2.2.6. Cómo proteger FTP

El Protocolo de transferencia de archivos (FTP) es un protocolo TCP viejo diseñado para transferir archivos en la red. Puesto que todas las transacciones con el servidor, entre ellas la autenticación de usuarios, no están cifradas, se considera un protocolo inseguro y debe configurarse con cuidado.
Red Hat Enterprise Linux proporciona tres servidores FTP.
  • gssftpd — Un kerberos que reconoce a xinetd-demonio basado en FTP no transmite información de autenticación por la red.
  • Red Hat Content Accelerator (tux) — Un servidor de espacio de web con capacidades de FTP.
  • vsftpd — Una implementación de seguridad autónoma del servicio FTP.
Las siguientes guías de seguridad son par establecer el servicio FTP vsftpd.

2.2.6.1. Pancarta de saludo de FTP

Antes de enviar el nombre de usuario y contraseña, se presenta de forma predeterminada a todos los usuarios una pancarta de saludo. Esta pancarta incluye información sobre la versión útil para crackers que tratan de identificar las debilidades del sistema.
Para cambiar la pancarta de saludo vsftpd, añada la siguiente directiva al archivo /etc/vsftpd/vsftpd.conf:
ftpd_banner=<inserte_saludo_aquí>
Remplace <insert_greeting_here> en la directiva de arriba por el texto del mensaje de saludo.
Para pancartas de varias líneas, es mejor utilizar un archivo de pancartas. A fin de simplificar la administración de varias pancartas, coloque todas las pancartas en el nuevo directorio llamado /etc/banners/. El archivo de pancartas para conexiones FTP en este ejemplo es /etc/banners/ftp.msg. El siguiente es un ejemplo de cómo se vería un archivo tal:\n
######### # Hello, all activity on ftp.example.com is logged. #########

Nota

No se necesita comenzar cada línea del archivo por 220 como se especifica en la Sección 2.2.1.1.1, “Envolturas TCP y pancartas de conexión ”.
Para hacer referencia a esta pancarta de saludo para vsftpd, añada la siguiente directiva al archivo /etc/vsftpd/vsftpd.conf:
banner_file=/etc/banners/ftp.msg
También se pueden enviar pancartas adicionales a conexiones entrantes mediante envolturas TCP como se describe en la Sección 2.2.1.1.1, “Envolturas TCP y pancartas de conexión ”.