Hola, tengo una máquina que da servicio de ftp (pure-ftp) y ssh. No tengo habilitado el cortafuegos porque no se como incluir el ftp como servicio permitido. ¿Pueden darme alguna indicación? Por otra parte me gustaría aprender sobre seguridad en general, ¿qué debería leerme? Un saludo. -- J.J. Sánchez
El 14/02/2006 19:06:28 Jose Sanchez escribió: jjsa_on_suse> No tengo habilitado el cortafuegos porque no se como incluir el ftp como jjsa_on_suse> servicio permitido. jjsa_on_suse> ¿Pueden darme alguna indicación? Imagino que usas SuSE 10. Efectivamente se dejaron el FTP. :-( Pulsa en opciones avanzadas, abajo a la derecha, debes añadir el puerto 21 TCP. -- Saludos, Josep M. Queralt
Josep M. Queralt escribió:
El 14/02/2006 19:06:28 Jose Sanchez escribió:
jjsa_on_suse> No tengo habilitado el cortafuegos porque no se como incluir el ftp como jjsa_on_suse> servicio permitido. jjsa_on_suse> ¿Pueden darme alguna indicación?
Imagino que usas SuSE 10. Efectivamente se dejaron el FTP. :-( Pulsa en opciones avanzadas, abajo a la derecha, debes añadir el puerto 21 TCP.
OK, gracias. Una vez hecho esto ya funciona el ftp, pero, ¿es segura esta configuración?,¿alguna recomendación? Un slaudo -- J.J. Sánchez
Hola :) El Martes, 14 de Febrero de 2006 21:09, Jose Sanchez escribió:
Josep M. Queralt escribi�:
El 14/02/2006 19:06:28 Jose Sanchez escribi�:
jjsa_on_suse> No tengo habilitado el cortafuegos porque no se como incluir el ftp como jjsa_on_suse> servicio permitido. jjsa_on_suse> �Pueden darme alguna indicaci�n?
Imagino que usas SuSE 10. Efectivamente se dejaron el FTP. :-( Pulsa en opciones avanzadas, abajo a la derecha, debes a�adir el puerto 21 TCP.
OK, gracias. Una vez hecho esto ya funciona el ftp, pero, �es segura esta configuraci�n?,�alguna recomendaci�n? Un slaudo
FTP no es muy seguro ya que se transfiere la información sin cifrar. Sería más seguro usar sftp ... lo malo es que no todos los clientes FTP soportan SFTP. IMHO Rafa -- Rafa Grimán Systems Engineer Silicon Graphics Spain Santa Engracia, 120 - Planta Baja 28003 Madrid Spain Tel: +34 91 3984200 Tel: +34 91 3984201 Móvil: +34 628 117 940 http://www.sgi.com OpenWengo: rgriman Skype: rgriman
Rafa Grimán escribió:
Hola :)
El Martes, 14 de Febrero de 2006 21:09, Jose Sanchez escribió:
Josep M. Queralt escribi�:
El 14/02/2006 19:06:28 Jose Sanchez escribi�:
jjsa_on_suse> No tengo habilitado el cortafuegos porque no se como incluir el ftp como jjsa_on_suse> servicio permitido. jjsa_on_suse> �Pueden darme alguna indicaci�n?
Imagino que usas SuSE 10. Efectivamente se dejaron el FTP. :-( Pulsa en opciones avanzadas, abajo a la derecha, debes a�adir el puerto 21 TCP.
OK, gracias. Una vez hecho esto ya funciona el ftp, pero, �es segura esta configuraci�n?,�alguna recomendaci�n? Un slaudo
FTP no es muy seguro ya que se transfiere la información sin cifrar. Sería más seguro usar sftp ... lo malo es que no todos los clientes FTP soportan SFTP.
IMHO
Rafa
Eso tenía entendido, pero cuando se dice: "ftp no es seguro porque transfiere la información sin cifrar" ¿a que tipo de inseguridad se refiere?, ¿que cosas malas se pueden hacer através ftp? Es sólo (que no es poco) que te pueden snifar la información que transfieres, ¿o pueden hacer algo más? gracias. -- J.J. Sánchez
Hola :) El Martes, 14 de Febrero de 2006 21:31, Jose Sanchez escribió:
Rafa Grimán escribió:
Hola :)
El Martes, 14 de Febrero de 2006 21:09, Jose Sanchez escribió:
Josep M. Queralt escribi�:
El 14/02/2006 19:06:28 Jose Sanchez escribi�:
jjsa_on_suse> No tengo habilitado el cortafuegos porque no se como incluir el ftp como jjsa_on_suse> servicio permitido. jjsa_on_suse> �Pueden darme alguna indicaci�n?
Imagino que usas SuSE 10. Efectivamente se dejaron el FTP. :-( Pulsa en opciones avanzadas, abajo a la derecha, debes a�adir el puerto 21 TCP.
OK, gracias. Una vez hecho esto ya funciona el ftp, pero, �es segura esta configuraci�n?,�alguna recomendaci�n? Un slaudo
FTP no es muy seguro ya que se transfiere la información sin cifrar. Sería más seguro usar sftp ... lo malo es que no todos los clientes FTP soportan SFTP.
IMHO
Rafa
Eso tenía entendido, pero cuando se dice: "ftp no es seguro porque transfiere la información sin cifrar" ¿a que tipo de inseguridad se refiere?, ¿que cosas malas se pueden hacer através ftp?
Para empezar, te pueden "robar" usuario y clave ya que se transfiere sin cifrar ... y todo lo que ello (robar claves y usuarios) trae consigo, por ejemplo, una vez suplantada la identidad de un usuario, se podrían conectar a tu sistema. Por otro lado te pueden "esnifar" las conexiones y acceder a la información que se está transfiriendo en ese momento.
Es sólo (que no es poco) que te pueden snifar la información que transfieres, ¿o pueden hacer algo más?
Si entran en tu equipo suplantando a un usuario legítimo ... pueden hacer lo que les dejes si los permisos, usuarios y grupos no están bien especificados, ... No quiero meter miedo, sólo decir que en caso de usar FTP, hay que definir muy bien los usuarios, grupos y permisos para evitar que mangoneen. Muchas veces se crea un grupo sin privilegio alguno y ahí que van los usuarios de FTP. Luego cada servidor FTP tiene sus "trucos". A mi me gustaba mucho pure-ftpd. HTH Rafa -- Rafa Grimán Systems Engineer Silicon Graphics Spain Santa Engracia, 120 - Planta Baja 28003 Madrid Spain Tel: +34 91 3984200 Tel: +34 91 3984201 Móvil: +34 628 117 940 http://www.sgi.com OpenWengo: rgriman Skype: rgriman
Una forma de crear un servidor FTP un poco mas seguro es utilizar repositorio para almacenar los usuarios bien puede ser LDAP o alguna base de datos por ejemplo yo uso ProFTP contra una base de datos MySQL, asi no tengo que crear usuarios en el sistema operativo para que accedan por ftp y hasta donde tengo entendido es uno de los mas seguros y que tiene politicas de seguridad muy flexibles y puede trabajar con hosts virtuales. -----Mensaje original----- De: Rafa Grimán [mailto:rgriman@sgi.com] Enviado el: Martes, 14 de Febrero de 2006 11:32 a.m. Para: suse-linux-s@suse.com Asunto: Re: [suse-linux-s] seguridad ftp Hola :) El Martes, 14 de Febrero de 2006 21:31, Jose Sanchez escribió:
Rafa Grimán escribió:
Hola :)
El Martes, 14 de Febrero de 2006 21:09, Jose Sanchez escribió:
Josep M. Queralt escribi?:
El 14/02/2006 19:06:28 Jose Sanchez escribi?:
jjsa_on_suse> No tengo habilitado el cortafuegos porque no se como incluir el ftp como jjsa_on_suse> servicio permitido. jjsa_on_suse> ?Pueden darme alguna indicaci?n?
Imagino que usas SuSE 10. Efectivamente se dejaron el FTP. :-( Pulsa en opciones avanzadas, abajo a la derecha, debes a?adir el puerto 21 TCP.
OK, gracias. Una vez hecho esto ya funciona el ftp, pero, ?es segura esta configuraci?n?,?alguna recomendaci?n? Un slaudo
FTP no es muy seguro ya que se transfiere la información sin cifrar. Sería más seguro usar sftp ... lo malo es que no todos los clientes FTP soportan SFTP.
IMHO
Rafa
Eso tenía entendido, pero cuando se dice: "ftp no es seguro porque transfiere la información sin cifrar" ¿a que tipo de inseguridad se refiere?, ¿que cosas malas se pueden hacer através ftp?
Para empezar, te pueden "robar" usuario y clave ya que se transfiere sin cifrar ... y todo lo que ello (robar claves y usuarios) trae consigo, por ejemplo, una vez suplantada la identidad de un usuario, se podrían conectar a tu sistema. Por otro lado te pueden "esnifar" las conexiones y acceder a la información que se está transfiriendo en ese momento.
Es sólo (que no es poco) que te pueden snifar la información que transfieres, ¿o pueden hacer algo más?
Si entran en tu equipo suplantando a un usuario legítimo ... pueden hacer lo que les dejes si los permisos, usuarios y grupos no están bien especificados, ... No quiero meter miedo, sólo decir que en caso de usar FTP, hay que definir muy bien los usuarios, grupos y permisos para evitar que mangoneen. Muchas veces se crea un grupo sin privilegio alguno y ahí que van los usuarios de FTP. Luego cada servidor FTP tiene sus "trucos". A mi me gustaba mucho pure-ftpd. HTH Rafa -- Rafa Grimán Systems Engineer Silicon Graphics Spain Santa Engracia, 120 - Planta Baja 28003 Madrid Spain Tel: +34 91 3984200 Tel: +34 91 3984201 Móvil: +34 628 117 940 http://www.sgi.com OpenWengo: rgriman Skype: rgriman -- Para dar de baja la suscripcin, mande un mensaje a: suse-linux-s-unsubscribe@suse.com Para obtener el resto de direcciones-comando, mande un mensaje a: suse-linux-s-help@suse.com
El Martes, 14 de Febrero de 2006 18:14, Pedro Tobo escribió: Si lo unico que quieres es cifrar la conexión puedes usar el ssh de toda la vida. Hay infinidad de programas que usan el scp y el entorno y aspecto es como si fuera un FTP. En windows tienes por ejemplo Filezilla, que a parte de esto tambien soporta ftp-ssl. La solución via SSH/SCP no está mal, aunque ten cuidado ya que no hace chroot por defecto. Esto significa que cuando te logees con el usuario vas a poder salirte de tu home siempre que tenga permiso el usuario. Hay algun parche para ssh para permitir esto
Una forma de crear un servidor FTP un poco mas seguro es utilizar repositorio para almacenar los usuarios bien puede ser LDAP o alguna base de datos por ejemplo yo uso ProFTP contra una base de datos MySQL, asi no tengo que crear usuarios en el sistema operativo para que accedan por ftp y hasta donde tengo entendido es uno de los mas seguros y que tiene politicas de seguridad muy flexibles y puede trabajar con hosts virtuales.
-----Mensaje original----- De: Rafa Grimán [mailto:rgriman@sgi.com] Enviado el: Martes, 14 de Febrero de 2006 11:32 a.m. Para: suse-linux-s@suse.com Asunto: Re: [suse-linux-s] seguridad ftp
Hola :)
El Martes, 14 de Febrero de 2006 21:31, Jose Sanchez escribió:
Rafa Grimán escribió:
Hola :)
El Martes, 14 de Febrero de 2006 21:09, Jose Sanchez escribió:
Josep M. Queralt escribi?:
El 14/02/2006 19:06:28 Jose Sanchez escribi?:
jjsa_on_suse> No tengo habilitado el cortafuegos porque no se como incluir el ftp como jjsa_on_suse> servicio permitido. jjsa_on_suse> ?Pueden darme alguna indicaci?n?
Imagino que usas SuSE 10. Efectivamente se dejaron el FTP. :-( Pulsa en opciones avanzadas, abajo a la derecha, debes a?adir el puerto 21 TCP.
OK, gracias. Una vez hecho esto ya funciona el ftp, pero, ?es segura esta configuraci?n?,?alguna recomendaci?n? Un slaudo
FTP no es muy seguro ya que se transfiere la información sin cifrar.
Sería
más seguro usar sftp ... lo malo es que no todos los clientes FTP soportan SFTP.
IMHO
Rafa
Eso tenía entendido, pero cuando se dice: "ftp no es seguro porque transfiere la información sin cifrar" ¿a que tipo de inseguridad se refiere?, ¿que cosas malas se pueden hacer através ftp?
Para empezar, te pueden "robar" usuario y clave ya que se transfiere sin cifrar ... y todo lo que ello (robar claves y usuarios) trae consigo, por ejemplo, una vez suplantada la identidad de un usuario, se podrían conectar a tu sistema.
Por otro lado te pueden "esnifar" las conexiones y acceder a la información que se está transfiriendo en ese momento.
Es sólo (que no es poco) que te pueden snifar la información que transfieres, ¿o pueden hacer algo más?
Si entran en tu equipo suplantando a un usuario legítimo ... pueden hacer lo
que les dejes si los permisos, usuarios y grupos no están bien especificados, ...
No quiero meter miedo, sólo decir que en caso de usar FTP, hay que definir muy bien los usuarios, grupos y permisos para evitar que mangoneen.
Muchas veces se crea un grupo sin privilegio alguno y ahí que van los usuarios de FTP. Luego cada servidor FTP tiene sus "trucos". A mi me gustaba mucho pure-ftpd.
HTH
Rafa
-- Rafa Grimán Systems Engineer
Silicon Graphics Spain Santa Engracia, 120 - Planta Baja 28003 Madrid Spain
Tel: +34 91 3984200 Tel: +34 91 3984201 Móvil: +34 628 117 940
OpenWengo: rgriman Skype: rgriman
-- Para dar de baja la suscripcin, mande un mensaje a: suse-linux-s-unsubscribe@suse.com Para obtener el resto de direcciones-comando, mande un mensaje a: suse-linux-s-help@suse.com
-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1 El 2006-02-14 a las 12:14 -0500, Pedro Tobo escribió:
Una forma de crear un servidor FTP un poco mas seguro es utilizar repositorio para almacenar los usuarios bien puede ser LDAP o alguna base de datos por ejemplo yo uso ProFTP contra una base de datos MySQL, asi no tengo que crear usuarios en el sistema operativo para que accedan por ftp y hasta donde tengo entendido es uno de los mas seguros y que tiene politicas de seguridad muy flexibles y puede trabajar con hosts virtuales.
El vsftpd también puede, y aunque no es trivial está documentado. Lo de "vs" son las iniciales de "Very Secure", el nombre ya es interesante... - -- Saludos Carlos Robinson -----BEGIN PGP SIGNATURE----- Version: GnuPG v1.4.0 (GNU/Linux) Comment: Made with pgp4pine 1.76 iD8DBQFD8kDZtTMYHG2NR9URAuJ2AJ9M0sWQUQ5o5stLvumU5FJbsSqM/gCfb3IM ypPuOcx3jmVgf4HOdK2nacc= =Epf8 -----END PGP SIGNATURE-----
El 14/02/2006 21:09:05 Jose Sanchez escribió: jjsa_on_suse> Una vez hecho esto ya funciona el ftp, pero, ¿es segura esta jjsa_on_suse> configuración?,¿alguna recomendación? En esta vida no hay nada seguro. :-) El protocolo FTP envía la información sin codificar y existen técnicas para que un tercero pueda capturarla y leerla. Una modificación del protocolo, el sFTP envía la misma información codificada, pero muy pocos clientes FTP tienen esa modificación implementada. El cuando a la posibilidad de que te entren en el servidor vía FTP, en principio hay dos servidores FTP considerados muy seguros vsFTP y Pure-FTP, pero hay que tenerlos correctamente configurados para no tener disgustos. En cuestión de gustos no hay nada escrito, y aunque ahora estoy trabajando en vsFTP, me parecía más cómodo y menos problemático Pure-FTP, pero ya te digo, eso es cuestión de gustos .... -- Saludos, Josep M. Queralt
Muchisimas gracias a todos por vuestros comentarios. Después de escucharos a todos creo que optare por pure-ftp, una politica de permisos bastante restrictiva y una recomendación encarecida a los usuarios de que usen ssh en vez de ftp siempre que les sea posible. Un saludo. Josep M. Queralt escribió:
El 14/02/2006 21:09:05 Jose Sanchez escribió:
jjsa_on_suse> Una vez hecho esto ya funciona el ftp, pero, ¿es segura esta jjsa_on_suse> configuración?,¿alguna recomendación?
En esta vida no hay nada seguro. :-)
El protocolo FTP envía la información sin codificar y existen técnicas para que un tercero pueda capturarla y leerla.
Una modificación del protocolo, el sFTP envía la misma información codificada, pero muy pocos clientes FTP tienen esa modificación implementada.
El cuando a la posibilidad de que te entren en el servidor vía FTP, en principio hay dos servidores FTP considerados muy seguros vsFTP y Pure-FTP, pero hay que tenerlos correctamente configurados para no tener disgustos.
En cuestión de gustos no hay nada escrito, y aunque ahora estoy trabajando en vsFTP, me parecía más cómodo y menos problemático Pure-FTP, pero ya te digo, eso es cuestión de gustos ....
-- J.J. Sánchez
Muchisimas gracias a todos por vuestros comentarios. Después de escucharos a todos creo que optare por pure-ftp, una politica de permisos bastante restrictiva y una recomendación encarecida a los usuarios de que usen ssh en vez de ftp siempre que les sea posible.
Hola José; e dejo aquí unos apuntos muy interesantes extraídos directamente de las FAQs de Pure-FTPd * FTP over SSH. -> How to run Pure-FTPd over SSH? I want to encrypt all connection data (including passwords) . FTP-over-SSH is a nice alternative over FTP-over-SSL (impossible to securely firewall) and SFTP (which is slower, but only uses one port) . Customers using Windows can use FTP-over-SSH with the excellent Van Dyke's SecureFX client (http://www.vandyke.com) . It doesn't require any special knowledge: just tell your customer to check "FTP-over-SSH2" in the "Protocol" listbox when creating an account for your FTP server. On the server side, here's how to manage FTP-over-SSH accounts: 1) Add /usr/bin/false to your /etc/shells file (on some systems, it's /bin/false) . 2) To create a FTP-over-SSH account, create a system account with /dev/null as a home directory and /usr/bin/false as a shell. You don't need a dedicated uid: the same uid can be reused for every FTP-over-SSH account. 3) Create a virtual user account for that user (either with PureDB, SQL or LDAP) . Give that virtual user a real home directory and only allow connections coming from 127.0.0.1 (all FTP-over-SSH sessions will come from localhost, due to SSH tunneling) . People with no home directory (/dev/null) and no valid shell (/usr/bin/false) won't be able to get a shell nor to run any command on your server. But they will be granted FTP-over-SSH sessions. Here are examples (Linux/OpenBSD/ISOS/EkkoBSD commands, translate them if necessary) . 1) Creating a regular FTP account: pure-pw useradd customer1 -m -d /home/customer1 -u ftpuser 2) Creating a FTP-over-SSH account (non-encrypted sessions are denied): useradd -u ftpuser -g ftpgroup -d /dev/null -s /usr/bin/false customer2 pure-pw useradd customer2 -m -d /home/customer2 -u ftpuser -r 127.0.0.1/32 3) Creating an account who can use regular (unencrypted) FTP from the internal network (192.168.1.x), but who must use FTP-over-SSH when coming from an external network (internet): useradd -u ftpuser -g ftpgroup -d /dev/null -s /usr/bin/false customer3 pure-pw useradd customer3 -m -d /home/customer3 -u ftpuser \ -r 127.0.0.1/32,192.168.1.0/24 -- Salut, Jordi Espasa
-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1 El 2006-02-14 a las 19:06 +0100, Jose Sanchez escribió:
Por otra parte me gustaría aprender sobre seguridad en general, ¿qué debería leerme?
Tienes un capítulo entero dedicado en el manual de administración de SuSE. - -- Saludos Carlos Robinson -----BEGIN PGP SIGNATURE----- Version: GnuPG v1.4.0 (GNU/Linux) Comment: Made with pgp4pine 1.76 iD8DBQFD8kEgtTMYHG2NR9URAjsLAJ0Z3lpWRJglqlIReESH7xK63piuNwCfYiea +qx5mdK71RSQAcKsgVPxM4c= =wgSM -----END PGP SIGNATURE-----
participants (7)
-
aux
-
Carlos E. R.
-
Jordi Espasa Clofent
-
Jose Sanchez
-
Josep M. Queralt
-
Pedro Tobo
-
Rafa Grimán