Omitir V�nculos de navegaci�n | |
Salir de la Vista de impresi�n | |
Guía de administración del sistema: servicios de red |
Parte I Servicios de red (temas)
1. Servicio de red (descripción general)
2. Gestión de servidores de antememoria web
3. Servicios relacionados con el tiempo
Parte II Acceso a los sistemas de archivos de red (temas)
4. Gestión de sistemas de archivos de red (descripción general)
5. Administración de sistema de archivos de red (tareas)
6. Acceso a los sistemas de archivos de red (referencia)
8. Planificación y habilitación del SLP (tareas)
9. Administración del SLP (tareas)
10. Incorporación de servicios antiguos
Parte IV Servicios de correo (temas)
12. Servicios de correo (descripción general)
13. Servicios de correo (tareas)
14. Servicios de correo (referencia)
Parte V Redes en serie (temas)
15. Solaris PPP 4.0 (descripción general)
16. Planificación del enlace de PPP (tareas)
17. Configuración de un enlace de PPP por marcación telefónica (tareas)
18. Configuración de un enlace de PPP de línea arrendada (tareas)
19. Configuración de autenticación PPP (tareas)
20. Configuración de un túnel PPPoE (tareas)
21. Resolución de problemas comunes de PPP (tareas)
22. Solaris PPP 4.0 (referencia)
23. Migración de Solaris PPP asíncrono a Solaris PPP 4.0 (tareas)
24. UUCP (descripción general)
25. Administración del UUCP (tareas)
Parte VI Trabajo con sistemas remotos (temas)
27. Trabajo con sistemas remotos (descripción general)
28. Administración del servidor FTP (tareas)
Administración del servidor FTP (mapa de tareas)
Control del acceso al servidor FTP
Cómo definir clases de servidor FTP
Cómo establecer límites de inicio de sesión de usuarios
Cómo controlar el número de intentos de inicio de sesión no válidos
Cómo impedir a determinados usuarios el acceso al servidor FTP
Configuración de inicios de sesión del servidor FTP
Cómo configurar usuarios reales del FTP
Cómo configurar usuarios invitados del FTP
Cómo configurar usuarios anónimos del FTP
Cómo crear el archivo /etc/shells
Personalización de archivos de mensaje
Cómo personalizar archivos de mensaje
Cómo crear mensajes que se van a enviar a los usuarios
Cómo configurar la opción README
Control del acceso a los archivos en el servidor FTP
Cómo controlar comandos de acceso a archivos
Control de cargas y descargas en el servidor FTP
Cómo controlar las cargas al servidor FTP
Cómo controlar descargas al servidor FTP
Cómo permitir el hospedaje virtual limitado
Cómo habilitar el hospedaje virtual completo
Inicio del servidor FTP automáticamente
Cómo iniciar un servidor FTP mediante SMF
Cómo iniciar un servidor FTP independiente en segundo plano
Cómo iniciar un servidor FTP independiente en primer plano
Cómo comprobar syslogd en busca de mensajes del servidor FTP
Cómo utilizar greeting text para verificar ftpaccess
Cómo comprobar los comandos ejecutados por usuarios del FTP
Ayuda de configuración para sitios ocupados
29. Acceso a sistemas remotos (tareas)
Parte VII Supervisión de servicios de red (temas)
Puede utilizar los siguientes archivos de configuración en el directorio /etc/ftpd para controlar el acceso al servidor FTP.
ftpusers se utiliza para enumerar los usuarios que tienen prohibido acceder al servidor FTP.
ftphosts se utiliza para permitir o denegar el inicio de sesión de varios hosts a diversas cuentas en el servidor FTP.
ftpaccess es el archivo de configuración principal del FTP. El servidor FTP sólo lee el archivo /etc/ftpd/ftpaccess si se llama con la opción -a. Cuando el archivo ftpaccess se utiliza, todos los usuarios deben ser miembros de una clase para poder acceder al servidor FTP. Puede especificar muchas directivas ftpaccess que se aplican sólo a una clase determinada.
Para obtener más información, consulte ftpusers(4), ftphosts(4) yftpaccess(4).
Nota - En todos los archivos de configuración del servidor FTP, las líneas que comienzan con signos # se tratan como comentarios.
Para iniciar sesión en el servidor FTP, los usuarios deben ser miembros de una clase cuando se utiliza el archivo ftpaccess. Para agregar la directiva class al archivo ftpaccess, especifique el nombre de clase y la lista de tipos de usuarios que tienen permitido el acceso desde un host determinado.
Los roles incluyen autorizaciones y comandos con privilegios. Para obtener más información sobre los roles, consulte Configuración de RBAC (mapa de tareas) de Guía de administración del sistema: servicios de seguridad.
class class typelist addrglob[addrglob...]
Palabra clave que se utiliza para definir usuarios de FTP.
Un nombre definido por la palabra clave class. Cada inicio de sesión se compara con una lista de clases definidas. El usuario que inició sesión se considera un miembro de la primera clase coincidente.
Una lista separada por comas de las palabras clave que coinciden con los tres tipos de usuarios: anonymous, guest y real.
Un nombre de dominio coincidente o una dirección numérica coincidente. dircoinc también puede ser el nombre de un archivo (que comienza con una barra diagonal [`/`]), que contiene patrones de direcciones adicionales: address:netmask o address/cidr.
A continuación, se muestran algunos ejemplos de direcciones coincidentes:
Dirección numérica IPv4: 10.1.2.3
Nombre de dominio coincidente: *.provider.com
Dirección numérica IPv4 coincidente: 10.1.2.*
address:netmask numérica IPv4: 10.1.2.0:255.255.255.0
Dirección numérica IPv4/CIDR: 10.1.2.0/24
Dirección numérica IPv6: 2000::56:789:21ff:fe8f:ba98
Dirección numérica IPv6/CIDR: 2000::56:789:21ff:fe8f:ba98/120
Ejemplo 28-1 Definición de clases de servidor FTP
class local real,guest,anonymous *.provider.com class remote real,guest,anonymous *
El ejemplo anterior define la clase local como cualquier usuario del tipo real, guest o anonymous que inicia sesión desde *.provider.com. La última línea define a remote como cualquier usuario que inicia sesión desde cualquier sitio que no sea *.provider.com.
Puede limitar el número de inicios de sesión simultáneos por los usuarios de una clase específica con las directivas que están definidas en el archivo ftpaccess. Cada límite de inicio de sesión contiene el nombre de una clase, una lista de días de semana del estilo del UUCP y un archivo de mensaje para mostrar si el límite se supera.
Para establecer límites de inicio de sesión de usuarios, siga los pasos en el procedimiento siguiente.
Los roles incluyen autorizaciones y comandos con privilegios. Para obtener más información sobre los roles, consulte Configuración de RBAC (mapa de tareas) de Guía de administración del sistema: servicios de seguridad.
limit class n times [message-file]
Palabra clave que se utiliza para restringir inicios de sesión simultáneos por el número especificado de usuarios de una clase definida a ciertos tiempos de conexión.
Un nombre definido por la palabra clave class. Cada inicio de sesión se compara con una lista de clases definidas. El usuario que inició sesión se considera un miembro de la primera clase coincidente.
Número de usuarios.
Día de la semana y hora del día en los que la clase se puede conectar. Use Any para cualquier día.
Archivo de mensaje que se muestra si a un usuario se le niega el acceso.
Ejemplo 28-2 Configuración de límites de inicio de sesión de usuarios
limit anon 50 Wk0800-1800 /etc/ftpd/ftpmsg.deny limit anon 100 Any /etc/ftpd/ftpmsg.deny limit guest 100 Any /etc/ftpd/ftpmsg.deny
La primera línea del ejemplo anterior muestra un límite de 50 inicios de sesión simultáneos que están permitidos para los usuarios de la clase anon durante las horas laborales de la semana. La segunda línea limita a los usuarios anon a 100 inicios de sesión simultáneos fuera de las horas laborales. La última línea muestra un límite de 100 inicios de sesión de guest que se permiten en cualquier momento. Para obtener información sobre cómo especificar parámetros de día y hora, consulte ftpaccess(4).
El ejemplo indica, además, que el contenido del archivo /etc/ftpd/ftpmsg.deny se devuelve cuando se alcanza un límite de inicio de sesión especificado si ftpmsg.deny existe. Para obtener información sobre cómo utilizar el comando /usr/sbin/ftpcount para ver el límite de inicio de sesión y de cantidad de cada clase de usuario que inició sesión en una hora particular, consulte ftpcount(1).
Los usuarios tienen permitido iniciar sesión en el servidor FTP, a menos que se alcance un límite especificado. Los usuarios anónimos inician sesión como el usuario ftp. Los usuarios reales inician sesión como ellos mismos y los usuarios invitados inician sesión como usuarios reales con un entorno chroot para limitar los privilegios de acceso.
Para obtener información sobre cómo utilizar el comando /usr/sbin/ftpwho para comprobar las identidades de los usuarios que iniciaron sesión en el servidor FTP, consulte ftpwho(1).
Si un inicio de sesión en el servidor FTP falla debido a un problema, como, por ejemplo, si escribe de manera incorrecta la información necesaria, el inicio de sesión, generalmente, se repite. El usuario tiene permitido un número específico de intentos de inicios de sesión consecutivos antes de que un mensaje se registre en el archivo syslog. En ese punto, el usuario ya está desconectado. Puede definir un límite de fallos en el número de intentos de inicios de sesión siguiendo los pasos detallados en el procedimiento siguiente.
Los roles incluyen autorizaciones y comandos con privilegios. Para obtener más información sobre los roles, consulte Configuración de RBAC (mapa de tareas) de Guía de administración del sistema: servicios de seguridad.
loginfails n
Palabra clave que se utiliza para asignar el número de fallos de inicio de sesión que se permiten antes de que la conexión FTP se termine.
Número de veces que un inicio de sesión puede fallar.
Ejemplo 28-3 Control del número de intentos de inicio de sesión no válidos
loginfails 10
El ejemplo anterior indica que el usuario se desconecta del servidor FTP después de 10 intentos de inicio de sesión fallidos.
El archivo /etc/ftpd/ftpusers muestra los nombres de usuarios que no tienen permitido iniciar sesión en el servidor FTP. Cuando se intenta un inicio de sesión, el servidor FTP comprueba el archivo /etc/ftpd/ftpusers para determinar si al usuario se le debe denegar el acceso. Si el nombre del usuario no se encuentra en ese archivo, el servidor busca en el archivo /etc/ftpusers.
Si el nombre del usuario se encuentra en el archivo /etc/ftpusers, se escribe un mensaje syslogd que indica que se encontró la coincidencia en un archivo obsoleto. El mensaje también recomienda el uso de /etc/ftpd/ftpusers en lugar de /etc/ftpusers.
Nota - Esta versión ya no admite el archivo /etc/ftpusers. Si el archivo /etc/ftpusers existe cuando el servidor FTP se instala, el archivo se mueve a /etc/ftpd/ftpusers.
Para obtener más información, consulte syslogd(1M), in.ftpd(1M) y ftpusers(4).
Los roles incluyen autorizaciones y comandos con privilegios. Para obtener más información sobre los roles, consulte Configuración de RBAC (mapa de tareas) de Guía de administración del sistema: servicios de seguridad.
Ejemplo 28-4 Prohibición del acceso al servidor FTP
root daemon bin sys adm lp uccp nuucp listen nobody noaccess nobody4
El ejemplo anterior muestra las entradas típicas en el archivo ftpusers. Los nombres de usuario coinciden con las entradas en /etc/passwd. La lista, generalmente, incluye la identidad root y otras identidades de aplicación de sistemas y administrativas.
La entrada root se incluye en el archivo ftpusers como una medida de seguridad. La política de seguridad predeterminada es no permitir inicios de sesión remotos para root. La política también se sigue para el valor predeterminado que se ha establecido como la entrada CONSOLE en el archivo /etc/default/loginfile. Consulte login(1).
Además de los controles mencionados anteriormente, puede agregar afirmaciones explícitas al archivo ftpaccess para restringir el acceso al servidor FTP.
Los roles incluyen autorizaciones y comandos con privilegios. Para obtener más información sobre los roles, consulte Configuración de RBAC (mapa de tareas) de Guía de administración del sistema: servicios de seguridad.
defaultserver deny username [username...]
Palabra clave que se utiliza para identificar el servidor no virtual al cual se puede denegar o permitir el acceso.
Nombre de inicio de sesión de un usuario con acceso restringido a defaultserver.
defaultserver allow username [username...]
defaultserver private
Ejemplo 28-5 Restricción de acceso al servidor FTP predeterminado
defaultserver deny * defaultserver allow username
El ejemplo anterior muestra que el servidor FTP deniega el acceso a todos los usuarios, excepto a los usuarios anon y a aquellos usuarios que aparecen en la línea allow.
También puede utilizar el archivo ftphosts para denegar el acceso a determinadas cuentas de inicio de sesión desde varios hosts. Consulte ftphosts(4) para obtener más información.