Vsftp - Instalação de um servidor FTP focado em segurança

cromado

Este artigo aborda a instalação de um servidor FTP com segurança. Pontos de segurança tratados: usuário FTP limitado
ao seu home, SELinux ativo, regras IPtables TCP Wrappers, limitação apenas para a pasta do usuário e criação de contas FTP.

[ Hits: 29.902 ]

Por: Leonardo MMM em 18/10/2012 | Blog: http://devopslab.com.br/

0 0
Denuncie   Favoritos   Indicar   Impressora

Introdução



O artigo está divido em duas partes, que são:
  • Parte I: Segurança do servidor FTP.
  • Parte II: Instalação, configuração, segurança e testes do FTP: vsftp.

Segurança do servidor FTP

Primeiramente, atualize o seu sistema operacional (CentOS/Red Hat/Fedora):

# yum update

Deixe o SELinux ativado. No CentOS/Red Hat, edite o arquivo /etc/selinux/config.

E mantenha a linha:

SELINUX=enforcing


IPtables

Vamos deixar a política INPUT como DROP, reforçando a segurança, e liberando apenas o FTP.

Regras:

# /sbin/iptables -F
# /sbin/modprobe nf_conntrack_ftp
# /sbin/iptables -P INPUT DROP
# /sbin/iptables -A INPUT -p tcp -m tcp --dport 21 -j ACCEPT
# /sbin/iptables -A INPUT -p tcp -m tcp --dport 20 -j ACCEPT
# /sbin/iptables -A INPUT -p ALL -i eth0 -m state --state ESTABLISHED,RELATED -j ACCEPT
# /sbin/iptables -A OUTPUT -p ALL -o eth0 -m state --state ESTABLISHED,RELATED -j ACCEPT

Para deixar as regras em modo persistente, execute:

# iptables save

E configure o módulo FTP para carregar automaticamente no IPtables:

# /etc/init.d/iptables save

Deixe o módulo "nf_conntrack_ftp" automático. Edite e deixe a linha como abaixo:

# vi /etc/sysconfig/iptables-config

IPTABLES_MODULES="nf_conntrack_ftp"


TCP Wrappers + SSH + FTP

Como o FTP, que nós vamos configurar, é baseado em logins, e estes logins são contas ativas no servidor, vamos limitar o acesso SSH apenas a nossa rede interna, utilizando o TCP Wrappers. Evitando ataques com sucesso no SSH utilizando contas FTP.

O FTP como é público, é acessível a todos. TCP Wrappers, resumidamente, é uma camada de segurança, para controlar o acesso a daemons do sistema.

Editar os arquivos /etc/hosts.allow e /etc/hosts.deny: ALLOW - /etc/hosts.allow

# vi /etc/hosts.allow

Permitindo o acesso SSH, apenas para a nossa rede interna:

sshd: 192.168.0.0/24, 10.0.0.0/8
#FTP para todos:
vsftpd: ALL


DENY (/etc/hosts.deny) - O que não for permitido no hosts.allow, será automaticamente bloqueado.

# vi /etc/hosts.deny

ALL: ALL


SSH

Conforme comentei acima, as contas dos usuários FTP são contas válidas, em um ataque de brute force SSH, alguém conseguiria logar- se no servidor com uma conta FTP.

Então, vamos dar mais uma incrementada na segurança do FTP. Fora o TCP Wrappers abordado acima, edite o arquivo e deixe as linhas:

# vi /etc/ssh/sshd_config

PermitRootLogin no

#Libere apenas os usuários que devam acessar via SSH:
AllowUsers usuariosshexemplo


    Próxima página

Páginas do artigo
   1. Introdução
   2. Instalação
Outros artigos deste autor

Instalação do Varnish + Apache + Virtual Hosts

Discos Virtuais na Amazon WS - Como expandir disco EBS em servidores virtuais Amazon WS

OUTGUESS: Oculte mensagens em fotos

Instalação do Gitlab e introdução ao Git

PHP Server Monitor - Monitore URLs e IPs

Leitura recomendada

Configurando a internet e compartilhando a rede local, com o Kurumin 6 (IPs estáticos)

Firefox: Testando e/ou utilizando várias versões

Instalando e configurando a placa 3G EVDO da Vivo no Ubuntu 6.06 LTS

Monitorando as conversas do MSN com SCANHILL

Sarg + Relatórios Automáticos + Domínio Autenticado + Desbloqueio na Página do Squid

  
Comentários
[1] Comentário enviado por jonatas.baldin em 18/10/2012 - 10:02h

Configurei o mesmo FTP praticamente igual semana passada. Ótimo artigo!

[2] Comentário enviado por danniel-lara em 18/10/2012 - 14:04h

Muito bom
Parabéns

[3] Comentário enviado por andrezc em 20/10/2012 - 21:27h

Gostei mesmo foi do título do negócio.

"vsf"tp. (:

[4] Comentário enviado por grandetilismo em 21/12/2013 - 16:06h

Excelente post.

Obrigado por postar.

Abraço.


'Os homens são miseráveis, porque não sabem ver nem entender os bens que estão ao seu alcance.'
Pitágoras

[5] Comentário enviado por andreasfelix em 21/01/2014 - 15:48h

exelente !
otimo conteudo.


Contribuir com comentário




Patrocínio

Site hospedado pelo provedor RedeHost.
Linux banner

Destaques

Artigos

Aprenda a Gerenciar Permissões de Arquivos no Linux

Fundo pontilhado CSS

Como transformar um áudio em vídeo com efeito de forma de onda (wave form)

Como aprovar Pull Requests em seu repositório Github via linha de comando

Como gerar um podcast a partir de um livro em PDF

Dicas

Dando - teoricamente - um gás no Gnome-Shell do Arch Linux

Como instalar o Google Cloud CLI no Ubuntu/Debian

Mantenha seu Sistema Leve e Rápido com a Limpeza do APT!

Procurando vídeos de YouTube pelo terminal e assistindo via mpv (2025)

Gravação de tela com temporizador

Tópicos

Erro IGYDS0084-S (0)

Distro para Kit Xeon (6)

indique distro :) (3)

Problema ao deixar o Xorg como principal (2)

Pastas da raiz foram para a área de trabalho (2)

Top 10 do mês

Scripts

[Shell Script] Criar Script para apagar determinados arquivos

[Shell Script] inSANE - Script para usar Scanner

[Shell Script] Instalador do emulador de joystick Xbox para joystick generico para PC, PS2, PS3 (Debian e Derivados

[Shell Script] Instalador de Hotspot Linux Debian (SysV)

[Shell Script] Script para verificar o Status da bateria

A maior comunidade GNU/Linux da América Latina! Artigos, dicas, tutoriais, fórum, scripts e muito mais. Ideal para quem busca auto-ajuda.

Site hospedado por: