FTP Proftpd MemoriaSDC El Mejor

7/22/2019 FTP Proftpd MemoriaSDC El Mejor

1/38

Software de Comunicaciones

Prctica 2 - File Transfer Protocol

Juan Dez-Yanguas Barber

Software de Comunicaciones

Ingeniera Informtica - 5 Curso

______________________________________________________________________________________ Jdyb - Febrero 2013


2/38

ndice

1. Practica! 31.1. Cliente de terminal! 31.2. Cliente grfico! 51.3. Observaciones en el servidor! 81.4. Instalacin del servidor FTP! 9

2. Configuracin de ProFTP! 102.1. Acceso identificado sin restriccin! 102.2. Restringir el Login a usuarios! 102.3. Limitar Login por direcciones de origen! 122.4. Limitar los derechos de escritura! 132.5. Permisos asociados a archivos y directorios! 142.6. Acceso identificado pero restringido! 162.7. Habilitar el acceso annimo! 182.8. Configuracin de un servidor virtual! 21

3. Partes Opcionales! 243.1. Modulos opcionales! 243.2. Mdulo IfSession! 253.3. Mdulo Quotatab ! 273.4. Mdulo ratio! 313.5. Instalacin y configuracin bsica de VsFTPD en CentOS 5! 35

Juan Dez- Yanguas Barber! Prctica 2______________________________________________________________________________________

______________________________________________________________________________________ Jdyb - Febrero 2013! 2!


3/38

1. Practica

! Para la realizacin de este apartado simplemente hemos aadido en la mquinavirtual un usuario juan para poder acceder va FTP ya que el servidor no permite el

acceso al usuario root por defecto (aunque se puede configurar con RootLogin).Posteriormente simplemente arrancaremos el servicio con el comando correspondiente.

serviceproftpdstart

1.1. Cliente de terminal

! Una vez arrancaremos el servicio nos conectaremos mediante el cliente de terminalde MacOs.

[email protected]

! A medida que ejecutemos comandos veremos indicado mediante una flecha elcomando que se enva como comando de FTP que ser distinto al comando que el cliente

nos permite ejecutar.


______________________________________________________________________________________ Jdyb - Febrero 2013! 3!


4/38

! Podemos movernos por las carpetas y listar su contenido. Observaremos queaunque segn el cliente estamos en el directorio raz no lo estamos, puesto que el

servidor nos ha ch-rooteadoen la carpeta del usuario que es como est configurado por

defecto en la configuracin del servidor.

! En la captura anterior se observa que cuando hemos pedido informacin al servidorcomo el contenido de un directorio ha pedido al cliente la apertura de conexiones en

modo pasivo, puede resultar extrao cuando no se ha ido a transferir ningn fichero, pero

lo cierto es que el contenido de un directorio el servidor lo listar en un fichero y lo

transferir al cliente, aunque todo esto sea transparente para el usuario.

! Podemos tambin usar los comandos la lnea de comandos del cliente FTP parabajar o subir ficheros al servidor.


______________________________________________________________________________________ Jdyb - Febrero 2013! 4!


5/38

1.2. Cliente grfico

! Para finalizar tambin tenemos la opcin de usar un cliente grfico, en este casousar el cliente de Mac Transmit, un cliente bastante avanzado, podremos ver los

comandos enviados al servidor al igual que lo acabamos de ver con el cliente en modo

terminal.

! Lo primero que haremos ser aadir el servidor y configuraremos el modo deconexin en modo pasivo.


______________________________________________________________________________________ Jdyb - Febrero 2013! 5!


6/38

! Se puede observar que una vez que nos hemos conectado lo primero que hahecho ha sido pedir al servidor automticamente los contenidos de la carpeta raz (que

como ya hemos comentado no era la carpeta raz del sistema.

! Una cuestin interesante es que al ser un cliente grfico avanzado est ejecutandoms comandos automticamente, vemos como ha tomado informacin del servidor, ha

seteado el tipo de transferencia (ASCII o imagen, en este caso ASCII), la consola del

cliente nos muestra los comandos enviados al servidor en negrita.


______________________________________________________________________________________ Jdyb - Febrero 2013! 6!


7/38

! Si copiamos un archivo que no sea de texto, una imagen por ejemplo veremoscomo el cliente automticamente ajusta las opciones de transferencia para este tipo de

archivos, que en este caso ser transferencia en modo imagen TYPEI. Esto lo har

porque el cliente tiene en sus opciones los ficheros que hay que transferir en modo ASCII,

por lo tanto el resto lo har en modo imagen.


______________________________________________________________________________________ Jdyb - Febrero 2013! 7!


8/38

1.3. Observaciones en el servidor!!

Para finalizar podemos observar los procesos que se estn ejecutando en elservidor y vemos como tenemos el proceso demonio del propio servidor y cuando hay una

conexin activa se puede ver como se crea una nueva instancia para atender las

peticiones de la misma, y en este caso vemos que el usuario del proceso es juan en vez

de nobodycomo el del proceso demonio.


______________________________________________________________________________________ Jdyb - Febrero 2013! 8!


9/38

1.4. Instalacin del servidor FTP

! Dado que nos ha sido proporcionado el paquete rpm del servidor en losrepositorios locales de la mquina virtual ser suficiente con instalar el paquete rpm quepodemos encontrar en /usr/local/src/proftpd.

[root@serverproftpd]#rpm-ivhproftpd-1.3.3g-1.el5.i386.rpm

! Si lo que queremos es que se inicie automticamente el servicio al iniciar elservidor lo podemos hacer mediante el comando chkconfig.

chkconfigproftpdon

chkconfig --add proftpd --Para indicar que proftpd va a ser

gestionarporchkconfig

! Podemos comprobar que se ha ejecutado correctamente observando el contenidode la carpeta rc3.d que es el nivel de ejecucin que estamos usando (sin interfaz grfico).

[[email protected]]#ls-la/etc/rc3.d/|grepproftpd

lrwxrwxrwx1rootroot17feb818:27S80proftpd->../init.d/proftpd


______________________________________________________________________________________ Jdyb - Febrero 2013! 9!


10/38


11/38

! Podemos por ejemplo permitir el acceso a juan y user1 y denegar al resto, porejemplo el user2no podr entrar.

AllowUserjuanuser1DenyAll

! Para comprobar que las directivas aplicadas funcionan nos dirigimos al clientecomprobamos por un lado que juan y user1 puedan acceder y user2 no pueda acceder.


______________________________________________________________________________________ Jdyb - Febrero 2013! 11!


12/38

2.3. Limitar Login por direcciones de origen

! En este apartado tendremos que usar una directiva similar al apartado anterior perocon rangos de direcciones. Permitiremos el acceso desde la direccin de la mquina

anfitriona y restringiremos el acceso desde cualquier otra direccin.

Orderallow,deny

Allowfrom172.16.183.1

Denyfromall

! Si ahora nos cambiamos de direccin IP en la mquina anfitriona e intentamosentrar veremos que no podemos abrir la sesin en el servidor FTP.


______________________________________________________________________________________ Jdyb - Febrero 2013! 12!


13/38

2.4. Limitar los derechos de escritura

! Podemos restringir la escritura por ejemplo a todos los usuarios. Para ellousaremos el grupo de comandos WRITE y la directiva que hemos usado anteriormente

pero para este grupo de comandos.

Denyfromall

!! Si iniciamos la sesin veremos que no podemos escribir en ningn directorio, ni enel home del propio usuario ni en otras carpetas del sistema (desactivamos DefaultRoot).


______________________________________________________________________________________ Jdyb - Febrero 2013! 13!


14/38

2.5. Permisos asociados a archivos y directorios

! Para esta tarea usaremos el valor de Umask, el valor que se establece en estadirectiva ser restado a los permisos por defecto que usa el servidor para aplicar a los

nuevos archivos y directorios (666 para los ficheros y 777 para los directorios). As por

ejemplo si usamos el valor 000 se quedarn como estn por defecto.

! Para las operaciones se ha de tener en cuenta que cada permiso suma un valordiferente:

Lectura: 4

Escritura: 2

Ejecucin: 1

666--> -rw-rw-rw

777--> drwxrwxrwx!Umask ficherodirectorio

Umask 000000


______________________________________________________________________________________ Jdyb - Febrero 2013! 14!


15/38

! Si aplicamos la mscara 002 para ficheros y directorios nos debera quedar comosigue.

! Fichero: 666 - 002 = 664 --> -rw-rw-r--! Directorio: 777 - 002 = 775 --> drwxrwxr-x Umask 002002


______________________________________________________________________________________ Jdyb - Febrero 2013! 15!


16/38

! Finalmente trataremos de hacer lo mismo para la mscara 027, siguiendo el mismoprocedimiento que en el apartado anterior veamos como deberan quedar los permisos.

! Fichero: 666 - 027 = 639 ---> -rw-r-----! Directorio: 777 - 027 = 750 ---> drwxr-x---! Umask! ! 027 027

2.6. Acceso identificado pero restringido

! En este apartado veremos la directiva DefaultRoot que ya se introdujoanteriormente. Estableceremos un punto de entrada para juan en su home y para el

resto de los usuarios el directorio html que estar dentro de su home.

! Dentro de cada directorio html hemos creado un fichero llamado hola paraasegurarnos de que hemos entrado donde deberamos ya que la directiva pwd nos

mostrar si todo ha ido bien que estamos en la raz (debido a estar ch-rooteados).

DefaultRoot ~juan

DefaultRoot ~/html

!


______________________________________________________________________________________ Jdyb - Febrero 2013! 16!


17/38


______________________________________________________________________________________ Jdyb - Febrero 2013! 17!


18/38

2.7. Habilitar el acceso annimo

! Para habilitar el acceso annimo habr que ir a otro fichero a modificar el valor dela variable correspondiente ya que las directivas que hay en el fichero de configuracin

del proftp estn condicionadas al valor de dicha variable.

/etc/sysconfig/proftpd

PROFTPD_OPTIONS="-DANONYMOUS_FTP"

! Una vez hecho esto nos vamos al fichero de configuracin y establecemos el puntode entrada que se indica en el enunciado y los dems ajustes.

Deshabilitamos VRootEngine como se especifica en el enunciado

VRootEngine off

! Definimos el punto de entrada que se ha especificado

! Establecemos los alias que se han indicadoUserAlias anonymousftp

UserAlias invitadoftp

!! Lo primero que ser interesante hacer es prohibir cualquier tipo de escritura entodo el directorio annimo, aunque en el paso siguiente modifiquemos este

comportamiento para el directorio de subidas. Prohibimos la escritura el cambio de

permisos.

DenyAll

!!


______________________________________________________________________________________ Jdyb - Febrero 2013! 18!


19/38

! Prohibimos la lectura para del directorio de subidas y permitimos su escritura, perosolo escritura, no borrado ni modificacin, por lo tanto usamos el grupo STOR de

comandos

AllowAll

DenyAll

! Por ltimo si solo queremos que sea de acceso annimo establecemos la siguientedirectiva, limitamos el grupo de comandos de LOGIN a todos los usuarios menos al

usuario ftp, que es donde se mapean los alias establecidos.

AllowUserftp

DenyAll

! A continuacin mostramos que se han establecido los directorios indicadoscorrectamente con su propietario y permisos.

! Ahora pasaremos a probar cada una de las opciones que se han establecido en elfichero de configuracin.


______________________________________________________________________________________ Jdyb - Febrero 2013! 19!


20/38


______________________________________________________________________________________ Jdyb - Febrero 2013! 20!


21/38

2.8. Configuracin de un servidor virtual

! En este apartado configuraremos un servidor virtual a la escucha de una interfazvirtual de la mquina virtual que ser eth0:0.

! Mostramos a continuacin la configuracin de la interfaz virtual contenida en elfichero /etc/sysconfig/network-scripts/ifcfg-eth0:0

DEVICE=eth0

#BOOTPROTO=dhcp

BOOTPROTO=none

ONBOOT=yes

IPADDR=172.16.183.128

NETMASK=255.255.255.0GATEWAY=172.16.183.2

DNS1=192.168.1.2


______________________________________________________________________________________ Jdyb - Febrero 2013! 21!


22/38

! Una vez que est configurada la interfaz, nos creamos una carpeta en /var/virtual, ydentro de sta ponemos un fichero de que se llama soy_virtual para comprobar que

hemos entrado en la carpeta que debamos de haber entrado. Una vez hecho esto

pasamos a configurar el servidor virtual en el fichero de configuracin de proftp.

!Crearemos un servidor virtual a la escucha en la direccin 172.16.183.128 y tendr

como directorio de entrada para todos los usuarios /var/virtual.

ServerName"ServidorVirtual"

DefaultRoot/var/virtual

! Puesto que no hay ninguna configuracin en la clusula sobre el acceso annimono estar permitido el acceso de este modo. Comprobaremos el funcionamiento correcto

del servidor virtual a continuacin.


______________________________________________________________________________________ Jdyb - Febrero 2013! 22!


23/38


______________________________________________________________________________________ Jdyb - Febrero 2013! 23!


24/38

3. Partes Opcionales

3.1. Modulos opcionales

!En este apartado se pretende configurar los mdulos de Ifsession, ratio y quotatab;

el primero de ellos tiene como finalidad establecer diferentes ajustes dependiendo de la

sesin, el segundo de ellos permite ajustar ratios de subida y bajada, finalmente, el

tercero de ellos aplicar permisos diferentes a las sesiones o usuarios, cuando nos

referimos a permisos nos referimos a la aplicacin de quotas o lmites de uso

dependiendo de los usuarios.

! Puesto que son mdulos externos lo primero que habr que hacer es comprobarque la distribucin rpm que hemos instalado contiene los mdulos compilados o al menos

como mdulos dinmicos. Para ello miramos en la carpeta de instalacin de libreras de

proftpd /usr/libexec/proftpd

! Hecho esto lo que hemos de hacer es cargar el mdulo en el fichero deconfiguracin de proftpd.

LoadModulemod_ifsession.c

LoadModulemod_ratio.c

LoadModulemod_quotatab.c

! Una vez hecho esto lo que haremos es establecer las configuraciones en el ficherode configuracin de proftp como ya hemos hecho en anteriores ocasiones.

! El primer mdulo tiene como objetivo aplicar diferentes directivas de configuracina las sesiones de FTP, para hacer esta diferencia se basa en clases, usuarios o grupos de

usuarios.

! El tercer mdulo tiene como objetivo la asignacin de cuotas de uso, para su usotendremos que habilitar ese mdulo y otros sub-mdulos dependiendo de donde estn los


______________________________________________________________________________________ Jdyb - Febrero 2013! 24!


25/38

lmites de uso, puede ser en un fichero, en una base de datos, en un servidor LDAP, o en

un servidor RADIUS.

3.2. Mdulo IfSession

! Para el uso del primer mdulo mostraremos un ejemplo para la sesin de usuario 1user1 y usaremos la directiva DirFakeUser y DirFakeGroup que sirven para que el

usuario que entra vea los propietarios de los archivos y directorios como el que se

indique , independientemente del propietario real.


DirFakeUseron~

DirFakeGroupon~

!! Veamos el contenido del home de user1 conectados por ssh y a continuacinveremos como lo ve user1 cuando se conecta va FTP al servidor.


______________________________________________________________________________________ Jdyb - Febrero 2013! 25!


26/38

!Si queremos podramos limitar que el usuario 1 user1 solo se conectara desde

una IP determinada.


Orderallow,deny

Allowfrom172.16.183.1

Denyfromall

DirFakeUseron~DirFakeGroupon~

! Ahora nos cambiaremos la IP de la mquina anfitriona para comprobar que no nosdeja entrar al usuario1.


______________________________________________________________________________________ Jdyb - Febrero 2013! 26!


27/38

3.3. Mdulo Quotatab

! Pasaremos ahora al uso del segundo mdulo para establecer las quotas.Necesitamos para esto un fichero ejecutable llamado ftpquota que lo hemos podido

encontrar en el tar.gz de los repositorios locales de la mquina virtual.

! tar-zxvffichero.tar.gz! Dentro de la carpeta contrib lo podemos encontrar. Lo vamos a necesitar para crearlas tablas de fichero en donde vamos a almacenar los lmites y otra para almacenar los

datos que ya han sido consumidos. Lo haremos con estos dos comandos que indicamos

a continuacin, ambos tienen la opcin --table-path si queremos almacenarlo en unaubicacin diferente.

ftpquota--create-table--type=limit

ftpquota--create-table--type=tally

! En nuestro caso vamos a almacenar ambas tablas en /var/ftplimit. Una vezejecutados estos dos comandos podemos ver el resultado en la carpeta correspondiente.

! Una vez que hemos creado los dos fichero tenemos que indicar alguna entradapara la tabla de lmites. Para ello usaremos el mismo ejecutable que ya hemos usado.

ftpquota --add-record --type=limit --name=user1 --quota-type=user

--bytes-upload=10--bytes-download=10--units=Mb


______________________________________________________________________________________ Jdyb - Febrero 2013! 27!


28/38

! Podemos comprobar que hemos hecho esto correctamente usando el parmetronecesario para mostrar el contenido del fichero.

!Una vez hecho esto lo que vamos a hacer es activar el mdulo y el submdulo para

las tablas en fichero y pondremos las opciones correspondientes. Para ello habilitamos el

mdulo, e indicamos la ubicacin del archivo de log y de las tablas necesarias.

LoadModulemod_quotatab.c

LoadModulemod_quotatab_file.c

QuotaEngineon

QuotaLimitTablefile:/var/ftplimit/ftpquota.limittab

QuotaTallyTablefile:/var/ftplimit/ftpquota.tallytab

QuotaLog/var/ftplimit/quota.logQuotaDisplayUnitsMb

QuotaShowQuotason

! Una vez hecho esto reiniciamos el servidor y comprobamos los resultados, enprimer lugar vamos a bajar un fichero del servidor FTP y vamos a comprobar el contenido

de la tabla de uso tally, tambin lo puede ver el propio usuario desde el cliente FTP.


______________________________________________________________________________________ Jdyb - Febrero 2013! 28!


29/38

! Ahora vamos a comprobar que funciona subiendo un archivo que pese ms de 10Mb al servidor.


______________________________________________________________________________________ Jdyb - Febrero 2013! 29!


30/38

!


______________________________________________________________________________________ Jdyb - Febrero 2013! 30!


31/38

! Intentamos lo mismo pero bajando el fichero (lo hemos subido previamente porSFTP para poderlo subir sin que afecten las quotas.

3.4. Mdulo ratio

! Con este mdulo vamos a tratar de aplicar ratios de subida y bajada de archivos alos usuarios de nuestro servidor FTP. Cuando se habla de ratios se indica que cada

usuario tiene un crdito y que debe subir cierta cantidad de informacin para poder bajar

informacin, se puede aplicar esto a cantidad de ficheros o a nmero de bytes. En nuestro

caso lo hemos aplicado para el segundo caso, no obstante para nmero de ficheros se

seguira la misma filosofa.

! Lo primero que hay que tener en cuenta es que el mdulo necesita guardar dosficheros de informacin, para ello primero habr que activar el guardado de dichos

ficheros e indicar la ubicacin. Deben de estar en una carpeta que sea accesible por

todos los usuarios y si hay chrooteadodebe de estar dentro de la raz aplicada.

! En nuestro caso hemos creado la carpeta en /var/anonimo/ratio. Hemos quitado elchrooteado a todos los usuarios para no tener que crear esto en la carpeta de todos los

usuarios. Hemos incluido esta directiva para limitar el acceso va ftp a todos los usuarios y

evitar que tambin sea listada.


______________________________________________________________________________________ Jdyb - Febrero 2013! 31!


32/38

DenyALL

HideNoAccesson

!! Una vez que ya hemos hecho esto podemos pasar a la configuracin del mdulo.Lo primero que tenemos que hacer es cargarlo como mdulo dinmico, posteriormente lo

activaremos, aadiremos la opcin para guardar en fichero y especificaremos la ubicacin

de los ficheros. Tambin se pueden personalizar los mensajes para los posibles errores

del ratio.

LoadModulemod_ratio.c

Ratioson

SaveRatioson

RatioFile/var/anonimo/ratio/ratios

RatioTempFile/var/anonimo/rario/RatioTempFile

FileRatioErrMsg"Tupuedessubirmsarchivos!"

B yt eR at io Er rM sg " El a rc hi vo % i e s d em as ia do g ra nd e, y asabes...comparte..."

LeechRatioMsg"Accesoilimitado(nohayratio)"

! Para ajustar el ratio lo podemos hacer para usuarios y tambin para el accesoannimo, incluso diferenciando dentro del acceso annimo por los email que se

introducen como contrasea. Todos los comandos siguen el mismo formato. Si el ratio se

indica en negativo se usa al revs, se entender mejor con los ejemplos

UserRatio[*|usr]fileRatioinitialFileCreditbyteRatioinitialByteCredit

HostRatiohostNamefileRatioinitialFileCreditbyteRatioinitialByteCreditAnonRatio[*|email]fileRatioinitialFileCreditbyteRatioinitialByteCredit


______________________________________________________________________________________ Jdyb - Febrero 2013! 32!


33/38

#user110000kbytescredito(9.7Mb)Ratio1:33bytesdecreditoporcadabytesubido

UserRatiouser100310000

#user2tienequesubir3bytesporcadabytequedescargue.Ratio3:1

UserRatiouser200-30

#Debendeirprimerolosespecificos

[email protected]

AnonRatio*0031000

#Accesosinrestriccion

HostRatioserver.efirel.com0000

! A continuacin mostraremos los resultados de las pruebas que se han realizadocon los ejemplos mostrados anteriormente.


______________________________________________________________________________________ Jdyb - Febrero 2013! 33!


34/38

! Si nos conectamos ahora con el usuario2 que tiene el ratio en negativocomprobaremos ahora el efecto que tiene.


______________________________________________________________________________________ Jdyb - Febrero 2013! 34!


35/38

3.5. Instalacin y configuracin bsica de VsFTPD en CentOS 5

! En este apartado opcional se propone la instalacin de otro servidor FTP, laeleccin ha sido VsFTPD.

! El primer paso ser instalarlo, lo podemos hacer desde el gestor de paquetes de ladistribucin yum sin necesidad de aadir repositorios extra ya que est en el repositorio

base.

yuminstallvsftpd

! Una vez que lo hemos instalado habr que configurar el servicio. Se har con unfichero de configuracin similar al de ProFTPD situado en /etc/vsftpd.

vi/etc/vsftpd/vsftpd.conf

! Lo primero que vamos a hacer es desactivar el acceso annimo, y activar el logincon los usuario dados de alta en la mquina virtual, y al igual que hacamos con ProFTPD

podremos aplicar chroot a los usuarios, es decir enjaularlos dentro de su directorio home.

anonymous_enable=NO

local_enable=YES

chroot_local_user=YES

!!

A continuacin iniciaremos el servicio y probaremos que todo funcionacorrectamente conectndonos con el cliente de terminar.

! Habilitaremos los permisos de escritura para los usuarios con la siguiente directiva. write_enable=YES


______________________________________________________________________________________ Jdyb - Febrero 2013! 35!


36/38


37/38

! Si queremos activar el uso annimo lo tendremos que habilitar en primer lugar yluego establecer el punto de entrada para los usuarios annimos, posteriormente

podremos decirle que no pida contrasea a los usuarios annimos. Hay que tener en

cuenta que la raiz de entrada para el uso annimo no puede tener permisos de escritura

porque sino no deja entrar

anonymous_enable=YES

anon_root=/var/anonimo

ftp_username=ftp

no_anon_password=YES

anon_upload_enable=YES

anon_mkdir_write_enable=YES

! Tambin se puede limitar una lista de emails a entrar como annimos con lasiguiente directiva y aadiendo los prohibidos a un fichero en /etc/vsftpd/

email_passwords.


______________________________________________________________________________________ Jdyb - Febrero 2013! 37!


38/38

! Es de esperar que para haber hecho esto habr que haber quitado la opcin deque no pida contrasea para el acceso annimo que habamos puesto en el ejemplo

anterior.


FTP Proftpd MemoriaSDC El Mejor

Documents

Transcript of FTP Proftpd MemoriaSDC El Mejor