PDF de programación - configuracion proftpd

Bisoños Usuarios de Linux de Mallorca y Alrededores | Bergantells Usuaris de Linux de Mallorca i

Afegitons

Configuración de un servidor de FTP - Módulo 4.1.1

Por Daniel Rodriguez, DaniRC (http://bulma.net/~danirc/)
Creado el 30/05/2002 21:58 y modificado por última vez el 30/05/2002 21:58

Estoy preparando unos cursos de Linux, y necesitaba material didáctico. La verdad es que a veces es difícil
explicar las cosas que uno sabe tan claramente como desea.

Como los chicos de Mandrake lo han hecho muy bien, estoy traduciendo sus manuales, con algun aporte
personal. De momento os dejo este módulo, pero los otros iran cayendo uno a uno a intervalos de 2 o 3 días
cada uno.

No son como un curso de verdad, porque no daré soporte de los artículos, pero para muchos, puede ser un
buen principio!.

Esperando que os guste, aqui va la primera entrega.

PD: He intentado contactar con Mandrake para hacerles llegar la traducción, pero el proyecto
MandrakeCampus parece muerto.

Nivel: Avanzado

Documento original: www.mandrakecampus.com

Traducción al castellano: Daniel Rodríguez.

Documento realizado con: OpenOffice 1.0

Licencia: LGPL

Tema 4 - Servicios del Servidor

Subtema 4.1 – Servidor de Ficheros

Modulo 4.1.1 – Configuracion de un servidor FTP

Indice

1.

Introduccion

2.

Abriendo un FTP anonimo

3.

Creación de cuentas especificas de FTP

4.

Ejecucion de comandos desde FTP

5.

Introduccion al ProFTPD

6.

Configuracion de ProFTPD

7.

Configuracion de un FTP anónimo

8.

VirtualHost

9.

Creacion de cuentas de FTP

10.

Limitar el ancho de banda

11.

Mas informacion

Presentacion general

El protocolo FTP es:

Usado para publicar en Internet

No es seguro

No tiene capacidades de filtrado

Usa un sistema de autentificacion basado en ficheros de passwords

El protocolo FTP permite transferir ficheros de una maquina a otra. Existen principalmente dos tipos de
acceso: el acceso al directorio personal del usuario y el acceso dentro de una jerarquia de ficheros destinada al
FTP

Existen varios servidores que pueden realizar esta tarea. Veremos dos de ellos, a sabiendas que las opciones
que proponen se encuentran tambien en el resto de los servidores existentes.

Después de haber estudiado los ficheros de configuracion de estos dos ejemplos, no deberia ser dificil llevar
estos conceptos a otros servidores.

Veremos en primer lugar el wu.ftpd, instalado por defecto en la mayoria de distribuciones y el proftpd, el mas
practico y utilizado hoy por hoy.

Autorizar el acceso a los usuarios

Lo mas prudente es confiar el arranque del demonio al inetd, puesto que esta opcion permite que
implementemos reglas de filtrado usando el TCPwrapper.

La autentificacion se realiza introduciendo el nombre de usuario y la contraseña: es decir, la validación se
realiza del mismo modo en que se realiza un “login” en el sistema, verificando el fichero /etc/passwd (o el
/etc/shadow)

Abrir un FTP anonimo

El FTP anonimo permite el acceso sin contraseña. Esta clase de FTP permite poner ficheros al alcance de
todos los usuarios del sistema. No precisa de una autentificacion precisa, por eso lo llamamos acceso anonimo,
y no ofrece acceso mas que a una zona bien especifica del sistema.

Cuando se trata de un acceso FTP por parte de un usuario valido, este usuario puede recorrer los directorios,
salir de su directorio personal y copiar ficheros presentes dentro de /etc o /var

En el caso de un FTP anonimo, el servidor utiliza una funcionalidad llamada “entorno protegido” ou
chroot.

Esta encierra al usuario en una jerarquia especifica de directorios. Si damos acceso al usuario anonimo dentro
de /home/ftpd, este directorio sera tomado como directorio raiz. Le sera imposible por tanto al usuario
anonimo recorrer la jerarquia de directorios en sentido ascendente. Si marcamos como directorio raiz el
/home/ftpd ... no se puede subir mas arriba de la raiz, por tanto no se tendra acceso a /home ni a cualquier otro
directorio por encima de ese en la jerarquia del sistema.

Esto tambien significa que el programa no tendra acceso a los ejecutables del /bin, por ejemplo, y que por
tanto debera de tener una copia del mismo en el interior del directorio “raiz virtual”

Del mismo modo para ejecutar programas, debera disponer de una copia accesible de todas las bibliotecas que
le sean necesarias.

Crear una jerarquia de directorios

Cuando instalamos el paquete wu.ftpd en Linux-Mandrake, este crea un usuario ftp, y todos los ficheros
necesarios dentro de /home/ftp. En función a los derechos otorgados a los diferentes directorios, es posible
restringir el acceso en modo lectura a ciertas zonas.

Generalmente, colocaremos los ficheros en /pub, es decir en /home/ftp/pub para compartirlos de manera
publica.

Autorizar los uploads (es decir, autorizar el envio de ficheros hacia el
servidor)

Existen dos formas de autorizar la subida de un fichero al servidor. La primera forma consiste en otorgar
derechos de escritura a un directorio que se llama /incoming. (/home/ftpd/incoming)

El usuario podra entonces enviar su fichero, pero no podra ver su contenido, ni recuperarlo mas tarde.

El otro metodo es bastante mas recomendado. Hay que editar el fichero de configuracion del ftpd,
/etc/ftpaccess, y crear una entrada para autorizar los uploads.

upload /home/ftpd/ no
upload /home/ftpd/incoming yes toto titi 0440

Estas lineas no permiten la subida de ficheros al directorio raiz, pero si que autorizan la subida de ficheros
dentro del directorio /incoming.

Los ficheros que sean colocados alli por el usuario, perteneceran al usuario toto, que el del grupo titi y los
ficheros seran escritos con los permisos 0440

Evidentemente, es necesario que el directorio sea accesible para escritura.

Aviso : Tened cuidado porque cualquier persona puede llenar rapidamente la particion que contenga el
directorio /incoming del servidor FTP a fuerza de enviar ficheros lo suficientemente grandes. Es por tanto
recomendado colocar este directorio en una particion a parte, si es que estamos de verdad interesados en
ofrecer este servicio a nuestros usuarios.

Creacion de cuentas de FTP

Presentacion

A veces es necesario ofrecer al usuario una mayor libertad para colocar sus ficheros en el servidor que la
ofrecida por el acceso ftp anonimo. Pero tampoco deseamos ofrecer un acceso via terminal a todos los
usuarios. Es entonces cuando aparece la necesidad de crear usuarios exclusivos del FTP

Creacion de usuario de FTP.

No existe con wu.ftpd, una solucion elegante para crear cuentas de FTP de manera simple: no dispone de
ningun metodo de autentificacion propia. Es por tanto necesario crearles cuentas de usuario normales y luego
limitarles el acceso y cerrarles la posibilidad de acceso al terminal.

Esto se hace en dos fases: cambiar el shell por defecto del usuario por algo de inutilizable que le explique no
tiene acceso al sistema (por ejemplo un shell script de aviso, o bien un /bin/false) y editar el fichero /etc/shells
para añadir este programa en la lista de los shells (wu.ftpd verifica la existencia del shell o terminal antes de
autorizar el acceso)

Por ultimo hay que encerrar a los usuarios en un entorno protegido, para que no puedan desplazarse en la
jerarquia de ficheros del servidor. Para ello añadimos en el fichero de configuracion /etc/ftpaccess el
comando:

guestuser nombre_usuario

La ejecucion de comandos

El servidor puede ejecutar comandos del cliente FTP

Esto simplifica la navegacion por los directorios

Esta opcion presenta problema de seguridad

Concepto

El protocolo FTP tiene los suficientes comandos como para permitir la navegacion por los directorios, asi
como el para envio de ficheros y otras cosas. Pero esta bastante limitado si lo comparamos con la riqueza de
comandos de Unix, por tanto es a veces adecuado ofrecer al usuario algunas herramientas extra para
facilitarles el trabajo.

Desde el punto de vista del cliente, la sintaxisa es “direccion exec comando”. El servidor entonces ejecutara
el comando si este esta disponible dentro de la limitada jerarquia del servidor de FTP.

Ejemplos practicos

Podemos por ejemplo, cuando el servidor es muy grande, realizar de manera periodica un indice de los
ficheros que contiene el servidor. Podemos para ello usar el comando locate, y colocar una version de este
ejecutable en la jerarquia de ficheros del FTP, o bien hacer un ls -lR y colocar este resultado en la raiz del
directorio, si ademas dejasemos acceso a una version de grep accesible via exec, esta maniobra permitiria a los
usuarios del ftp buscar mejor los contenidos del directorio.

Presentacion de ProFTPD

wu.ftpd padece una concepcion un tanto simplista del mundo real y por tanto no responde a todas las
necesidades actuales. Sobre todo en nuestros dias en que las comunicaciones por red han cambiado
enormemente. Fue concebido como un pequeño servidor de intercambio de ficheros, conocio un tiempo de
apogeo en el que muchos programdores aportaron rutinas importantes, pero no suele responder a las
necesidades de un hospedaje web actual

ProFTPD esta mejor pensado. A pesar de su relativa juventud (y por tanto un tiempo de correccion de errores
y detección de bugs inferior), ProFTPD ha sido creado para ofrecer de forma simple la mayor parte de las
opciones que con wu.ftpd eran demasiado engorrosas.

Proceso de instalacion.

Actualmente la distribucion de Linux-Mandrake asi como muchas otras ya traen este servidor incorporado
como servidor por defecto de FTP. Si no fuera asi, deberias buscar los ficheros .rpm o bajaros los fuentes de
http://www.proftpd.net.

Si la distribucion trae los paquetes, estos generalmente son dos. Un paquete para el programa y su
documentacion y otro con los ficheros de configuracion para que lo lancemos en modo stand alone o bien a
traves del inetd

Si lo que queremos es arrancar el ProFTPD desde el inetd -recomendado- instalaremos los paquetes:
proftpd-core-1.x-1.i586.rpm
proftpd-inetd-1.x-1.i586.rpm

So lo que queremos es arrancar d