Vsftp - Instalação de um servidor FTP focado em segurança
Este artigo aborda a instalação de um servidor FTP com segurança. Pontos de segurança tratados: usuário FTP limitado
ao seu home, SELinux ativo, regras IPtables TCP Wrappers, limitação apenas para a pasta do usuário e criação de contas FTP.[ Hits: 29.696 ]
Por: Leonardo Macedo Cerqueira em 18/10/2012 | Blog: http://devopslab.com.br/
Introdução
- Parte I: Segurança do servidor FTP.
- Parte II: Instalação, configuração, segurança e testes do FTP: vsftp.
Segurança do servidor FTP
Primeiramente, atualize o seu sistema operacional (CentOS/Red Hat/Fedora):# yum update
Deixe o SELinux ativado. No CentOS/Red Hat, edite o arquivo /etc/selinux/config.
E mantenha a linha:
IPtables
Vamos deixar a política INPUT como DROP, reforçando a segurança, e liberando apenas o FTP.Regras:
# /sbin/iptables -F
# /sbin/modprobe nf_conntrack_ftp
# /sbin/iptables -P INPUT DROP
# /sbin/iptables -A INPUT -p tcp -m tcp --dport 21 -j ACCEPT
# /sbin/iptables -A INPUT -p tcp -m tcp --dport 20 -j ACCEPT
# /sbin/iptables -A INPUT -p ALL -i eth0 -m state --state ESTABLISHED,RELATED -j ACCEPT
# /sbin/iptables -A OUTPUT -p ALL -o eth0 -m state --state ESTABLISHED,RELATED -j ACCEPT
Para deixar as regras em modo persistente, execute:
# iptables save
E configure o módulo FTP para carregar automaticamente no IPtables:
# /etc/init.d/iptables save
Deixe o módulo "nf_conntrack_ftp" automático. Edite e deixe a linha como abaixo:
# vi /etc/sysconfig/iptables-config
TCP Wrappers + SSH + FTP
Como o FTP, que nós vamos configurar, é baseado em logins, e estes logins são contas ativas no servidor, vamos limitar o acesso SSH apenas a nossa rede interna, utilizando o TCP Wrappers. Evitando ataques com sucesso no SSH utilizando contas FTP.O FTP como é público, é acessível a todos. TCP Wrappers, resumidamente, é uma camada de segurança, para controlar o acesso a daemons do sistema.
Editar os arquivos /etc/hosts.allow e /etc/hosts.deny: ALLOW - /etc/hosts.allow
# vi /etc/hosts.allow
Permitindo o acesso SSH, apenas para a nossa rede interna:
#FTP para todos:
vsftpd: ALL
DENY (/etc/hosts.deny) - O que não for permitido no hosts.allow, será automaticamente bloqueado.
# vi /etc/hosts.deny
SSH
Conforme comentei acima, as contas dos usuários FTP são contas válidas, em um ataque de brute force SSH, alguém conseguiria logar- se no servidor com uma conta FTP.Então, vamos dar mais uma incrementada na segurança do FTP. Fora o TCP Wrappers abordado acima, edite o arquivo e deixe as linhas:
# vi /etc/ssh/sshd_config
#Libere apenas os usuários que devam acessar via SSH:
AllowUsers usuariosshexemplo
2. Instalação
Discos Virtuais na Amazon WS - Como expandir disco EBS em servidores virtuais Amazon WS
OUTGUESS: Oculte mensagens em fotos
PHP Server Monitor - Monitore URLs e IPs
Instalação do Gitlab e introdução ao Git
Canal IRC do VOL - Participe você também!
Configurando a internet e compartilhando a rede local, com o Kurumin 6 (IPs estáticos)
Como bloquear anúncios indesejados durante sua navegação pela web
Laconica - Twitter? Open source? Sim! Eis nosso microbloging de código aberto
Squid passo a passo no Debian para iniciantes
Configurei o mesmo FTP praticamente igual semana passada. Ótimo artigo!
Gostei mesmo foi do título do negócio.
"vsf"tp. (:
Excelente post.
Obrigado por postar.
Abraço.
'Os homens são miseráveis, porque não sabem ver nem entender os bens que estão ao seu alcance.'
Pitágoras
Patrocínio
Destaques
Artigos
Passkeys: A Evolução da Autenticação Digital
Instalação de distro Linux em computadores, netbooks, etc, em rede com o Clonezilla
Título: Descobrindo o IP externo da VPN no Linux
Armazenando a senha de sua carteira Bitcoin de forma segura no Linux
Enviar mensagem ao usuário trabalhando com as opções do php.ini
Dicas
Como configurar posicionamento e movimento de janelas no Lubuntu (Openbox) com atalhos de teclado
Máquinas Virtuais com IP estático acessando Internet no Virtualbox
Instalar o Microsoft Edge no Slackware 15
Instalando Brave Browser no Linux Mint 22
vídeo pra quem quer saber como funciona Proteção de Memória:
Tópicos
Separar trafego da VPN da VPS (0)
Formatando cartão de memoria que nao formata[AJUDA] (17)
warsaw parou de funcionar após atualização do sistema (solução) (0)
Desde que seja DDR3, posso colocar qualquer memória? [RESOLVIDO] (6)
Top 10 do mês
-
Xerxes
1° lugar - 75.591 pts -
Fábio Berbert de Paula
2° lugar - 54.278 pts -
Mauricio Ferrari
3° lugar - 16.916 pts -
Andre (pinduvoz)
4° lugar - 16.025 pts -
Alberto Federman Neto.
5° lugar - 15.339 pts -
Daniel Lara Souza
6° lugar - 15.238 pts -
Diego Mendes Rodrigues
7° lugar - 15.100 pts -
Buckminster
8° lugar - 14.226 pts -
edps
9° lugar - 12.548 pts -
Alessandro de Oliveira Faria (A.K.A. CABELO)
10° lugar - 11.869 pts
Scripts
A maior comunidade GNU/Linux da América Latina! Artigos, dicas, tutoriais, fórum, scripts e muito mais. Ideal para quem busca auto-ajuda.
Site hospedado por:
