Configuração do servidor Red Hat / CentOS VSFTPD FTP

vsftpd (Very Secure FTP Daemon) é um servidor de FTP para sistemas UNIX-like, incluindo CentOS/RHEL/Fedora e outras distribuições Linux. Ele suporta IPv6, SSL, o bloqueio aos usuários, seus diretórios e muitos outros recursos avançados.

Neste guia você vai aprender:

1. Instalação vsftpd para fornecer serviço de FTP.
2. Configurar vsftpd.
3. Configurar firewalls para proteger o servidor de FTP.
4. Configurar vsftpd com SSL / TLS.
5. Instalação vsftpd como Download apenas Anonymous Internet Server.
6. Instalação vsftpd com usuários virtuais e muito mais.

VSFTPD oferece segurança, desempenho e estabilidade ao longo de outros servidores. Uma rápida lista de características vsftpd:

1. Configurações de IP virtual
2. Usuários virtuais
3. Executar uma operação autônoma ou inetd/xinetd
4. Configuração por usuário
5. Bandwidth Throttling
6. Per-source-IP configurabilidade
7. Per-source-IP limites
8. IPv6 ready
9. Suporte através de criptografia SSL
10. E muito mais.

Instalar o vsftpd FTP Server

Instale o pacote vsftpd via comando yum:
# Yum install vsftpd

Padrões Vsftpd

1. Porta padrão: TCP/UDP – 21 e 20
2. O principal arquivo de configuração: /etc/vsftpd/vsftpd.conf
3. Os usuários que não têm permissão para fazer login via ftp:/etc/vsftpd/ftpusers

Configurar Vsftpd Server

Abra o arquivo de configuração, digite:

# vi /etc/vsftpd/vsftpd.conf

Desligue o formato padrão de registro do ftpd xferlog:

xferlog_std_format=NO

Ligue o formato de log detalhado vsftpd. O padrão do arquivo de log vsftpd é /var/log/vsftpd.log:

log_ftp_protocol=YES

Acima do diretórios permitirá o registo de todas as transações FTP. Bloqueie os usuários a seus diretórios home:

chroot_local_user=YES

Criar faixas de advertência para todos os usuários de FTP:

banner_file=/etc/vsftpd/issue

Criar /etc/vsftpd/issue compatível com a política local ou uma declaração legal:

AVISO AOS USUÁRIOS

O uso deste sistema constitui consentimento para monitoramento de segurança e testes.
Toda atividade é registrada com o nome de host e endereço IP.

Turn On Vsftpd Service

Inicie vsftpd no boot:
# Chkconfig no vsftpd

Inicie o serviço:
# service vsftpd start
# netstat-tulpn | grep: 21
Configurar iptables para proteger o servidor de FTP

Abrir arquivo /etc/sysconfig/iptables, digite:
# vi / etc / sysconfig / iptables

Adicione as seguintes linhas, assegurando que aparece as linhas antes do final LOG e DROP RH-Firewall-1-INPUT:

-A RH-Firewall-1-INPUT-m state – state NEW-p tcp – dport 21-j ACCEPT

Abrir arquivo /etc/sysconfig/iptables-config, digite:
# vi /etc/sysconfig/iptables-config

Assegure-se que o espaço de lista separada de módulos de conexão do FTP contém o módulo de monitoramento:

IPTABLES_MODULES=”ip_conntrack_ftp”

Salve e feche o arquivo. Reinicie o firewall:
# service iptables restart
Sugestão: Ver FTP do arquivo de log

Digite o seguinte comando:
# tail-f /var/log/vsftpd.log

Exemplo de saída:

Thu May 21 11:40:31 2009 [pid 42298] FTP response: Client "10.1.3.108", "530 Please login with USER and PASS."
Thu May 21 11:40:36 2009 [pid 42298] FTP command: Client "10.1.3.108", "USER vivekda"
Thu May 21 11:40:36 2009 [pid 42298] [vivek] FTP response: Client "10.1.3.108", "331 Please specify the password."
Thu May 21 11:40:38 2009 [pid 42298] [vivek] FTP command: Client "10.1.3.108", "PASS
"
Thu May 21 11:40:38 2009 [pid 42297] [vivek] OK LOGIN: Client "10.1.3.108"
Thu May 21 11:40:38 2009 [pid 42299] [vivek] FTP response: Client "10.1.3.108", "230 Login successful."
Thu May 21 11:40:38 2009 [pid 42299] [vivek] FTP command: Client "10.1.3.108", "SYST"
Thu May 21 11:40:38 2009 [pid 42299] [vivek] FTP response: Client "10.1.3.108", "215 UNIX Type: L8"
Thu May 21 11:40:39 2009 [pid 42299] [vivek] FTP command: Client "10.1.3.108", "PORT 10,1,3,108,162,253"
Thu May 21 11:40:39 2009 [pid 42299] [vivek] FTP response: Client "10.1.3.108", "200 PORT command successful. Consider using PASV."
Thu May 21 11:41:05 2009 [pid 42299] [vivek] FTP response: Client "10.1.3.108", "150 Ok to send data."
Thu May 21 11:41:06 2009 [pid 42299] [vivek] OK UPLOAD: Client "10.1.3.108", "/windows-7-too-many-programs.png", 8957 bytes, 6.70Kbyte/sec
Thu May 21 11:41:06 2009 [pid 42299] [vivek] FTP response: Client "10.1.3.108", "226 File receive OK."
Thu May 21 11:41:10 2009 [pid 42299] [vivek] FTP command: Client "10.1.3.108", "TYPE A"
Thu May 21 11:41:10 2009 [pid 42299] [vivek] FTP response: Client "10.1.3.108", "200 Switching to ASCII mode."
Thu May 21 11:41:11 2009 [pid 42299] [vivek] FTP command: Client "10.1.3.108", "PORT 10,1,3,108,217,96"
Thu May 21 11:41:11 2009 [pid 42299] [vivek] FTP response: Client "10.1.3.108", "200 PORT command successful. Consider using PASV."
Thu May 21 11:41:11 2009 [pid 42299] [vivek] FTP command: Client "10.1.3.108", "LIST"
Thu May 21 11:41:11 2009 [pid 42299] [vivek] FTP response: Client "10.1.3.108", "150 Here comes the directory listing."
Thu May 21 11:41:11 2009 [pid 42299] [vivek] FTP response: Client "10.1.3.108", "226 Directory send OK."

Dica: Restringir o acesso ao usuário anônimo Only

Edite o arquivo de configuração do /etc/vsftpd/vsftpd.conf e adicione o seguinte:

local_enable=NO

Dica: Desativar FTP Uploads
Edite o arquivo de configuração do /etc/vsftpd/vsftpd.conf e adicione o seguinte:

write_enable=NO

Dica de segurança: Coloque o diretório FTP em sua própria partição

Separação dos arquivos do sistema operacional a partir de arquivos FTP usuários pode resultar em um sistema melhor e mais seguro. Restringir o crescimento de determinados sistemas de arquivos é possível usando várias técnicas. Por exemplo, usa a partição /ftp para armazenar todos os diretórios home e montar ftp com opções nosuid, nodev e noexec. Uma amostra /etc/ fstab digite:

/dev/sda5/ftp ext3 defaults, nosuid, nodev, noexec, usrquota 1 2

Quota de disco deve ser ativado para impedir os usuários de encher um disco usado por serviços de FTP upload. Edite o arquivo de configuração do vsftpd. Adicionar ou corrigir as seguintes opções de configuração que representa um diretório que vsftpd vai tentar mudar para depois de um anônimo:

anon_root=/ftp/ftp/pub