vsftpd Anexos vsftpd Anexos Índice 1 El usuario “ftp”..........................................................................................................................................1 2 Directivas útiles..........................................................................................................................................2 3 Las directivas “userlist_” y “chroot_”.....................................................................................................4 4 Directivas de log........................................................................................................................................5 1 El usuario “ftp” Al instalar el servicio, se crea en el sistema el usuario ftp y el grupo ftp. El home directory de ftp es /srv/ftp, propiedad de usuario=root, grupo=ftp. Para acceder al servidor en modo anónimo, se puede utilizar el usuario ftp o anonymous. El usuario anonymous se mapea al usuario ftp. El home directory definido para ftp en /etc/passwd es el directorio raíz donde se conecta el usuario anónimo, donde queda enjaulado. Directivas relacionadas con el usuario anónimo: • anon_root=/nueva/ruta Predeterminado=no tiene. Carpeta raíz para conexiones anónimas. Si se modifica, tener en cuenta los permisos de la nueva ubicación. • ftp_username=carmelo Predeterminado=ftp Cuenta local para el usuario anónimo. • anon_upload_enable=YES Predeterminado=NO Para permitir subir archivos al anónimo. (Tiene que estar activada, además, write_enable) 1/5 vsftpd Anexos • anon_mkdir_write_enable=YES Predeterminado=NO Para permitir crear carpetas al anónimo. (Tiene que estar activada, además, write_enable) • no_anon_password=YES Predeterminado=NO Para requerir o no escribir una contraseña al anónimo. Otra forma de modificar el directorio raíz para los anónimos sería modificando el home directory para la cuenta local ftp: usermod -d /nueva/ruta ftp 2 Directivas útiles directiva default Significado GENERAL listen YES Servidor independiente. No depende de xinetd listen_port 21 Puerto de control connect_from_port_20 NO Permitir conexiones activas. Puerto de datos. TRANSFERENCIAS download_enable YES Permitir descargas write_enable NO Permitir subidas USUARIO ANÓNIMO anonymous_enable YES Permitir acceso anónimo anon_upload_enable NO Permitir subir archivos al anónimo USUARIOS LOCALES local_enable NO Permitir acceso a usuario locales chroot_local_user NO Enjaular usuarios locales chroot_list_enable NO Utilizar lista de usuarios para la jaula chroot_list_file /etc/vsftpd.chroot_list Fichero de lista de usuarios para enjaular userlist_enable NO Utilizar lista de usuarios para el acceso userlist_deny YES Denegar acceso a usuarios de la lista userlist_file /etc/vsftpd.user_list Fichero de lista de usuarios para el acceso 2/5 vsftpd Anexos MENSAJES ftpd_banner (nada) Mensaje de bienvenida dirmessage_enable NO Habilitar mensajes personalizados para cada directorio al que accede un usuario. message_file .message Nombre del fichero que almacena el mensaje. ANCHO DE BANDA, CONEXIONES, ... idle_session_timeout 300 Tiempo máximo (en segundos) entre dos comandos FTP. max_clients 0 (sin límite) Máximo número de conexiones simultáneas trans_chunk_size 0 (auto) Ancho de banda (bytes/sg) total del servidor. (¡ojo! Pendiente de confirmación) anon_max_rate 0 (sin límite) Ancho de banda (bytes/sg) para los anónimos. LOGGING vsftpd_log_file /var/log/vsftpd.log Fichero de log, escrito en formato vsftpd xferlog_enable NO Habilitar ficheros de log de transferencias. xferlog_file /var/log/xferlog Fichero de log de transferencias xferlog_std_format NO Formato estándar wu-ftpd del fichero de log de transferencias dual_log_enable NO Activar ambos logs: el “normal” y el de transferencias. syslog_enable NO Si se activa, todos los log se registran en el fichero de log del sistema /var/log/syslog 3/5 vsftpd Anexos 3 Las directivas “userlist_” y “chroot_” Nos centramos en los usuarios locales. El usuario anónimo se maneja con otras directivas que, en principio, no se suelen utilizar ya que, por defecto, se permite su acceso de solo lectura y queda enjaulado en el directorio predeterminado, que es la configuración recomendada. userlist_ Permitir o denegar acceso a los usuarios locales. userlist_file default /etc/vsftpd.user_list userlist_enable userlist_deny Efecto NO YES No se usa lista de usuarios NO NO No se usa lista de usuarios YES YES Deniega acceso a usuarios listados en el archivo YES NO Permite acceso sólo a los usuarios listados en el archivo chroot_ Enjaular o no a los usuarios locales en su directorio personal. chroot_list_file default /etc/vsftpd.chroot_list chroot_ local_user chroot_ list_enable NO NO No se enjaula a nadie. YES NO Enjaula a todos los usuarios. NO YES Enjaula sólo a los usuarios listados en el archivo YES YES Enjaula sólo a los usuarios que no están listados en el archivo 4/5 Efecto vsftpd Anexos 4 Directivas de log Formatos de log: • el propio de vsftpd ◦ • (fichero vsftpd_log_file=/var/log/vsftpd.log) ventaja: más cómodo de leer el estándar xferlog, al estilo wu-ftpd ◦ (fichero xferlog_file=/var/log/xferlog) ventaja: puede ser utilizado con herramientas de generación de estadísticas xfer = transfer Cuando nos referimos al fichero de log de transferencias. default syslog_ enable dual_log_ enable xferlog_ enable xferlog_ std_format NO NO NO NO No se guarda log YES NO Log se guarda sólo en vsftpd_log_file YES YES Log se guarda sólo en xferlog_file YES Efecto Log se guarda en ambos ficheros. YES Log se guarda sólo en fichero del sistema Aula 30x [email protected] diciembre 2015 @aula30x 5/5