Muestra las diferencias entre dos versiones de la página.
Ambos lados, revisión anterior Revisión previa Próxima revisión | Revisión previa | ||
servidores:general:proftpd [2014/07/04 06:36] fmolinuevo [ProFTPd: instalación y configuración] |
servidores:general:proftpd [2014/07/04 07:12] (actual) fmolinuevo [Bibliografía] |
||
---|---|---|---|
Línea 1: | Línea 1: | ||
====== ProFTPd: instalación y configuración ====== | ====== ProFTPd: instalación y configuración ====== | ||
+ | |||
+ | ===== Instalación ===== | ||
En Debian, la instalación simplemente se reduce a: | En Debian, la instalación simplemente se reduce a: | ||
Línea 5: | Línea 7: | ||
aptitude install proftpd-basic | aptitude install proftpd-basic | ||
- | Luego, el archivo de configuración principal es **/etc/proftpd/proftpd.conf**. En éste se deben cambiar algunas opciones. | + | El archivo de configuración principal es **/etc/proftpd/proftpd.conf**. En éste se deben cambiar algunas opciones. |
+ | |||
+ | ===== Configuración ===== | ||
Si no se requiere IPv6: | Si no se requiere IPv6: | ||
Línea 25: | Línea 29: | ||
DenyGroup !ftpuser | DenyGroup !ftpuser | ||
</Limit> | </Limit> | ||
+ | </code> | ||
+ | |||
+ | La directiva MasqueradeAddress existe para enmascarar la dirección privada del servidor FTP en caso de que se use NAT. Pero al usarla **se invalida el propósito de los ftp helper modules de Netfilter, por lo que no debe activarse**: | ||
+ | |||
+ | <code> | ||
+ | # If your host was NATted, this option is useful in order to | ||
+ | # allow passive tranfers to work. You have to use your public | ||
+ | # address and opening the passive ports used on your firewall as well. | ||
+ | #MasqueradeAddress aaa.bbb.ccc.ddd | ||
+ | </code> | ||
+ | |||
+ | Como se limitó el acceso a los usuarios que pertenezcan al grupo "ftpuser", se debe crear dicho grupo para agregar a él los usuarios que accederán: | ||
+ | |||
+ | addgroup ftpuser | ||
+ | |||
+ | Además, crearemos un directorio donde se crearán los homes de los usuarios: | ||
+ | |||
+ | mkdir /var/ftp | ||
+ | |||
+ | Para agregar usuarios: | ||
+ | |||
+ | adduser usuario -shell /bin/false -home /var/ftp | ||
+ | |||
+ | El paso final es agregar el usuario al grupo ftpuser: | ||
+ | |||
+ | adduser usuario ftpuser | ||
+ | |||
+ | ===== Fail2Ban y firewall ===== | ||
+ | |||
+ | Para proteger de ataques por fuerza bruta, se puede instalar **Fail2Ban**, activando el jail para ProFTPd: | ||
+ | |||
+ | <code> | ||
+ | [proftpd] | ||
+ | |||
+ | enabled = true | ||
+ | port = ftp,ftp-data,ftps,ftps-data | ||
+ | filter = proftpd | ||
+ | logpath = /var/log/proftpd/proftpd.log | ||
+ | maxretry = 3 | ||
+ | </code> | ||
+ | |||
+ | Si se tiene instalado **Shorewall** en un firewall, y el ProFTPd está detrás del mismo, se debe agregar una línea como la siguiente en **rules**: | ||
+ | |||
+ | <code> | ||
+ | #ACTION SOURCE DESTINATION PROTO DEST SOURCE ORIGINAL | ||
+ | # PORT(S) PORT(S) DESTINATION | ||
+ | DNAT net loc:192.168.1.12 tcp 21 - <external IP addr> | ||
</code> | </code> | ||
===== Bibliografía ===== | ===== Bibliografía ===== | ||
+ | * http://www.proftpd.org/docs/howto/ConfigFile.html | ||
* http://www.thomas-krenn.com/en/wiki/Setup_FTP_Server_under_Debian | * http://www.thomas-krenn.com/en/wiki/Setup_FTP_Server_under_Debian | ||
+ | * http://shorewall.net/FTP.html |