Instalación o actualización de software

Instalación a través de yum.

Si utiliza CentOS 4 o White Box Enterprise Linux 4, solo se necesita realizar lo siguiente para instalar o actualizar el equipamiento lógico necesario:

yum -y install vsftpd

Ficheros de configuración.

/etc/vsftpd.user_list Lista que definirá usuarios a enjaular o no a enjaular, dependiendo de la configuración.

/etc/vsftpd/vsftpd.conf Fichero de configuración.

Procedimientos.

SELinux y el servicio vsftpd.

SELinux controla varias funciones de el servicio vsftpd incrementando el nivel de seguridad de éste.

Para permitir que los usuarios anónimos puedan realizar procesos de escritura sobre el sistema de ficheros, utilice el siguiente mandato:

setsebool -P allow_ftpd_anon_write 1

Para hacer que SELinux permita al servicio vsftpd acceder a los usuarios locales a sus directorios de inicio, utilice el siguiente mandato:

setsebool -P allow_ftpd_full_access 1

Si se necesita permitir acceder con las cuentas de usuarios locales a sus directorio de inicio de éstos, se debe habilitar la política ftp_home_dir:

setsebool -P ftp_home_dir 1

Para permitir que el servicio vsftpd pueda hacer uso de sistemas de ficheros remotos a través de CIFS (Samba) o NFS, y que serán utilizados para compartir a través del servicio, utilice cualquiera de los siguientes mandatos:

setsebool -P allow_ftpd_use_cifs 1

setsebool -P allow_ftpd_use_nfs 1

Para que SELinux permita al servicio vsftpd funcionar normalmente, haciendo que todo lo anteriormente descrito en esta sección pierda sentido, utilice el siguiente mandato:

setsebool -P ftpd_disable_trans 1

Fichero /etc/vsftpd/vsftpd.conf.

Utilice un editor de texto y modifique el fichero /etc/vsftpd/vsftpd.conf. A continuación analizaremos los parámetros a modificar o añadir, según se requiera para necesidades particulares.

Parámetro anonymous_enable.

Se utiliza para definir si se permitirán los accesos anónimos al servidor. Establezca como valor YES o NO de acuerdo a lo que se requiera.

anonymous_enable=YES

Parámetro local_enable.

Es particularmente interesante si se combina con la función de jaula (chroot). Establece si se van a permitir los accesos autenticados de los usuarios locales del sistema. Establezca como valor YES o NO de acuerdo a lo que se requiera.

local_enable=YES

Parámetro write_enable.

Establece si se permite el mandato write (escritura) en el servidor. Establezca como valor YES o NO de acuerdo a lo que se requiera.

write_enable=YES

Parámetro anon_upload_enable

Específica si los usuarios anónimos tendrán permitido subir contenido al servidor. Por lo general no es una función deseada, por lo que se acostubra desactivar ésta.

anon_upload_enable=NO

Parámetro anon_mkdir_write_enable

Específica si los usuarios anónimos tendrán permitido crear directorios en el servidor. Al igual que la anterior, por lo general no es una función deseada, por lo que se acostumbra desactivar ésta.

anon_mkdir_write_enable=NO

Parámetro ftpd_banner.

Este parámetro sirve para establecer el banderín de bienvenida que será mostrado cada vez que un usuario acceda al servidor. Puede establecerse cualquier frase breve que considere conveniente.

ftpd_banner=Bienvenido al servidor FTP de nuestra empresa.

Estableciendo jaulas para los usuarios: parámetros chroot_local_user y chroot_list_file.

De modo predeterminado los usuarios del sistema que se autentiquen tendrán acceso a otros directorios del sistema fuera de su directorio personal. Si se desea recluir a los usuarios a solo poder utilizar su propio directorio personal, puede hacerse fácilmente con el parámetro chroot_local_user que habilitará la función de chroot() y los parámetros chroot_list_enable y chroot_list_file para establecer el fichero con la lista de usuarios que quedarán excluidos de la función chroot().

chroot_local_user=YES

chroot_list_enable=YES

chroot_list_file=/etc/vsftpd/vsftpd.chroot_list

Con lo anterior, cada vez que un usuario local se autentique en el servidor FTP, solo tendrá acceso a su propio directorio personal y lo que este contenga. No olvide crear el fichero /etc/vsftpd/vsftpd.chroot_list, ya que de otro modo no arrancará el servicio vsftpd.

touch /etc/vsftpd/vsftpd.chroot_list

Control del ancho de banda.

Parámetro anon_max_rate.

Se utiliza para limitar la tasa de transferencia en bytes por segundo para los usuarios anónimos, algo sumamente útil en servidores FTP de acceso público. En el siguiente ejemplo se limita la tasa de transferencia a 5 Kb por segundo para los usuarios anónimos:

anon_max_rate=5120

Parámetro local_max_rate.

Hace lo mismo que anon_max_rate, pero aplica para usuarios locales del servidor. En el siguiente ejemplo se limita la tasa de transferencia a 5 Kb por segundo para los usuarios locales:

local_max_rate=5120

Parámetro max_clients.

Establece el número máximo de clientes que podrán acceder simultáneamente hacia el servidor FTP. En el siguiente ejemplo se limitará el acceso a 5 clientes simultáneos.

max_clients=5

Parámetro max_per_ip.

Establece el número máximo de conexiones que se pueden realizar desde una misma dirección IP. Tome en cuenta que algunas redes acceden a través de un servidor intermediario (Proxy) o puerta de enlace y debido a esto

...