Configuración de vsftpd con usuarios fantasma.


Introducción y Objetivos

Vamos a instalar y configurar un servidor de ftp, en este caso lo vamos a hacer con vsftpd.
En la configuración vamos a ver paso por paso las múltiples opciones que tenemos, aunque muchas de ellas vienen explicadas (en inglés) en el archivo de configuración vsftpd.conf [1]
Vamos a crear usuario \"fantasma\", es decir, solo serán usuarios del ftp, no existirán como usuario del sistema, de esta manera en caso de que exista algún tipo de fallo en el servidor, sólo se quedaría comprometido el ftp.
Además vamos a enjaular a los usuarios, para que solo puedan acceder al directorio que nosotros queramos, y así evitar que \"naveguen\" por nuestro disco duro.


Instalación

Como tenemos un sistema con debian :P la instalación es extremadamente simple, con hacer

# apt-get install vsftpd

ya tenemos instalado el servidor.


Configurando

Una vez instalado, nuestro debian lo inicia por nosotros con la configuración que viene por defecto. Así que podemos probar a conectarnos a nosotros mismos para ver que realmente funciona.
Para ver todas las opcines de forma detallada hacemos

# man vsftpd.conf

Aqui nos aparecerán muchísimas opciones, así como el estado por defecto en el que se encuentran (Las opciones más relevantes para el caso que nos ocupan, vienen detalladas en el Apéndice). Es decir si nuestro archivo de configuración [1] se encontrase en blanco, el estado de las opciones se encontrarán tal y como aparecen aquí.
En el Apéndice, están comentadas muchas de las opciones.
Para indicarle los usuarios que queremos, hacemos uso de db3 (Berkereley db), sino lo tenemos instalado, hacemos:

# apt-get install libdb3

Lo que hacemos ahora es crear un archivo con los login / passwords que queramos en formato db, para ello creamos un archivo de texto, y metemos logins y passwords en lineas altenas, de esta manera:

pepe
pass1
paco
pass2

Por lo tanto tenemos dos usuarios, pepe y paco, con contraseñas pass1 y pass2 respectivamente, (y al archivo lo hemos llamado users).
Ahora creamos la base de datos en formato db ayudándonos de \'Berkereley db\' (tenemos que ser root, puesto que necesitamos permisos de escritura en /etc)

# db3_load -T -t hash -f users /etc/vsftpd_login.db

Con esto hemos creado /etc/vsftpd_login.db, ahora nos aseguramos que los permisos son lo más resctrictivo posible:

# chmod 600 /etc/vsftpd_login.db

Una vez creada nuestra base de datos, necesitamos crear un archivo PAM para indicar que use nuestra base de datos. Para ello incluimos estas líneas:

auth required /lib/security/pam_userdb.so db=/etc/vsftpd_login
account required /lib/security/pam_userdb.so db=/etc/vsftpd_login

que básicamente lo que hacen es direccionar a nuestra base de datos. Una vez lo tengamos, lo copiamos a /etc/pam.d/vsftpd **OJO aqui, en otras distribuciones que no son debian, hay que copiarlo
a /etc/pam.d/ftp no a /etc/pam.d/vsftpd.
Si miramos en [1] (en debian) vemos que aparece esto:

pam_service_name
This string is the name of the PAM service vsftpd will use.
Default: vsftpd

Por lo tanto, o lo copiamos a vsftpd o indicamos pam_service_name=ftp,
o lo que queramos.
Ahora vamos a crear a nuestro usuario \'fantasma\', para esto hacemos:

# useradd -d /srv/ftp fantasma

He creado el usuario \'fantasma\' dentro de /srv/ftp. Ya tenemos casi todo, nos falta crear una buena configuración. Para esto vamos a por el archivo vsftpd.conf que se en cuentra en /etc
Como ya comentamos antes, vamos a configurarlo de tal manera que no
permitamos usuarios anónimos,

anonymous_enable=NO
local_enable=YES

Si queremos que nuestros usuarios no tengas posibilidad de escribir, hacemos:

write_enable=NO
anon_upload_enable=NO
anon_mkdir_write_enable=NO
anon_other_write_enable=NO

Y con esto enjaulamos al \'fantasma\'

chroot_local_user=YES

Y ahora el puntito final en lo que a la configuración de usuarios se refiere.

guest_enable=YES
guest_username=fantasma

Con esto estamos diciendo que todos los usuarios sean \'fantasma\' a nivel de usuario en nuestro servidor.
El resto de opciones, como ya comentamos antes vienen correctamente
explicadas en [1].
Si ahora entramos en nuestro servidor, nos va a decir que

150 Here comes the directory listing.
226 Transfer done (but failed to open directory).

Puesto que no tenemos permisos suficientes ...
Una vez aqui, alguno se preguntará y ¿como hacemos ahora para bajar/subir los archivos, si le servidor no nos deja ni movernos?
La explicación es sencilla, lo que hemos hecho es crear un entorno lo más seguro posible, que se adapte a nuestras exigencias. Pero, ahora lo que vamos a hacer es definir permisos usuario por usuario. Y eso lo vamos a conseguir con la opción \'user_config_dir\', que nosotros vamos especificarla en \'/etc/vsftpd/users\', de la siguiente manera

user_config_dir=/etc/vsftpd/users

Como no queremos que los usuarios del sistema se logueen, lo que
hacemos es ponerlo explicitamente como indicamos ahora
Creamos los directorios /etc/vsftpd y /etc/vsftpd/users, para luego
meter las características de nuestros usuarios.
Cremos una lista de usuarios a los que se deniega el acceso, y la
guardamos en /etc/vsftpd/denied_users
Para crear la lista, podemos hacerlo por ejemplo así

# cat /etc/passwd | cut -d \":\" -f 1 | sort >
/etc/vsftpd/denied_users

Si te estás preguntando porqué no queremos que los usuarios del sistema se logueen, la respuesta es: por seguridad, puesto que los usuarios suelen tener más persmisos de los necesarios en el ftp, además, los login/passwd en ftp van en texto claro, siendo muy propensas a ser esnifadas, y pueden comprometer la seguridad del servidor.
Ahora solo nos queda definir usuario a usuario los permisos de cada
uno. Para ello ló unico que tenemos que hacer es crear un archivo por usuario, con el nombre del mismo dentro de /etc/vsftpd/users, especificando las opciones \'extras\' que queremos que tenga cada uno de ellos.
Por ejemplo a pepe, le vamos a permitir \'ver\' y descargar lo que hay en /data, para ello como indicamos antes, creamos el archivo
/etc/vsftpd/users/pepe

dirlist_enable=YES
download_enable=YES
local_root=/data
write_enable=NO
anon_world_readable_only=NO

Y a paco, le vamos a permitir escribir en /srv/ftp, para lo cual
creamos otro archivo pero esta vez se llama paco, que contenga

dirlist_enable=YES
download_enable=YES
local_root=/srv/ftp
anon_upload_enable=YES
anon_world_readable_only=NO
write_enable=YES

Y así usuario a usuario podemos determinar los privilegios de cada uno, y dejarles enjaulados donde nosotros queramos, sin que puedan fisgar por el resto de nuestro sistema.


Finalmente


Con todo esto, hemos conseguido conseguido configurar el que para
mí es el mejor servidor de ftp, con usuarios fantasma, y estableciendo una configuración personalida por cada usuario. De esta manera se consigue una mayor versatilidad a la hora de configurar el servidor, y una mayor seguridad.

Apéndice



Entre las opciones destacables para nuestro propósito caben destacar estas:

  • anonymous_enable
  • Este parámetro se utiliza para definir si se permitirán los accesos anónimos al servidor de archivos. En nuestro caso seleccionamos NO queremos accesos anónimos, por lo tanto seleccionamos NO.
  • chroot_local_user
  • Si este parámetro es YES, el usuario local estará enjaulado en lo que hayamos definido como su home
  • guest_enable
  • Si está habilitado, todos los logins no anónimos (en nuestro caso todos), serán lo que hemos llamado usuarios \'fantasma\'. Es decir cualquier login será mapeado como \'fantasma\'. Nota: nosotros hemos creado un usuario en el sistema llamado \'fantasma\', puedes ponerle el nombre que quieras, muchos lo llaman \'virtual\'. Este parámetro va asociado a guest_username, que es donde definimos el nombre de usuario \'fantasma\', en nuestro caso también es fantasma.
  • guest_username
  • Ver guest_enable.
  • listen
  • Si está habilitado, vsftpd iniciará en modo \'standalone\'. Esto quiere decir que no debe ser iniciado por algún inetd, y en su lugar se ejecutará directamente.
  • listen_address
  • Si vsftpd se encuentra en modo standalone, inidicamos la dirección en la que estará escuchando.
  • local_enable
  • Este parámetro permite que los usuarios locales pueden acceder al ftp. En nuestro caso vamos a seleccionar que YES, puesto que vamos a crear un solo usuario \'fantasma\' que acceda al servidor.
  • pam_service_name
  • Indica el servicio PAM que usará vsftpd, en nuestro caso como habíamos copiado la base de datos a /etc/pam.d/vsftpd, lo llamamos vsftpd.
  • user_config_dir
  • Con esta opción como hemos explicado antes, podemos \'añadir\' permisos usuario por usuario, creando archivos simples de texto con los permisos por usuario que queramos. En esta opción se define el directorio en el que vamos a guardar esos archivos.
  • userlist_enable
  • Si está habilitado, los nombres de usuario que haya en el archivo indicado por userlist_file, no podrán acceder, siendo rechazados ANTES de que introduzcan el password, de esta manera evitamos que el password en claro de usuarios privilegiados, vaya en claro por la red.
  • userlist_file
  • Ver userlist_enable.

    El resto de opciones las podemos ver detalladas en [1]

    --



    Copyright chacal 2005 - versión 1.0



    Permission is granted to copy, distribute and/or modify this document under the terms of the GNU Free Documentation License, Version 1.1 or any later version published by the Free Software Foundation; with no Invariant Sections, and with no Front-Cover Texts, and with no Back-Cover Texts. Full text of the license is at file /usr/share/doc/gnome-core/html/fdl/C/index.html on your Debian system.

Enviado por carl0sgm el 17 Septiembre, 2008 - 00:20.

Hola...

Tambien pienso que es la mejor configuracion para un servidor FTP,

¿puede hacerse el mismo tipo de esquema, pero donde los directorios de cada usuario esten en un estacion remota?

por decir una que este hubicada en la misma red pero con distinto sistema oporativo o distinta distrubucion de linux..

¿cuales serian los cambios en esta configuracion para hacer lo que he planteado?

gracias por el articulo

Enviado por eliminado010 el 17 Septiembre, 2008 - 12:59.

carl0sgm escribió:

Hola...

Tambien pienso que es la mejor configuracion para un servidor FTP,

¿puede hacerse el mismo tipo de esquema, pero donde los directorios de cada usuario esten en un estacion remota?

por decir una que este hubicada en la misma red pero con distinto sistema oporativo o distinta distrubucion de linux..

¿cuales serian los cambios en esta configuracion para hacer lo que he planteado?

gracias por el articulo

Por favor, las dudas plantealas en el foro.

Saludos