Cómo Configurar VSFTPD (Very Secure FTP Daemon) .

Cómo configurar vsftpd (Very Secure FTP Daemon).
Login | Registrarse | Enviar Nota
Galeria Descargas Sitios Selecciones
● Portada Buscar... Buscar
● Foros
● Manuales
● Servicios
● Cursos Linux
Publicidad Autor: Joel Barrios Dueñas
Correo electrónico: darkshram en gmail punto com
Sitio de Red: http://www.alcancelibre.org/
Jabber ID: darkshram@jabber.org
Creative Commons Reconocimiento-NoComercial-CompartirIgual 2.1
© 1999-2007 Joel Barrios Dueñas. Usted es libre de copiar, distribuir y comunicar públicamente la obra y hacer
obras derivadas bajo las condiciones siguientes: a) Debe reconocer y citar al autor original. b) No puede utilizar esta
obra para fines comerciales (incluyendo su publicación, a través de cualquier medio, por entidades con fines
de lucro). c) Si altera o transforma esta obra, o genera una obra derivada, sólo puede distribuir la obra generada
http://www.alcancelibre.org/staticpages/index.php/09-como-vsftpd (1 of 17) [06/10/2009 17:19:51]

bajo una licencia idéntica a ésta. Al reutilizar o distribuir la obra, tiene que dejar bien claro los términos de la licencia
de esta obra. Alguna de estas condiciones puede no aplicarse si se obtiene el permiso del titular de los derechos de
autor. Los derechos derivados de usos legítimos u otras limitaciones no se ven afectados por lo anterior. Licencia
completa en castellano. La información contenida en este documento y los derivados de éste se proporcionan tal
cual son y los autores no asumirán responsabilidad alguna si el usuario o lector hace mal uso de éstos.
Introducción.
Acerca del protocolo FTP.

Encuesta
FTP (File Transfer Protocol) o Protocolo de Transferencia de Archivos (o ficheros informáticos) es uno de
Acerca de ti. los protocolos estándar más utilizados en Internet siendo el más idóneo para la transferencia de grandes
¿Qué edad tienes? bloques de datos a través de redes que soporten TCP/IP. El servicio utiliza los puertos 20 y 21,
Más de 45 años exclusivamente sobre TCP. El puerto 20 es utilizado para el flujo de datos entre cliente y servidor. El puerto 21
Entre 35 y 44 años es utilizando para el envío de órdenes del cliente hacia el servidor. Prácticamente todos los sistemas operativos
Entre 27 y 34 años
y plataformas incluyen soporte para FTP, lo que permite que cualquier computadora conectada a una red
Entre 21 y 26 años
basada sobre TCP/IP pueda hacer uso de este servicio a través de un cliente FTP.
Entre 17 y 20 años
Menos de 17 años
URL: http://tools.ietf.org/html/rfc959
Esta encuesta tiene 4 preguntas más.
Acerca del protocolo FTPS.

Iniciar Encuesta
Resultados FTPS (también referido como FTP/SSL) es la forma de designar diferentes formas a través de las cuales
Otras encuestas | 1,661 votos | 13 se pueden realizar transferencias seguras de ficheros a través de FTP utilizando SSL o TLS. Son
comentarios mecanismos muy diferentes a los del protocolo SFTP (SSH File Transfer Protocol).

Temas Existen dos diferentes métodos para realizar una conexión SSL/TLS a través de FTP. La primera y más antigua
es a través del FTPS Implícito (Implicit FTPS), que consiste en cifrar la sesión completa a través de los
Alcance Libre (90/0)
puertos 990 (FTPS) y 998 (FTPS Data), sin permitir negociación con el cliente, el cual deberá
Alcance Libre Desktop
conectarse directamente al servidor FTPS con el inicio de sesión SSL/TLS. El segundo método, que es
(243/0)
el recomendado por el RFC 4217 y el utilizado por Vsftpd, es FTPS Explícito (Explicit FTPS o FTPES), donde
Anuncios (247/0)
el cliente realiza la conexión normal a través del puerto 21 y permitiendo negociar opcionalmente una
Arte (7/0)
conexión TLS.
Comunidad (95/0)
Consejos y trucos (147/0) Acerca de RSA.

Editoriales (29/0)
RSA, acrónimo de los apellidos de sus autores, Ron Rivest, Adi Shamir y Len Adleman, es un algoritmo para
Entretenimiento (111/0)
el ciframiento de claves públicas que fue publicado en 1977, patentado en EE.UU. en 1983 por el el
Equipamiento lógico
Instituto Tecnológico de Michigan (MIT). RSA es utilizado ampliamente en todo el mundo para los
(Software) (402/0)
protocolos destinados para el comercio electrónico.
Humor (61/0)
Internet (232/0) URL: http://es.wikipedia.org/wiki/RSA
Juegos (64/0)
Acerca de OpenSSL.
Manuales y documentos
OpenSSL es una implementación libre, de código abierto, de los protocolos SSL (Secure Sockets Layer o Nivel
(113/0)
de Zócalo Seguro) y TLS (Transport Layer Security, o Seguridad para Nivel de Transporte). Está basado sobre
Música (17/0)
el extinto proyecto SSLeay, iniciado por Eric Young y Tim Hudson, hasta que éstos comenzaron a trabajar para
Negocios y empresas
la división de seguridad de EMC Corporation.
(357/0)
Noticias Generales (932/0)

URL: http://www.openssl.org/
Nuestro idioma (8/0)
Acerca de X.509.
Opiniones (118/0)
Programación y desarrollo X.509 es un estándar ITU-T (estandarización de Telecomunicaciones de la International
(80/0) Telecommunication Union ) para infraestructura de claves públicas (PKI, o Public Key Infrastructure). Entre
Seguridad (159/0) otras cosas, establece los estándares para certificados de claves públicas y un algoritmo para validación de ruta
Sustento Físico (Hardware) de certificación. Este último se encarga de verificar que la ruta de un certificado sea válida bajo una
(105/0) infraestructura de clave pública determinada. Es decir, desde el certificado inicial, pasando por
Tiras cómicas (19/0) certificados intermedios, hasta el certificado de confianza emitido por una Autoridad Certificadora (CA,
Ubunteando (34/0) o Certification Authority).
Están en línea... URL: http://es.wikipedia.org/wiki/X.509
Registrados: 16 Acerca de vsftpd.

benfrid
Vsftpd (Very Secure FTP Daemon) es un equipamiento lógico utilizado para implementar servidores de archivos
camelos93
a través del protocolo FTP. Se distingue principalmente porque sus valores predeterminados son muy seguros
cpolohe
y por su sencillez en la configuración, comparado con otras alternativas como ProFTPD y Wu-ftpd. Actualmente
elgorila79
se presume que vsftpd es quizá el servidor FTP más seguro del mundo.
godie12345
joelbarrios URL: http://vsftpd.beasts.org/
Kromsoft
moy Equipamiento lógico necesario.

nehemiasjahcob Instalación a través de yum.
omargd
Si utiliza CentOS 4 o White Box Enterprise Linux 4, solo se necesita realizar lo siguiente para instalar
pablodl
o actualizar el equipamiento lógico necesario:
patXi
yum -y install vsftpd
ramos.gabriel
remius
servtelecom Instalación a través de up2date.
Invitados: 2105 Si se utiliza Red Hat™ Enterprise Linux 4, solo bastará realizar lo siguiente para instalar o actualizar
Últimos registrados:
el equipamiento lógico necesario:
camelos93
juan carlos flor up2date -i vsftpd

amador
joe3d
Ficheros de configuración.
NSER
Total registrados: 1944 /etc/vsftpd.user_list Lista que definirá usuarios a enjaular o no a enjaular, dependiendo de la
configuración.
Foro de soporte
/etc/vsftpd/vsftpd.conf Fichero de configuración.

Índice Foro
Miembros del sitio
Temas populares Procedimientos.
SELinux y el servicio vsftpd.

Participan...
SELinux controla varias funciones de el servicio vsftpd incrementando el nivel de seguridad de éste.
Noticias
joelbarrios (2492) Para permitir que los usuarios anónimos puedan realizar procesos de escritura sobre el sistema de ficheros,
bartoloco (139) utilice el siguiente mandato:

Koalasoft (137) setsebool -P allow_ftpd_anon_write 1
capotes (88)
gomezbjesus (63)
Para hacer que SELinux permita al servicio vsftpd acceder a los usuarios locales a sus directorios de inicio,
Flaquita (61)
utilice el siguiente mandato:
bakara (59)
RamOS (50) setsebool -P allow_ftpd_full_access 1
The One (47)
ValeriaBueno (47) Para permitir que el servicio vsftpd pueda hacer uso de sistemas de ficheros remotos a través de CIFS (Samba)
domingov (43) o NFS, y que serán utilizados para compartir a través del servicio, utilice cualquiera de los siguientes mandatos:
rlameda (31)
setsebool -P allow_ftpd_use_cifs 1
varisti (24)
setsebool -P allow_ftpd_use_nfs 1
adrianpazr (21)
Zilus (16)
Para que SELinux permita al servicio vsftpd funcionar normalmente, haciendo que todo lo anteriormente
Comentarios
descrito en esta sección pierda sentido, utilice el siguiente mandato:
joelbarrios (321)
Koalasoft (213) setsebool -P ftpd_disable_trans 1
RamOS (166)
gomezbjesus (93) Fichero /etc/vsftpd/vsftpd.conf.

The One (61)
Utilice un editor de texto y modifique el fichero /etc/vsftpd/vsftpd.conf. A continuación analizaremos
Oscar Hernández (59)
los parámetros a modificar o añadir, según se requiera para necesidades particulares.
juanroberto (50)
Cause (42) Parámetro anonymous_enable.

rlameda (40) Se utiliza para definir si se permitirán los accesos anónimos al servidor. Establezca como valor YES o NO
manowar (38) de acuerdo a lo que se requiera.
rdario (38)
anonymous_enable=YES
bakara (34)
Micaelo (34)
julioe (33) Parámetro local_enable.
bartoloco (32) Es particularmente interesante si se combina con la función de jaula (chroot). Establece si se van a permitir
los accesos autenticados de los usuarios locales del sistema. Establezca como valor YES o NO de acuerdo a
lo que se requiera.
local_enable=YES
Parámetro write_enable.
Establece si se permite el mandato write (escritura) en el servidor. Establezca como valor YES o NO de acuerdo
a lo que se requiera.
write_enable=YES
Parámetro anon_upload_enable
Específica si los usuarios anónimos tendrán permitido subir contenido al servidor. Por lo general no es una
función deseada, por lo que se acostubra desactivar ésta.

anon_upload_enable=NO
Parámetro anon_mkdir_write_enable
Específica si los usuarios anónimos tendrán permitido crear directorios en el servidor. Al igual que la nterior, por
lo general no es una función deseada, por lo que se acostubra desactivar ésta.
anon_mkdir_write_enable=NO
Parámetro ftpd_banner.
Este parámetro sirve para establecer el banderín de bienvenida que será mostrado cada vez que un
usuario acceda al servidor. Puede establecerse cualquier frase breve que considere conveniente.
ftpd_banner=Bienvenido al servidor FTP de nuestra empresa.
Estableciendo jaulas para los usuarios: parámetros chroot_local_user y chroot_list_file.
De modo predeterminado los usuarios del sistema que se autentiquen tendrán acceso a otros directorios
del sistema fuera de su directorio personal. Si se desea recluir a los usuarios a solo poder utilizar su
propio directorio personal, puede hacerse fácilmente con el parámetro chroot_local_user que habilitará la
función de chroot() y los parámetros chroot_list_enable y chroot_list_file para establecer el fichero con la lista
de usuarios que quedarán excluidos de la función chroot().

chroot_local_user=YES
chroot_list_enable=YES
chroot_list_file=/etc/vsftpd/vsftpd.chroot_list
Con lo anterior, cada vez que un usuario local se autentique en el servidor FTP, solo tendrá acceso a su
propio directorio personal y lo que este contenga. No olvide crear el fichero /etc/vsftpd/vsftpd.chroot_list,
ya que de otro modo no arrancará el servicio vsftpd.
touch /etc/vsftpd/vsftpd.chroot_list
Control del ancho de banda.
Parámetro anon_max_rate.
Se utiliza para limitar la tasa de transferencia en bytes por segundo para los usuarios anónimos, algo
sumamente útil en servidores FTP de acceso público. En el siguiente ejemplo se limita la tasa de transferencia a
5 Kb por segundo para los usuarios anónimos:
anon_max_rate=5120
Parámetro local_max_rate.
Hace lo mismo que anon_max_rate, pero aplica para usuarios locales del servidor. En el siguiente ejemplo
se limita la tasa de transferencia a 5 Kb por segundo para los usuarios locales:

local_max_rate=5120
Parámetro max_clients.
Establece el número máximo de clientes que podrán acceder simultáneamente hacia el servidor FTP. En
el siguiente ejemplo se limitará el acceso a 5 clientes simultáneos.
max_clients=5
Parámetro max_per_ip.
Establece el número máximo de conexiones que se pueden realizar desde una misma dirección IP. Tome
en cuenta que algunas redes acceden a través de un servidor intermediario (Proxy) o puerta de enlace y debido
a esto podrían quedar bloqueados innecesariamente algunos accesos. en el siguiente ejemplo se limita el
número de conexiones por IP simultáneas a 5.
max_per_ip=5
Soporte SSL/TLS para VFSTPD.
VSFTPD puede ser configurado fácilmente para utilizar los protocolos SSL (Secure Sockets Layer o Nivel
de Zócalo Seguro) y TLS (Transport Layer Security, o Seguridad para Nivel de Transporte) a través de
un certificado RSA.
Acceda al sistema como el usuario root.
Se debe crear el directorio donde se almacenarán los certificados para todos los sitios SSL. El directorio,

por motivos de seguridad, debe ser solamente accesible para el usuario root.
mkdir -m 0700 /etc/ssl
A fin de mantener cierta organización, y un directorio dedicado para cada sitio virtual SSL, es conveniente crear
un directorio específico para almacenar los certificados de cada sitio virtual SSL. Igualmente, por motivos
de seguridad, debe ser solamente accesible para el usuario root.
mkdir -m 0700 /etc/ssl/mi-dominio.org
Acceder al directorio que se acaba de crear.
cd /etc/ssl/mi-dominio.org
El certificado se puede generar fácilmente utilizando el siguiente mandato, donde se generará un certificado
con estructura X.509, algoritmo de ciframiento RSA de 1024 kb, sin Triple DES, la cual permita
iniciar normalmente, sin interacción alguna, al servicio >vsftpd, con una validez por 730 días (dos años) en
el fichero /etc/ssl/mi-dominio.org/vsftpd.pem.

openssl req -x509 -nodes -days 730 -newkey rsa:1024 \
-keyout /etc/ssl/mi-dominio.org/vsftpd.pem \
-out /etc/ssl/mi-dominio.org/vsftpd.pem
Lo anterior solicitará se ingresen varios datos:
• Código de dos letras para el país.
• Estado o provincia.
• Ciudad.
• Nombre de la empresa o razón social.
• Unidad o sección.
• Nombre del anfitrión.
• Dirección de correo.
La salida devuelta sería similar a la siguiente:
You are about to be asked to enter information that will be
incorporated into your certificate request.
What you are about to enter is what is called a Distinguished Name or
a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,

If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) [GB]:MX
State or Province Name (full name) [Berkshire]:Distrito Federal
Locality Name (eg, city) [Newbury]:Mexico
Organization Name (eg, company) [My Company Ltd]:
Mi empresa, S.A. de C.V.
Organizational Unit Name (eg, section) []:Direccion Comercial
Common Name (eg, your name or your server's hostname) []:
www.mi-dominio.org
Email Address []:webmaster@mi-dominio.org
Finalmente se añaden las siguiente líneas al final del fichero /etc/vsftpd/vsftpd.conf:
ssl_enable=YES
allow_anon_ssl=NO
force_local_data_ssl=NO
force_local_logins_ssl=NO
ssl_tlsv1=YES
ssl_sslv2=NO
ssl_sslv3=NO
rsa_cert_file=/etc/ssl/mi-dominio.org/vsftpd.pem

Iniciar, detener y reiniciar el servicio vsftpd.
A diferencia de otros servicios FTP como Wu-ftpd, el servicio vsftpd no requiere configurarse para trabajar
sobre demanda, aunque tiene dicha capacidad. Por lo tanto no depende de servicio xinetd. La versión incluida
en distribuciones como CentOS 5, Red Hat™ Enterprise Linux 5 y White Box Enterprise Linux 5 puede
iniciar, detenerse o reiniciar a través de un guión similar a los del resto del sistema.
Para iniciar por primera vez el servicio, utilice:
service vsftpd start
Para hacer que los cambios hechos a la configuración surtan efecto, utilice:
service vsftpd restart
Para detener el servicio, utilice:
service vsftpd stop
Agregar el servicio al arranque del sistema.
Para hacer que el servicio de vsftpd esté activo con el siguiente inicio del sistema, en todos los niveles de
corrida (2, 3, 4, y 5), se utiliza lo siguiente:

chkconfig vsftpd on
Modificaciones necesarias en el muro cortafuegos.
Si se utiliza un cortafuegos con políticas estrictas, como por ejemplo Shorewall, es necesario abrir los puerto 20
y 21 por TCP (FTP-DATA y FTP, respectivamente).
Las reglas para el fichero /etc/shorewall/rules de Shorewall correspondería a algo similar a lo siguiente:
#ACTION SOURCE DEST PROTO DEST SOURCE
# PORT PORT(S)1
ACCEPT net fw tcp 20,21
#LAST LINE -- ADD YOUR ENTRIES BEFORE THIS ONE -- DO NOT REMOVE
Última Edición viernes 17 de julio de 2009 @ 04:57 CDT|12,760 Hits
Noticias Recientes Comentarios Recientes Enlaces Recientes
● ¿Cómo ver videos bloqueados en tu país ● > [+13] ● IV Congreso de la CiberSociedad 2009
usando un marcador de Firefox? ● GNU/Linux instantáneo en portátiles de ● Dell México
Mejorado. Dell Latitude Z600: ¿Útil o pérdida de ● Buyteknet Coubicación.
● Fanáticos de Star Wars recrean Star Wars tiempo? ● Promoción AAOne Increm
IV. ● [+2] ● Tikkia: Red Social de profesionistas de

● Palm elimina restricciones para ● Reseña de Ubuntu Netbook Remix 9.10 Sistemas
desarrolladores de webOS. Beta. ● Geeklog Hispano
● Próximos talleres de Alcance Libre en ● Campus Party Mexico ● D Web Studio
octubre y oferta especial. ● Google celebra el cumpleaños de Gandhi. ● Xcodeuber
● Padre de la Fibra Óptica gana premio ● Reseña de Moblin 2.0. [+2] ● GatoLinux
Nobel. ● Distribución de GNU/Linux que incluye ● Re-Vapaus
● Fedora cambia tipo de licenciamiento de copia pirata de Windows XP. [+3]
su documentación a Creative Commons. ● Richard Stallman ofrece disculpas por
● Guerra entre Icaza y Stallman se acusar que Mac OS X tenía una puerta
recrudece. trasera. [+2]
● Robo de claves de acceso involucra a ● [+10]
Hotmail, GMail, Yahoo AOL.
● Ajuste para KDE4 que mejora el tiempo de
inicio del escritorio hasta 300%.
● Publicado primer Alpha de AptitudeCMS
(antes Geeklog 2).
Derechos de autor © 2009 Alcance Libre
Todas las marcas y derechos en esta página son de sus
respectivos dueños.

© 2006-2009 Alcance Libre, © 1999-2009 Joel Barrios Dueñas. Visite nuestro Directorio de
noticias.
Contenido disponible bajo licencia Creative Commons Reconocimiento 2.5

Cómo Configurar VSFTPD (Very Secure FTP Daemon) .

Cargado por

Información del documento

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Cómo Configurar VSFTPD (Very Secure FTP Daemon) .

Cargado por

Copyright:

Formatos disponibles

Cómo configurar vsftpd (Very Secure FTP Daemon).

Login | Registrarse | Enviar Nota

Galeria Descargas Sitios Selecciones

● Portada Buscar... Buscar

Cómo configurar vsftpd (Very Secure FTP Daemon).

Publicidad Autor: Joel Barrios Dueñas

Correo electrónico: darkshram en gmail punto com

Sitio de Red: http://www.alcancelibre.org/

Jabber ID: darkshram@jabber.org

Creative Commons Reconocimiento-NoComercial-CompartirIgual 2.1

http://www.alcancelibre.org/staticpages/index.php/09-como-vsftpd (1 of 17) [06/10/2009 17:19:51]

Acerca del protocolo FTP.

Esta encuesta tiene 4 preguntas más.

Acerca del protocolo FTPS.

http://www.alcancelibre.org/staticpages/index.php/09-como-vsftpd (2 of 17) [06/10/2009 17:19:51]

Consejos y trucos (147/0) Acerca de RSA.

Internet (232/0) URL: http://es.wikipedia.org/wiki/RSA

Noticias Generales (932/0)

Programación y desarrollo X.509 es un estándar ITU-T (estandarización de Telecomunicaciones de la International

Ubunteando (34/0) o Certification Authority).

Están en línea... URL: http://es.wikipedia.org/wiki/X.509

Registrados: 16 Acerca de vsftpd.

joelbarrios URL: http://vsftpd.beasts.org/

moy Equipamiento lógico necesario.

servtelecom Instalación a través de up2date.

juan carlos flor up2date -i vsftpd

/etc/vsftpd/vsftpd.conf Fichero de configuración.

Miembros del sitio

Temas populares Procedimientos.

SELinux y el servicio vsftpd.

bartoloco (139) utilice el siguiente mandato:

http://www.alcancelibre.org/staticpages/index.php/09-como-vsftpd (5 of 17) [06/10/2009 17:19:51]

Koalasoft (137) setsebool -P allow_ftpd_anon_write 1

RamOS (50) setsebool -P allow_ftpd_full_access 1

The One (47)

Koalasoft (213) setsebool -P ftpd_disable_trans 1

gomezbjesus (93) Fichero /etc/vsftpd/vsftpd.conf.

Cause (42) Parámetro anonymous_enable.

manowar (38) de acuerdo a lo que se requiera.

julioe (33) Parámetro local_enable.

función deseada, por lo que se acostubra desactivar ésta.

http://www.alcancelibre.org/staticpages/index.php/09-como-vsftpd (7 of 17) [06/10/2009 17:19:51]

lo general no es una función deseada, por lo que se acostubra desactivar ésta.

ftpd_banner=Bienvenido al servidor FTP de nuestra empresa.

Estableciendo jaulas para los usuarios: parámetros chroot_local_user y chroot_list_file.

de usuarios que quedarán excluidos de la función chroot().

http://www.alcancelibre.org/staticpages/index.php/09-como-vsftpd (8 of 17) [06/10/2009 17:19:51]

ya que de otro modo no arrancará el servicio vsftpd.

Control del ancho de banda.

5 Kb por segundo para los usuarios anónimos:

se limita la tasa de transferencia a 5 Kb por segundo para los usuarios locales:

http://www.alcancelibre.org/staticpages/index.php/09-como-vsftpd (9 of 17) [06/10/2009 17:19:51]

el siguiente ejemplo se limitará el acceso a 5 clientes simultáneos.

número de conexiones por IP simultáneas a 5.

Soporte SSL/TLS para VFSTPD.

Acceda al sistema como el usuario root.

http://www.alcancelibre.org/staticpages/index.php/09-como-vsftpd (10 of 17) [06/10/2009 17:19:51]

mkdir -m 0700 /etc/ssl

de seguridad, debe ser solamente accesible para el usuario root.

mkdir -m 0700 /etc/ssl/mi-dominio.org

Acceder al directorio que se acaba de crear.

http://www.alcancelibre.org/staticpages/index.php/09-como-vsftpd (11 of 17) [06/10/2009 17:19:51]

openssl req -x509 -nodes -days 730 -newkey rsa:1024 \