Directivas de configuración para FTP anónimo Directivas de configuración para FTP anónimo El FTP anónimo puede ser un servicio valioso si es configurado y administrado correctamente. La primera sección de este documento proporciona la guía general en la configuración inicial de un área de FTP anónimo. Las segunda sección va dirigida a los problemas y retos involucrados cuando un sitio quiere proporcionar directorios escribibles dentro de sus áreas de FTP anónimo. La tercera sección proporciona la información sobre asesorías del CERT previamente relacionadas a los servicios de FTP. Introducción Las siguientes directivas son un conjunto de recomendaciones sugeridas que han sido beneficiosas a muchos sitios. Reconocemos que habrá sitios que tienen requerimientos y necesidades únicas, y que estos sitios pueden escoger implementar configuraciones diferentes. I. Configurar el FTP anónimo A. Demonio FTP Los sitios deberían asegurarse que esten utilizando la versión más reciente de su demonio FTP. B. Instalar los directorios FTP anónimos Los directorios raiz de FTP anónimo (~ftp) y sus subdirectorios no deben obtenerse por la cuenta de ftp o estar en el mismo grupo que la cuenta ftp. Éste es un problema común de configuración. Si cualquiera de estos directorios se obtienen por el ftp o están en el mismo grupo que la cuenta ftp y no estan protegidos contra escritura, un intruso será capaz de agregar archivos (como un archivo .rhosts ) o modificar otros archivos. Muchos sitios lo encuéntran aceptable usar la cuenta raíz. Haciendo el directorio raíz ftp y sus subdirectorios obtenídos por raíz, parte del grupo del sistema, y protegido para que sólo la raíz tenga el permiso de escritura ayudará a mantener su servicio de FTP anónimo seguro. Aquí esta un ejemplo de un arreglo de directorio FTP anónimo instalado: drwxr−xr−x 7 root system 512 Mar 1 15:17 ./ drwxr−xr−x 25 root system 512 Jan 4 11:30 ../ 1 Directivas de configuración para FTP anónimo drwxr−xr−x 2 root system 512 Dec 20 15:43 bin/ drwxr−xr−x 2 root system 512 Mar 12 16:23 etc/ drwxr−xr−x 10 root system 512 Jun 5 10:54 pub/ Los archivos y bibliotecas, sobre todo aquéllos usados por el demonio FTP y aquéllos en ~ftp/bin y ~ftp/etc, deben tener las mismas protecciones como estos directorios. No deben obtenerse por ftp o estar en el mismo grupo que la cuenta ftp; y deben ser protegidos contra escritura. C. Utilizar el password y grupo de archivos apropiados Le aconsejamos fuertemente que los sitios no usen el archivo de sistema /et/passwd como el archivo de password o el archivo de sistema /etc/group como el archivo de grupo en el directorio ~ftp/etc. Poniendo éstos archivos de sistema en el directorio ~ftp/etc le permitirá a los intrusos obtener una copia de estos archivos. Estos archivos son optativos y no se usan para el control de acceso. Recomendamos que utilice una versión ficticia de ambos, de los archivos ~ftp/etc/passwd y ~ftp/etc/group. Estos archivos deben obtenerse por raíz. El comando dir usa esta version ficticia para mostrar el nombre del usuario y de grupo de los archivos y directorios en lugar de desplegar arbitrariamente los números. Los sitios deben asegurarse que el archivo ~/ftp/etc/passwd no contienen nombres de cuentas que sean iguales a éstas en el archivo de sistema /etc/passwd. Estos archivos deben incluir sólo aquellas entradas que son reelevantes para la jerarquía FTP o necesarias para mostrar nombres del usuario y de grupos. Además, asegure que el campo del password haya sido limpiado. Los ejemplos de abajo muestran el uso de asteriscos (*) para limpiar el campo del password. Abajo esta un ejemplo de un archivo passwd del área de un FTP anónimo en cert.org: sphwg:*:3144:20:Site Specific Policy Handbook Working Group:: 2 Directivas de configuración para FTP anónimo cops:*:3271:20:COPS Distribution:: 11:30 ../ cert:*:9920:20:CERT:: tools:*:9921:20:CERT Tools:: ftp:*:9922:90:Anonymous FTP:: nist:*:9923:90:NIST Files:: II. Proporcionar directorios escribibles en su configuración de FTP anónimo A. Demonio FTP Si su sitio está planeando ofrecer un servicio "drop off", le sugerimos usar un demonio FTP modificado que controlará el acceso al directorio "drop off". Esta es la mejor manera de prevenir el uso no deseado de las áreas escribibles. Algunos modificaciones sugeridas son: 1. Implementar una política donde cualquier archivo "drop off" no pueda ser accesado hasta que el administrador del sistema examine el archivo y lo mueva a un directorio público. 2. Limitar la cantidad de datos transferidos en una sesión. 3. Limitar la cantidad global de datos transferidos basada en el espacio de disco disponible. 4. Incrementar el logging para habilitar la detección más rápida de abusos. Para los interesados en modificar el demonio FTP, el código fuente está normalmente disponible con su vendedor. Las fuentes de dominio público estan disponibles en: wuarchive.wustl.edu ~ftp/packages/wuarchive−ftpd ftp.uu.net ~ftp/systems/unix/bsd−sources/libexec/ftpd gatekeeper.dec.com ~ftp/pub/DEC/gwtools/ftpd.tar.Z B. Utilizar directorios protegidos El Centro de Coordinación del CERT no ha revisado, evaluado, o endosado formalmente el demonio FTP descrito. La decisión para usar el demonio FTP descrito es responsabilidad de cada usuario u 3 Directivas de configuración para FTP anónimo organización, e invitamos a cada organización para evaluar completamente éstos programas antes de su instalación o uso. Proteja el directorio de más alto nivel (~ftp/incoming) dando sólo permiso de ejecución al usuario anónimo (chmod 751 ~ftp/incoming). Esto podría permítirle al usuario anónimo cambiar el directorio (cd), pero no permitirle al usuario ver el contenído del directorio. drwxr−x−−x 4 root system 512 Jun 11 13:29 incoming/ Cree el subdirectorio en el ~ftp/incoming utilizando nombres sólo conocidos entre sus usuarios locales y los usuarios anónimos que usted quiera que tengan permiso "drop off". El mismo cuidado utilizado en la selección de passwords debe ser tomado en la selección estos nombres de subdirectorios porque el objetivo es escoger nombres que no pueden adivinarse fácilmente. Por favor no haga uso de nuestros ejemplos de nombres de directorio de jAjwUth2 y MhaLL − iF. drwxr − x − wx drwxr−x−wx 10 root system 512 Jun 11 13:54 jAjwUth2/ drwxr−x−wx 10 root system 512 Jun 11 13:54 MhaLL−iF/ Esto le impedirá al usuario casual de FTP anónimo escribir archivos en sus archivos de sistema del FTP anónimo. Esto es importante para lograr que este método no proteja un sitio contra el resultado de un descubrimiento intencional o accidental de los nombres del directorio. Una vez que un nombre de directorio se vuelve del conocimiento público, este método no proporciona ninguna protección en absoluto del uso no deseado del área. De llegar a ser público un nombre, un sitio podría seleccionarlo para remover o renombrar el directorio escribible. C. Utilizar una sola unidad de disco Si su sitio está planeando ofrecer un servicio "drop off " y es incapaz de modificar el demonio FTP, puede ser deseable limitar la cantidad de datos transferidos a un único sistema de archivos montado como ~ftp/incoming. Si es posible, dedique un drive de disco y montelo como ~ftp/incoming. 4 Directivas de configuración para FTP anónimo El administrador del sistema debe supervisar este directorio (~ftp / incoming) sobre una base continua para asegurar que no esta empleándose mal. 5