …

Una vez aqui, alguno se preguntará y ¿como hacemos ahora para bajar/subir los archivos, si le servidor no nos deja ni movernos?

La explicación es sencilla, lo que hemos hecho es crear un entorno lo más seguro posible, que se adapte a nuestras exigencias. Pero, ahora lo que vamos a hacer es definir permisos usuario por usuario. Y eso lo vamos a conseguir con la opción ‘user_config_dir’, que nosotros vamos especificarla en ‘/etc/vsftpd/users’, de la siguiente manera

    user_config_dir=/etc/vsftpd/users

Como no queremos que los usuarios del sistema se logueen, lo que hacemos es ponerlo explicitamente como indicamos ahora

Creamos los directorios /etc/vsftpd y /etc/vsftpd/users, para luego meter las características de nuestros usuarios.
Creamos una lista de usuarios a los que se deniega el acceso, y la guardamos en /etc/vsftpd/denied_users

Para crear la lista, podemos hacerlo por ejemplo así

    # cat /etc/passwd | cut -d “:” -f 1 | sort > /etc/vsftpd/denied_users

Si te estás preguntando porqué no queremos que los usuarios del sistema se logueen, la respuesta es: por seguridad, puesto que los usuarios suelen tener más persmisos de los necesarios en el ftp, además, los login/passwd en ftp van en texto claro, siendo muy propensas a ser esnifadas, y pueden comprometer la seguridad del servidor.

Ahora solo nos queda definir usuario a usuario los permisos de cada uno. Para ello ló unico que tenemos que hacer es crear un archivo por usuario, con el nombre del mismo dentro de /etc/vsftpd/users, especificando las opciones ‘extras’ que queremos que tenga cada uno de ellos.

Por ejemplo a pepe, le vamos a permitir ‘ver’ y descargar lo que hay en /data, para ello como indicamos antes, creamos el archivo /etc/vsftpd/users/pepe

    dirlist_enable=YES
    download_enable=YES
    local_root=/data
    write_enable=NO
    anon_world_readable_only=NO

Y a paco, le vamos a permitir escribir en /srv/ftp, para lo cual creamos otro archivo pero esta vez se llama paco, que contenga

    dirlist_enable=YES
    download_enable=YES
    local_root=/srv/ftp
    anon_upload_enable=YES
    anon_world_readable_only=NO
    write_enable=YES

Y así usuario a usuario podemos determinar los privilegios de cada uno, y dejarles enjaulados donde nosotros queramos, sin que puedan fisgar por el resto de nuestro sistema.

Finalmente

Con todo esto, hemos conseguido conseguido configurar el que para mí es el mejor servidor de ftp, con usuarios fantasma, y estableciendo una configuración personalida por cada usuario. De esta manera se consigue una mayor versatilidad a la hora de configurar el servidor, y una mayor seguridad.

Apéndice
Entre las opciones destacables para nuestro propósito caben destacar estas:

  • anonymous_enable
    • Este parámetro se utiliza para definir si se permitirán los accesos anónimos al servidor de archivos. En nuestro caso seleccionamos NO queremos accesos anónimos, por lo tanto seleccionamos NO.
  • chroot_local_user
    • Si este parámetro es YES, el usuario local estará enjaulado en lo que hayamos definido como su home
  • guest_enable
    • Si está habilitado, todos los logins no anónimos (en nuestro caso todos), serán lo que hemos llamado usuarios ‘fantasma’. Es decir cualquier login será mapeado como ‘fantasma’. Nota: nosotros hemos creado un usuario en el sistema llamado ‘fantasma’, puedes ponerle el nombre que quieras, muchos lo llaman ‘virtual’. Este parámetro va asociado a guest_username, que es donde definimos el nombre de usuario ‘fantasma’, en nuestro caso también es fantasma.
  • guest_username
    • Ver guest_enable.
  • listen
    • Si está habilitado, vsftpd iniciará en modo ‘standalone’. Esto quiere decir que no debe ser iniciado por algún inetd, y en su lugar se ejecutará directamente.
  • listen_address
    • Si vsftpd se encuentra en modo standalone, inidicamos la dirección en la que estará escuchando.
  • local_enable
    • Este parámetro permite que los usuarios locales pueden acceder al ftp. En nuestro caso vamos a seleccionar que YES, puesto que vamos a crear un solo usuario ‘fantasma’ que acceda al servidor.
  • pam_service_name
    • Indica el servicio PAM que usará vsftpd, en nuestro caso como habíamos copiado la base de datos a /etc/pam.d/vsftpd, lo llamamos vsftpd.
  • user_config_dir
    • Con esta opción como hemos explicado antes, podemos ‘añadir’ permisos usuario por usuario, creando archivos simples de texto con los permisos por usuario que queramos. En esta opción se define el directorio en el que vamos a guardar esos archivos.
  • userlist_enable
    • Si está habilitado, los nombres de usuario que haya en el archivo indicado por userlist_file, no podrán acceder, siendo rechazados ANTES de que introduzcan el password, de esta manera evitamos que el password en claro de usuarios privilegiados, vaya en claro por la red.
  • userlist_file
    • Ver userlist_enable.

    El resto de opciones las podemos ver detalladas en [1]


    Copyright chacal 2005 – versión 1.0.1

    Permission is granted to copy, distribute and/or modify this document under the terms of the GNU Free Documentation License, Version 1.1 or any later version published by the Free Software Foundation; with no Invariant Sections, and with no Front-Cover Texts, and with no Back-Cover Texts. Full text of the license is at file /usr/share/doc/gnome-core/html/fdl/C/index.html on your Debian system.


    Responder

    Introduce tus datos o haz clic en un icono para iniciar sesión:

    Logo de WordPress.com

    Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

    Imagen de Twitter

    Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

    Foto de Facebook

    Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

    Google+ photo

    Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

    Conectando a %s

    Categorías

    A %d blogueros les gusta esto: