Red Hat Training
A Red Hat training course is available for Red Hat Enterprise Linux
2.2.6. Protegendo o FTP
O File Transfer Protocol (FTP) é um protocolo TCP antigo desenvolvido para transferir arquivos em uma rede. Pela razão que todas as transações com o servidor, incluindo a autenticação do usuário, não são criptografadas, é considerado um protocolo inseguro e deve ser configurado cuidadosamente.
O Red Hat Enterprise Linux fornece três servidores FTP.
gssftpd— Um daemon de FTP baseado emxinetde atento ao Kerberos que não transmite informações de autenticação na rede.- Red Hat Content Accelerator (
tux) — Um servidor Web do kernel com capacidades de FTP. vsftpd— Um implementação orientada à segurança, autônoma do serviço de FTP.
As seguintes diretrizes de segurança são para definir o serviço FTP
vsftpd
2.2.6.1. Banner de Saudação do FTP
Antes de enviar um nome de usuário e senha, todos os usuários recebem um banner de saudação. Por padrão este banner inclui informações de versão úteis para os invasores que tentam identificar as fraquezas do sistema.
Para mudar o banner de saudação do
vsftpd, adicione a seguinte diretiva ao arquivo /etc/vsftpd/vsftpd.conf:
ftpd_banner=<insert_greeting_here>
Substitua o <insert_greeting_here> na diretiva acima com o texto da mensagem de saudação.
Para banners com múltiplas linhas, é melhor usar um arquivo de banner. Para simplificar o gerenciamento de banners múltiplos, coloque todos os banners em um novo diretório chamado
/etc/banners/. O arquivo de banner para conexões FTP neste exemplo é o /etc/banners/ftp.msg. Abaixo está um exemplo de como o arquivo deve ser:
######### # Hello, all activity on ftp.example.com is logged. #########
Nota
Não é necessário iniciar cada linha do arquivo com
220 como especificado na Seção 2.2.1.1.1, “TCP Wrappers e Banners de Conexão”.
Para referenciar este arquivo de banner de saudação para o
vsftpd, adicione a seguinte diretiva ao arquivo /etc/vsftpd/vsftpd.conf:
banner_file=/etc/banners/ftp.msg
É também possível enviar banners adicionais às conexões de entrada usando os TCP Wrappers conforme escrito Seção 2.2.1.1.1, “TCP Wrappers e Banners de Conexão”.
