Follow Techotopia on Twitter

On-line Guides
All Guides
eBook Store
iOS / Android
Linux for Beginners
Office Productivity
Linux Installation
Linux Security
Linux Utilities
Linux Virtualization
Linux Kernel
System/Network Admin
Programming
Scripting Languages
Development Tools
Web Development
GUI Toolkits/Desktop
Databases
Mail Systems
openSolaris
Eclipse Documentation
Techotopia.com
Virtuatopia.com
Answertopia.com

How To Guides
Virtualization
General System Admin
Linux Security
Linux Filesystems
Web Servers
Graphics & Desktop
PC Hardware
Windows
Problem Solutions
Privacy Policy

  




 

 

Linuxtopia - Red Hat Enterprise Linux 4: Manual de referencia - Servidores FTP

15.2. Servidores FTP

Red Hat Enterprise Linux se entrega con dos servidores FTP diferentes:

  • Acelerador de Contenidos Red Hat — Un servidor Web basado en el kernel que ofrece un servidor web y servicios FTP de alto rendimiento. Puesto que la velocidad es su objetivo principal de dise�o, su funcionalidad es limitada y solamente se ejecuta como FTP an�nimo. Para m�s informaci�n sobre la configuraci�n y administraci�n del Acelerador de Contenidos Red Hat, consulte la documentaci�n disponible en l�nea en https://www.redhat.com/docs/manuals/tux/.

  • vsftpd — un demonio FTP r�pido y seguro, preferido para Red Hat Enterprise Linux. El resto de este cap�tulo se enfoca en vsftpd.

15.2.1. vsftpd

El demonio FTP vsftpd (o Very Secure FTP Daemon) est� dise�ado desde la base para ser r�pido, estable y lo m�s importante, seguro. Su habilidad para manejar grandes n�meros de conexiones de forma eficiente y segura es lo que hace que vsftpd sea el �nico FTP independiente distribuido con Red Hat Enterprise Linux.

El modelo de seguridad utilizado por vsftpd tiene tres aspectos principales:

  • Clara separaci�n de procesos privilegiados y sin privilegios — Procesos separados manejan tareas diferentes y cada uno de estos procesos se ejecuta con los privilegios m�nimos requeridos para la tarea.

  • Las tareas que requieren altos privilegios son manejadas por procesos con los m�nimos privilegios necesarios — Influenciando las compatibilidades encontradas en la biblioteca libcap, las tareas que usualmente requieren privilegios de superusuario se pueden ejecutar de forma m�s segura desde un proceso menos privilegiado.

  • La mayor�a de los procesos se ejecutan enjaulados en un ambiente chroot — Siempre que sea posible, se cambia la ra�z de los procesos al directorio compartido; este directorio se considera luego como la jaula chroot. Por ejemplo, si el directorio /var/ftp/ es el directorio compartido principal, vsftpd reasigna /var/ftp/ al nuevo directorio ra�z, conocido como /. Esto previene actividades maliciosas de cualquier hacker potencial en alg�n directorio que no est�n por debajo del nuevo directorio root.

El uso de estas pr�cticas de seguridad tiene el efecto siguiente en c�mo vsftpd trata con las peticiones:

  • El proceso padre se ejecuta con el m�nimo de privilegios requerido — El proceso padre calcula din�micamente el nivel de privilegios requerido para minimizar el nivel de riesgos. Los procesos hijo manejan la interacci�n directa con los clientes FTP y se ejecutan casi sin ning�n privilegio.

  • Todas las operaciones que requieren altos privilegios son manejadas por un peque�o proceso padre — Similar a Servidor Apache HTTP, vsftpd lanza procesos hijos sin privilegios para manejar las conexiones entrantes. Esto permite al proceso padre privilegiado, ser tan peque�o como sea posible y manejar relativamente pocas tareas.

  • El proceso padre no confia en ninguna de las peticiones desde procesos hijos sin privilegios — Las comunicaciones con procesos hijos se reciben sobre un socket y la validez de cualquier informaci�n desde un proceso hijo es verificada antes de proceder.

  • La mayor parte de la interacci�n con clientes FTP la manejan procesos hijo sin privilegios en una jaula chroot. — Debido a que estos procesos hijo no tienen privilegios y solamente tienen acceso al directorio que est� siendo compartido, cualquier proceso fallido solamente permitir� al atacante acceder a los archivos compartidos.

 
 
  Published under the terms of the GNU General Public License Design by Interspire