El Martes, 14 de Febrero de 2006 18:14, Pedro Tobo escribió: Si lo unico que quieres es cifrar la conexión puedes usar el ssh de toda la vida. Hay infinidad de programas que usan el scp y el entorno y aspecto es como si fuera un FTP. En windows tienes por ejemplo Filezilla, que a parte de esto tambien soporta ftp-ssl. La solución via SSH/SCP no está mal, aunque ten cuidado ya que no hace chroot por defecto. Esto significa que cuando te logees con el usuario vas a poder salirte de tu home siempre que tenga permiso el usuario. Hay algun parche para ssh para permitir esto
Una forma de crear un servidor FTP un poco mas seguro es utilizar repositorio para almacenar los usuarios bien puede ser LDAP o alguna base de datos por ejemplo yo uso ProFTP contra una base de datos MySQL, asi no tengo que crear usuarios en el sistema operativo para que accedan por ftp y hasta donde tengo entendido es uno de los mas seguros y que tiene politicas de seguridad muy flexibles y puede trabajar con hosts virtuales.
-----Mensaje original----- De: Rafa Grimán [mailto:rgriman@sgi.com] Enviado el: Martes, 14 de Febrero de 2006 11:32 a.m. Para: suse-linux-s@suse.com Asunto: Re: [suse-linux-s] seguridad ftp
Hola :)
El Martes, 14 de Febrero de 2006 21:31, Jose Sanchez escribió:
Rafa Grimán escribió:
Hola :)
El Martes, 14 de Febrero de 2006 21:09, Jose Sanchez escribió:
Josep M. Queralt escribi?:
El 14/02/2006 19:06:28 Jose Sanchez escribi?:
jjsa_on_suse> No tengo habilitado el cortafuegos porque no se como incluir el ftp como jjsa_on_suse> servicio permitido. jjsa_on_suse> ?Pueden darme alguna indicaci?n?
Imagino que usas SuSE 10. Efectivamente se dejaron el FTP. :-( Pulsa en opciones avanzadas, abajo a la derecha, debes a?adir el puerto 21 TCP.
OK, gracias. Una vez hecho esto ya funciona el ftp, pero, ?es segura esta configuraci?n?,?alguna recomendaci?n? Un slaudo
FTP no es muy seguro ya que se transfiere la información sin cifrar.
Sería
más seguro usar sftp ... lo malo es que no todos los clientes FTP soportan SFTP.
IMHO
Rafa
Eso tenía entendido, pero cuando se dice: "ftp no es seguro porque transfiere la información sin cifrar" ¿a que tipo de inseguridad se refiere?, ¿que cosas malas se pueden hacer através ftp?
Para empezar, te pueden "robar" usuario y clave ya que se transfiere sin cifrar ... y todo lo que ello (robar claves y usuarios) trae consigo, por ejemplo, una vez suplantada la identidad de un usuario, se podrían conectar a tu sistema.
Por otro lado te pueden "esnifar" las conexiones y acceder a la información que se está transfiriendo en ese momento.
Es sólo (que no es poco) que te pueden snifar la información que transfieres, ¿o pueden hacer algo más?
Si entran en tu equipo suplantando a un usuario legítimo ... pueden hacer lo
que les dejes si los permisos, usuarios y grupos no están bien especificados, ...
No quiero meter miedo, sólo decir que en caso de usar FTP, hay que definir muy bien los usuarios, grupos y permisos para evitar que mangoneen.
Muchas veces se crea un grupo sin privilegio alguno y ahí que van los usuarios de FTP. Luego cada servidor FTP tiene sus "trucos". A mi me gustaba mucho pure-ftpd.
HTH
Rafa
-- Rafa Grimán Systems Engineer
Silicon Graphics Spain Santa Engracia, 120 - Planta Baja 28003 Madrid Spain
Tel: +34 91 3984200 Tel: +34 91 3984201 Móvil: +34 628 117 940
OpenWengo: rgriman Skype: rgriman
-- Para dar de baja la suscripcin, mande un mensaje a: suse-linux-s-unsubscribe@suse.com Para obtener el resto de direcciones-comando, mande un mensaje a: suse-linux-s-help@suse.com