Table of Contents [-]

1. Acerca del Protocolo FTP

2. Funcionamiento del Protocolo FTP
3. Modos de conexión del cliente FTP
1. Modo Activo
2. Modo Pasivo
3. Modo Activo vs Modo Pasivo
4. Modos de acceso del cliente FTP
1. Acceso Anónimo
2. Acceso de Usuario
3. Acceso de Invitado
4. Instalando VSFTPD
5. Archivos de configuración de VSFTPD
1. Configuración del fichero [Link]
1. Habilitando o negando accesos anónimos al servidor FTP
2. Habilitar o negar autenticarse a los usuarios
3. Habilitar o negar la escritura en el servidor FTP
4. Estableciendo un mensaje de bienvenida en el servidor FTP
5. Habilitar el acceso de invitado para ciertos usuarios de FTP
6. Habilitar al usuario anónimo la función de subir contenido al
servidor FTP
7. Habilitar al usuario anónimo la función de crear carpetas en
servidor FTP
8. Estableciendo permisos de escritura, lectura y ejecución al
contenido albergado en el servidor FTP
9. Limitando la tasa de transferencia a los usuarios anónimos
10. Limitando la tasa de transferencia a los usuarios autenticados
11. Limitando el numero de conexiones hacia el servidor FTP
12. Limitando el numero de conexiones por IP hacia el servidor
FTP
2. Configuración del fichero chroot_list
6. Iniciar , detener o reiniciar el servidor FTP
5. Creación de cuentas de usuario en el servidor FTP

Acerca del Protocolo FTP#

La historia de este protocolo se remonta al año de 1969 cuando el Instituto Tecnológico de
Massachusetts mejor conocido como el MIT presentó la propuesta del primer Protocolo
para la transmisión de archivos en Internet. Era un protocolo muy sencillo basado en el
sistema de correo electrónico pero sentó las bases para el futuro protocolo de transmisión
de archivos (FTP).

 En 1985, quince años después de la primera propuesta, se termina el desarrollo del

aún vigente protocolo para la transmisión de archivos en Internet (FTP), basado en
la filosofía de cliente-servidor.
 o Fragmento extraído de Wikipedia

El protocolo FTP (File Transfer Protocol) es una de las herramientas mas usadas entorno a
la administración de portales web y tiene como principal función la transferencia de
archivos. Esta transacción puede ser efectuada desde una LAN (Red de área local) o en una
WAN (Red de Área Amplia). El protocolo FTP esta basado principalmente en la
arquitectura Cliente-Servidor el cual consiste básicamente en un programa “Cliente” que
realiza peticiones a otro programa “Servidor” el cual responde a su petición. Visto de otra
forma podemos entenderlo como el equipo cliente que se conecta al servidor para descargar
archivos desde el o para enviarle archivos. FTP hace uso del modelo TCP/IP y trabaja
directamente sobre la capa de aplicación del antes mencionado. Así mismo el protocolo
FTP hace uso de los puertos 20 y 21 para la comunicación y control de datos. Un problema
básico de FTP es que está pensado para ofrecer la máxima velocidad en la conexión, pero
no la máxima seguridad, ya que todo el intercambio de información, desde el login y
password del usuario en el servidor hasta la transferencia de cualquier archivo, se realiza en
texto plano sin ningún tipo de cifrado, con lo que un posible atacante puede capturar este
tráfico mediante la ayuda de un sniffer y acceder al servidor. Una forma de solucionar este
gran problema de seguridad es mediante la utilización de aplicaciones como “SCP” y el
“SFTP” los cuales permiten transferir archivos pero cifrando el trafico , por lo general estas
aplicaciones son incluidas en el paquete de openSSH tema que veremos mas adelante.

Funcionamiento del Protocolo FTP#

Generalmente se origina cuando el cliente FTP envía la petición al servidor para indicarle
que requiere establecer una comunicación con el, entonces el cliente FTP inicia la conexión
hacia el servidor FTP mediante el puerto 21 el cual establecerá un canal de control. A partir
de este punto el cliente FTP enviara al servidor las acciones que este debe ejecutar para
poder llevar a cabo el envío de datos. Estas acciones incluyen parámetros para la conexión
de datos así como también la manera en como serán gestionados y tratados estos datos.
Algunos de los parámetros enviados por el cliente FTP para la conexión de datos son los
siguientes:

 Puerto de datos
 Modo de transferencia
 Tipo de representación y estructura

Los parámetros relacionados a la gestión de datos son los siguientes:

 Almacenar
 Recuperar
 Añadir
 Borrar
 Obtener

El proceso de transferencia de datos desde el servidor hacia el cliente deberá esperar a que
el servidor inicie la conexión al puerto de datos especificado ( en modo activo ) y luego de
ello transferir los datos en función a los parámetros de conexión especificados
anteriormente.

Modos de conexión del cliente FTP#

FTP establecerá dos modos de conexión diferentes para el cliente, el Modo Activo y el
Modo Pasivo.

Modo Activo#

El modo activo generalmente es conocido también como modo estándar y este opera de la
siguiente forma. Se establecen dos conexiones distintas, la primera conexión establece una
comunicación para la transmisión de comandos a través de un puerto aleatorio mayor que el
1024 del cliente FTP hacia el puerto 21 del servidor FTP y por esa misma conexión se le
notifica al servidor FTP cual es el puerto de nuestro cliente FTP que esta a la espera de los
datos. Entonces y para comprender mejor, si usted descarga algún archivo mediante la
ayuda de algún cliente de FTP, es el servidor FTP el que inicia la transmisión de datos,
desde su puerto 20 al puerto que aleatoriamente el cliente FTP le ha indicado. Se le llama
modo activo porque la transmisión de datos es iniciada por el propio servidor FTP.

Modo Pasivo#

Esto se logra cuando el cliente FTP inicia la conexión con el servidor FTP mediante el
envió del comando PASV en este punto el cliente FTP establece una comunicación
mediante un canal de control el cual generalmente utiliza un puerto aleatorio mayor al 1024
para comunicarse con el servidor FTP a través de su puerto 21. Al pasar a modo pasivo el
cliente FTP pedirá al servidor FTP que habrá un puerto, el cual deberá ser aleatorio y
mayor al 1024, recibida la contestación, será el cliente FTP el que establezca la conexión de
datos al servidor FTP a través del puerto especificado anteriormente.

Modo Activo vs Modo Pasivo#

Como hemos explicado antes, en el modo activo se abre una conexión para datos desde el
servidor FTP al cliente FTP, esto es, una conexión de fuera hacia adentro, entonces, si el
cliente FTP se encuentra detrás de un firewall, este filtrara o bloqueara la conexión
entrante. En el modo pasivo es el cliente FTP el que inicia tanto la conexión de control
como la de datos, con lo cual el firewall no tendrá ninguna conexión entrante que filtrar.

Modos de acceso del cliente FTP#

Un cliente FTP es la aplicación o software que servirá de intermediario entre el servidor
FTP y nuestro equipo, así mismo existen dos versiones de clientes FTP, los gráficos y los
que se usan a linea de comandos. En la mayoría de los casos se implementaran clientes
gráficos de FTP esto debido a que son mas fáciles y sencillos de manejar por el usuario.
Nosotros recomendamos usar el cliente FTP FileZilla. FileZilla es un cliente FTP, gratuito,
multiplataforma , libre y de código abierto. Sustenta los protocolos FTP, SFTP y SFTP. Así
mismo, los clientes FTP pueden acceder a los servidores FTP de tres formas distintas, estas
son:

 Acceso Anónimo
 Acceso de Usuario
 Acceso de Invitado

Acceso Anónimo#

El acceso anónimo a un servidor FTP se caracteriza porque este no pide ningún tipo de
autenticacion al cliente FTP ( login y password ) para entrar en el. Generalmente este tipo
de accesos son implementados para que cualquier usuario tenga acceso a los recursos que
ahí se comparten, los cuales normalmente solo pueden ser leídos o copiados , restringiendo
a los usuarios la función de crear o modificar dichos recursos.

Acceso de Usuario#

Este tipo de acceso se caracteriza porque este si requiere autenticacion del cliente FTP
( login y password ) ante el servidor FTP. Generalmente estos accesos son implementados
para un grupo selecto de usuarios, los cuales tendrán ciertos privilegios sobre los recursos
del servidor como podría ser modificar, eliminar, crear , subir o descargar archivos o
carpetas. Otra característica de este acceso es que permite al usuario FTP acceder a
cualquier parte del sistema operativo, lo cual es un grave fallo de seguridad.

Acceso de Invitado#

El acceso de invitado bien podría ser un híbrido entre el acceso anónimo y el acceso de
usuario, ya que en este tipo de acceso de requiere autenticacion del cliente FTP ( login y
password ) ante el servidor FTP, lo que lo diferencia de los últimos dos es que el usuario
FTP solo podrá trabajar en un directorio de trabajo destinado exclusivamente para el,
evitando así que el usuario FTP tenga acceso a otras partes del sistema operativo, pero sin
restringir los privilegios que tiene sobre su propio directorio de trabajo. Proceso de
instalación del servidor FTP

Instalando VSFTPD#

La instalación de VSFTPD es relativamente sencilla , solo debe teclear en terminal el

siguiente comando.

[root@ localhost ~]# yum install -y vsftpd

Recuerde que este comando se debe ejecutar como root

Archivos de configuración de VSFTPD#

La configuración de VSFTPD se realizara sobre dos ficheros distintos, uno de
configuración general propio de VSFTPD y otro para especificar al servidor FTP los
usuarios que harán uso del acceso de invitado. El primer fichero de configuración de
VSFTPD lo encontramos en la siguiente ruta

/etc/vsftpd/[Link]
El segundo fichero de configuración debe ser creado por usted mismo ya que de otra forma
nunca podrá especificar al servidor FTP los usuarios que harán uso del acceso de invitado.
La ruta en la que se debe crear dicho fichero es la siguiente:
/etc/vsftpd
Y sera nombrado con el nombre siguiente:
chroot_list
A este fichero deberán ser agregados los nombres de los usuarios de FTP que trabajaran en
su directorio de trabajo, de esta manera se restringe a estos usuarios el acceso a otras partes
del sistema operativo, cualquier otro usuario no agregado a este archivo podrá acceder a
cualquier parte del sistema operativo, lo cual es un grave fallo de seguridad. Al final
nuestros archivos deberán estar ubicados en las siguientes ruta:
/etc/vsftpd/[Link] ---> Fichero de configuración propio de
VSFTPD

/etc/vsftpd/chroot_list ---> Fichero que definirá los usuarios que harán uso del acceso de
invitado [RECUERDE QUE ESTE FICHERO DEBE SER GENERADO POR
USTED] }}}

El siguiente paso sera editar y configurar los ficheros que previamente creamos.

Configuración del fichero [Link]#

Para llevar a cabo la configuración de este fichero le recomendamos usar el editor de textos
VIM. A continuación le presentamos las diferentes opciones que pueden ser habilitadas o
negadas en el fichero de configuración [Link]

Habilitando o negando accesos anónimos al servidor FTP#

Al haber abierto el fichero trate de buscar la linea siguiente: Para habilitar el acceso
anónimo al servidor FTP solo deberá teclear la palabra YES , caso contrario si usted desea
tener deshabilitada esta opción solo deberá teclear la palabra NO.

anonymous_enable=YES|NO

Habilitar o negar autenticarse a los usuarios#

Para habilitar o negar los accesos autenticados de los usuarios locales en el servidor FTP
deberá buscar la siguiente linea:

local_enable=YES|NO
Deberá teclear la palabra YES para habilitar la autenticacion , caso contrario si usted desea
tener deshabilitada esta opción solo deberá teclear la palabra NO.
Habilitar o negar la escritura en el servidor FTP#

Para habilitar o negar la escritura en el servidor FTP deberá buscar la siguiente linea

write_enable=YES|NO
Una vez ubicada esta linea recuerde borrar ( si es que esta ) el signo de numero (#) para
habilitar esta función. Establezca el valor YES o NO de acuerdo a lo que se requiera.

Estableciendo un mensaje de bienvenida en el servidor FTP#

Este parámetro sirve para establecer un mensaje de bienvenida el cual será mostrado cada
vez que un usuario acceda al servidor de archivos. Una vez ubicada esta linea recuerde
borrar ( si es que esta ) el signo de numero (#) para habilitar esta función. Para agregar este
mensaje al servidor FTP deberá buscar la siguiente linea y editarla.

ftpd_banner=Bienvenido al Servidor FTP de Linux Para Todos

Habilitar el acceso de invitado para ciertos usuarios de FTP#

Para limitar a los usuarios a trabajar en su propia carpeta de trabajo se deberán editar las
siguientes lineas del fichero [Link]

chroot_list_enable=YES |NO
Una vez ubicada esta linea recuerde borrar ( si es que esta ) el signo de numero (#) para
habilitar esta función. Habilitar este parámetro indicara al servidor FTP que el usuario solo
podrá trabajar dentro de su carpeta de trabajo, para ello solo habrá que teclear la palabra
YES, en caso contrario use la palabra NO El siguiente parámetro se encuentra en función
del anterior, de forma que si usted lo habilito también tendrá que habilitar este ultimo, para
ello solo deberá borrar el caracter de numero (#)
chroot_list_file=/etc/vsftpd/chroot_list
El parámetro
/etc/vsftpd/chroot_list
indica la ruta en la cual se encuentra el fichero con los nombres de los usuarios que serán
limitados a trabajar en su propia carpeta de trabajo Recuerde que usted creo previamente
este fichero

Habilitar al usuario anónimo la función de subir contenido al servidor FTP#

Para habilitar o negar al usuario anónimo el subir datos al servidor FTP deberá buscar la
siguiente linea:

anon_upload_enable=YES|NO
Una vez ubicada esta linea recuerde borrar ( si es que esta ) el signo de numero (#) para
habilitar esta función. Establezca el valor YES o NO de acuerdo a lo que se requiera.

Habilitar al usuario anónimo la función de crear carpetas en servidor FTP#

Para habilitar o negar al usuario crear carpetas en servidor FTP deberá buscar la siguiente
linea:

anon_mkdir_write_enable=YES|NO
Una vez ubicada esta linea recuerde borrar ( si es que esta ) el signo de numero (#) para
habilitar esta función. Establezca el valor YES o NO de acuerdo a lo que se requiera.

Estableciendo permisos de escritura, lectura y ejecución al contenido albergado en el servidor FTP#

La siguiente linea Indica que los archivos subidos al servidor quedarán con los permisos
022, es decir, sólo escritura para el grupo y los demás.

local_umask=022
Si tu deseas agregar otro tipo de permisos sobre el contenido que sera albergado en tu
servidor FTP solo deberás modificar el valor 022 por el que tu creas mas conveniente.
Nosotros recomendamos usar el permiso “664”
local_umask=664
es decir, lectura y escritura para el propietario del fichero, y sólo lectura para el grupo y los
demás

Limitando la tasa de transferencia a los usuarios anónimos#

Usted puede limitar la tasa de transferencia ( en bytes ) para los usuarios anónimos,
solamente deberá agregar la siguiente linea al final del archivo

anon_max_rate=10240
Como podemos observar hemos limitado la tasa de transferencia a solo 10 Kb para los
usuarios anónimos, usted podrá definir ese parámetro de acuerdo a sus necesidades.

Limitando la tasa de transferencia a los usuarios autenticados#

Usted puede limitar la tasa de transferencia ( en bytes ) para los usuarios anónimos,
solamente deberá agregar la siguiente linea al final del archivo

local_max_rate=10240
Como podemos observar hemos limitado la tasa de transferencia a solo 10 Kb para los
usuarios autenticados, usted podrá definir ese parámetro de acuerdo a sus necesidades.

Limitando el numero de conexiones hacia el servidor FTP#

Usted podrá establecer un numero máximo de conexiones que podrán acceder

simultáneamente al servidor FTP, para ello solo habrá que añadir la siguiente linea al final
de archivo.

max_clients=3
Como podemos observar hemos limitado el acceso a solamente 3 clientes FTP

Limitando el numero de conexiones por IP hacia el servidor FTP#

Usted podrá establecer un numero máximo de conexiones desde una misma dirección IP
que podrán acceder simultáneamente al servidor FTP, para ello solo habrá que añadir la
siguiente linea al final de archivo.

max_per_ip=3
Como podemos observar hemos limitado el acceso a simultaneo a solamente 3 IP´s .

Configuración del fichero chroot_list#

La configuración de este fichero es relativamente fácil, solo deberá añadir dentro de el los
nombres de los usuarios que serán limitados a trabajar dentro de su carpeta personal de
trabajo. Ejemplo:

[root@ localhost ~]# vim /etc/vsftpd/chroot_list

paty angelica erika viridiana iliana regina

"chroot_list"}}}

Al terminar solo deberá guardar los cambios hechos al fichero.

Iniciar , detener o reiniciar el servidor FTP#

Para iniciar el servidor FTP por primera vez solo deberá teclear en terminal el siguiente
comando:

[root@ localhost ~]# /etc/init.d/vsftpd start

Igualmente existen opciones ya sea para reiniciar, detener, recargar o conocer el status en el
que se encuentra el servidor FTP. Estas opciones pueden ser consultadas en la siguiente
tabla:

start Inicia el servicio

stop Detiene el servicio
Reinicia el servicio.-La diferencia con reload radica en que al ejecutar un
restart restart este mata todos los procesos relacionado con el servicio y los vuelve a
generar de nueva cuenta
Recarga el servicio.-La diferencia con restart radica en que al ejecutar un reload
este solamente carga las actualizaciones hechas al fichero de configuración del
reload
servicio sin necesidad de matar los procesos relacionados con el mismo, por lo
que podría entenderse que hace el cambio en caliente.
Reinicio Condicional.- Solamente se inicia si el servicio se encuentra
condrestart
ejecutándose.
status Da a conocer el estado en el que se encuentra el servicio
Como alternativa también podemos ocupar el siguiente comando para iniciar el servidor
FTP

[root@ localhost ~]# service vsftpd start

Y de igual manera podemos usar las opciones antes descritas en la tabla anterior. Recuerde
que estos comandos se ejecutan como root.

Creación de cuentas de usuario en el servidor FTP#

Crear cuentas de usuario en el servidor FTP es un proceso muy parecido a dar de alta
usuarios en Linux. La sintaxis general para dar de alta usuarios es la siguiente: Las
opciones utilizadas son explicadas en la siguiente tabla:

Opciones Descripción
Carpeta de trabajo que sera asignado al usuario
Ejemplos:
-d | --
home a) -d /home/usuario1
b) -d /home/cmartinez
c) -d /home/icastillo
-s | -- -s /sbin/nologin → El usuario no podrá logearse en el sistema. Ideal para
shell usuarios con acceso a Samba o FTP pero sin acceso al interprete de comandos.

Adicionalmente se tiene que asignar una contraseña al usuario FTP.

[root@ localhost ~]# passwd sistemas

Cambiando la contraseña del usuario . Nueva UNIX contraseña: xxxxxxxxxx Vuelva a
escribir la nueva UNIX contraseña:xxxxxxxxxx passwd: todos los tokens de autenticación
se actualizaron exitosamente. }}}

Ejemplo:

[root@ localhost ~]# useradd -d /home/ftp/javier -s /sbin/nologin \ >

javier
Explicación: Como podemos observar, estamos creando una cuenta en el servidor ftp, para
ello estamos usando el comando
useradd
El parámetro siguiente es
-d /home/ftp/javier
Este parámetro le indica a Linux que la carpeta de trabajo de javier esta ubicada en la ruta
[/home/ftp/javier], el ultimo parámetro
-s /sbin/nologin
Le indica a Linux que el usuario no podrá logearse en el sistema lo cual es ideal para
usuarios con acceso a FTP pero sin acceso al interprete de comandos.
15.5. Opciones de configuración vsftpd

Aún cuando vsftpd quizás no ofrezca el nivel de personalización que otros servidores FTP
disponible globalmente tienen, vsftpd ofrece suficientes opciones para satisfacer la
mayoría de las necesidades de un administrador. El hecho de que no está sobrecargado de
funcionalidades limita los errores de configuración y de programación.

Toda la configuración de vsftpd es manejada por su archivo de configuración,

/etc/vsftpd/[Link]. Cada directriz está en su propia línea dentro del archivo y
sigue el formato siguiente:

<directive>=<value>

Para cada directriz, reemplace <directive> con una directriz válida y <value> con un
valor válido.

Importante

No deben existir espacios entre la <directive>, el símbolo de igualdad y el <value>

en una directriz.

Se debe colocar el símbolo de almohadilla (#) antes de una línea en comentarios. El

demonio ignorará cualquier línea en comentarios.

Para una lista completa de las directrices disponibles, consulte las páginas man para
[Link].

Importante

Para una descripción general de las formas de asegurar vsftpd, consulte el capítulo
llamado Seguridad del servidor en el Manual de seguridad de Red Hat Enterprise
Linux.

A continuación se presenta una lista de las directrices más importantes dentro de

/etc/vsftpd/[Link]. Todas las directrices que no se encuentren explícitamente
dentro del archivo de configuración de vsftpd se colocan a sus valores por defecto.

15.5.1. Opciones de demonios

La lista siguiente presenta las directrices que controlan el comportamiento general del
demonio vsftpd.
  listen — Cuando está activada, vsftpd se ejecuta en modo independiente. Red
Hat Enterprise Linux configura este valor a YES. Esta directriz no se puede utilizar
en conjunto con la directriz listen_ipv6.

El valor predeterminado es NO.

 listen_ipv6 — Cuando esta directriz está activada vsftpd se ejecuta en modo

independiente, pero solamente escucha a los sockets IPv6. Esta directriz no se puede
utilizar junto con la directriz listen.

El valor predeterminado es NO.

 session_support — Si está activada, vsftpd intentará mantener sesiones de

conexión para cada usuario a través de Pluggable Authentication Modules (PAM).
Para más información, consulte el Capítulo 16. Si no es necesario hacer sesiones de
conexión, el desactivar esta opción hace que vsftpd se ejecute con menos procesos
y privilegios más bajos.

El valor por defecto es YES.

15.5.2. Opciones de conexión y control de acceso

La siguiente es una lista de las directrices que controlan el comportamiento de los inicios de
sesión y los mecanismos de control de acceso.

 anonymous_enable — Al estar activada, se permite que los usuarios anónimos se

conecten. Se aceptan los nombres de usuario anonymous y ftp.

El valor por defecto es YES.

Consulte la Sección 15.5.3 para una lista de las directrices que afectan a los usuarios
anónimos.

 banned_email_file — Si la directriz deny_email_enable tiene el valor de YES,

entonces esta directriz especifica el archivo que contiene una lista de contraseñas de
correo anónimas que no tienen permitido acceder al servidor.

El valor predeterminado es /etc/vsftpd.banned_emails.

 banner_file — Especifica un archivo que contiene el texto que se mostrará

cuando se establece una conexión con el servidor. Esta opción supersede cualquier
texto especificado en la directriz ftpd_banner.

Esta directriz no tiene un valor predeterminado.

 cmds_allowed — Especifica una lista delimitada por comas de los comandos FTP
que permite el servidor. Se rechaza el resto de los comandos.

Esta directriz no tiene un valor predeterminado.

 deny_email_enable — Si está activada, se le niega el acceso al servidor a

cualquier usuario anónimo que utilice contraseñas de correo especificadas en
/etc/vsftpd.banned_emails. Se puede especificar el nombre del archivo al que
esta directriz hace referencia usando la directriz banned_email_file.

El valor predeterminado es NO.

 ftpd_banner — Si está activada, se muestra la cadena de caracteres especificada en

esta directriz cuando se establece una conexión con el servidor. banner_file puede
sobreescribir esta opción.

Por defecto, vsftpd muestra su pancarta estándar.

 local_enable — Al estar activada, los usuarios locales pueden conectarse al

sistema.

El valor por defecto es YES.

Consulte la Sección 15.5.4 para una lista de las directrices que afectan a los usuarios
locales.

 pam_service_name — Especifica el nombre de servicio PAM para vsftpd.

El valor predeterminado es ftp, sin embargo, bajo Red Hat Enterprise Linux, el
valor es vsftpd.

 tcp_wrappers — Al estar activada, se utilizan TCP wrappers para otorgar acceso al

servidor. También, si el servidor FTP está configurado en múltiples direcciones IP,
la opción VSFTPD_LOAD_CONF se puede utilizar para cargar diferentes archivos de
configuración en la dirección IP solicitada por el cliente. Para más información
sobre los TCP Wrappers, consulte el Capítulo 17.

El valor predeterminado es NO, sin embargo, bajo Red Hat Enterprise Linux el valor
está configurado a YES.

 userlist_deny — Cuando se utiliza en combinación con la directriz

userlist_enable y con el valor de NO, se les niega el acceso a todos los usuarios
locales a menos que sus nombres esten listados en el archivo especificado por la
directriz userlist_file. Puesto que se niega el acceso antes de que se le pida la
contraseña al cliente, al configurar esta directriz a NO previene a los usuarios locales
a proporcionar contraseñas sin encriptar sobre la red.
 El valor por defecto es YES.

 userlist_enable — Cuando está activada, se les niega el acceso a los usuarios

listados en el archivo especificado por la directriz userlist_file. Puesto que se
niega el acceso al cliente antes de solicitar la contraseña, se previene que los
usuarios suministren contraseñas sin encriptar sobre la red.

El valor predeterminado es NO, sin embargo, bajo Red Hat Enterprise Linux el valor
está configurado a YES.

 userlist_file — Especifica el archivo al que vsftpd hace referencia cuando la

directriz userlist_enable está activada.

El valor predeterminado es /etc/vsftpd.user_list y es creado durante la

instalación.

 cmds_allowed — Especifica una lista separada por comas de los comandos FTP
que permite el servidor. Cualquier otro comando es rechazado.

Esta directriz no tiene un valor predeterminado.

15.5.3. Opciones de usuario anónimo

A continuación, se presenta una lista de las directrices que controlan el acceso de usuarios
anónimos al servidor. Para utilizar estas opciones, la directriz anonymous_enable debe
tener el valor de YES.

 anon_mkdir_write_enable — Cuando se activa en combinación con la directriz

write_enable, los usuarios anónimos pueden crear nuevos directorios dentro de un
directorio que tiene permisos de escritura.

El valor predeterminado es NO.

 anon_root — Especifica el directorio al cual vsftpd cambia luego que el usuario

anónimo se conecta.

Esta directriz no tiene un valor predeterminado.

 anon_upload_enable — Cuando se usa con la directriz write_enable, los

usuarios anónimos pueden cargar archivos al directorio padre que tiene permisos de
escritura.

El valor predeterminado es NO.

  anon_world_readable_only — Si está activada, los usuarios anónimos solamente
pueden descargar archivos legibles por todo el mundo.

El valor por defecto es YES.

 ftp_username — Especifica la cuenta del usuario local (listada en /etc/passwd)

utilizada por el usuario FTP anónimo. El directorio principal especificado en
/etc/passwd para el usuario es el directorio raíz del usuario FTP anónimo.

El valor por defecto es ftp.

 no_anon_password — Cuando está activada, no se le pide una contraseña al

usuario anónimo.

El valor predeterminado es NO.

 secure_email_list_enable — Cuando está activada, solamente se aceptan una

lista de contraseñas especificadas para las conexiones anónimas. Esto es una forma
conveniente de ofrecer seguridad limitada al contenido público sin la necesidad de
usuarios virtuales.

Se previenen las conexiones anónimas a menos que la contraseña suministrada esté

listada en /etc/vsftpd.email_passwords. El formato del archivo es una
contraseña por línea, sin espacios al comienzo.

El valor predeterminado es NO.

15.5.4. Opciones del usuario local

La siguiente es una lista de las directrices que caracterizan la forma en que los usuarios
locales acceden al servidor. Para utilizar estas opciones, la directriz local_enable debe
estar a YES.

 chmod_enable — Cuando está activada, se permite el comando FTP SITE CHMOD

para los usuarios locales. Este comando permite que los usuarios cambien los
permisos en los archivos.

El valor por defecto es YES.

 chroot_list_enable — Cuando está activada, se coloca en una prisión de chroot

a los usuarios locales listados en el archivo especificado en la directriz
chroot_list_file.
 Si se utiliza en combinación con la directriz chroot_local_user, los usuarios
locales listados en el archivo especificado en la directriz chroot_list_file, no se
colocan en una prisión chroot luego de conectarse.

El valor predeterminado es NO.

 chroot_list_file — Especifica el archivo que contiene una lista de los usuarios

locales a los que se hace referencia cuando la directriz chroot_list_enable está
en YES.

El valor por defecto es /etc/vsftpd.chroot_list.

 chroot_local_user — Si está activada, a los usuarios locales se les cambia el

directorio raíz (se hace un chroot) a su directorio principal luego de la conexión.

El valor predeterminado es NO.

Aviso

Al activar chroot_local_user se abren varios problemas de seguridad,

especialmente para los usuarios con privilegios para hacer cargas. Por este
motivo, no se recomienda su uso.

 guest_enable — Al estar activada, todos los usuarios anónimos se conectan como

guest, el cual es el usuario local especificado en la directriz guest_username.

El valor predeterminado es NO.

 guest_username — Especifica el nombre de usuario al cual guest está asignado.

El valor por defecto es ftp.

 local_root — Especifica el directorio al cual vsftpd se cambia después de que el

usuario se conecta.

Esta directriz no tiene un valor predeterminado.

 local_umask — Especifica el valor de umask para la creación de archivos. Observe

que el valor por defecto está en forma octal (un sistema numérico con base ocho),
que incluye un prefijo de "0". De lo contrario el valor es tratado como un valor
entero de base 10.

El valor por defecto 022.

  passwd_chroot_enable — Cuando se activa junto con la directriz
chroot_local_user, vsftpd cambia la raiz de los usuarios locales basado en la
ocurrencia de /./ en el campo del directorio principal dentro de /etc/passwd.

El valor predeterminado es NO.

 user_config_dir — Especifica la ruta a un directorio que contiene los archivos de

configuración con los nombres de los usuarios locales. Contiene información
específica sobre ese usuario. Cualquier directriz en el archivo de configuración del
usuario ignora aquellas encontradas en /etc/vsftpd/[Link].

Esta directriz no tiene un valor predeterminado.

15.5.5. Opciones de directorio

La siguiente es una lista de directrices que afectan a los directorios.

 dirlist_enable — Al estar activada, los usuarios pueden ver los listados de

directorios.

El valor por defecto es YES.

 dirmessage_enable — Al estar activada, cada vez que un usuario entra en un

directorio con un archivo de mensaje. Este mensaje se encuentra dentro del
directorio al que se entra. El nombre de este archivo se especifica en la directriz
message_file y por defecto es .message.

El valor predeterminado es NO, sin embargo, bajo Red Hat Enterprise Linux el valor
está configurado a YES.

 force_dot_files — Al estar activada, se listan en los listados de directorios los

mensajes que comienzan con un punto (.), a excepción de los archivos . y ...

El valor predeterminado es NO.

 hide_ids — Cuando está activada, todos los listados de directorios muestran ftp
como el usuario y grupo para cada archivo.

El valor predeterminado es NO.

 message_file — Especifica el nombre del archivo de mensaje cuando se utiliza la

directriz dirmessage_enable.

El valor predeterminado es .message.

  text_userdb_names — Cuando está activado, se utilizan los nombres de usuarios y
grupos en lugar de sus entradas UID o GID. Al activar esta opción puede que
reduzca el rendimiento del servidor.

El valor predeterminado es NO.

 use_localtime — Al estar activada, los listados de directorios revelan la hora local

para el computador en vez de GMT.

El valor predeterminado es NO.

15.5.6. Opciones de transferencia de archivos

La siguiente es una lista de directrices que afectan a los directorios.

 download_enable — Cuando está activada, se permiten las descargas de archivos.

El valor por defecto es YES.

 chown_uploads — Si está activada, todos los archivos cargados por los usuarios
anónimos pertenecen al usuario especificado en la directriz chown_username.

El valor predeterminado es NO.

 chown_username — Especifica la propiedad de los archivos cargados

anónimamente si está activada la directriz chown_uploads.

El valor predeterminado es root.

 write_enable — Cuando está activada, se permiten los comandos FTP que pueden
modificar el sistema de archivos, tales como DELE, RNFR y STOR.

El valor por defecto es YES.

15.5.7. Opciones de conexión

A continuación se presenta una lista con las directrices que afectan el comportamiento de
conexión de vsftpd.

 dual_log_enable — Cuando se activa en conjunto con xferlog_enable, vsftpd

escribe simultáneamente dos archivos: un registro compatible con wu-ftpd al
archivo especificado en la directriz xferlog_file (por defecto
/var/log/xferlog) y un archivo de registro estándar vsftpd especificado en la
directriz vsftpd_log_file (por defecto /var/log/[Link]).
 El valor predeterminado es NO.

 log_ftp_protocol — Cuando está activado en conjunto con xferlog_enable y

con xferlog_std_format configurada a NO, se registran todos los comandos y
respuestas. Esta directriz es muy útil para propósitos de depuración.

El valor predeterminado es NO.

 syslog_enable — Cuando se activa en conjunto con xferlog_enable, todos los

registros que normalmente se escriben al archivo estándar vsftpd especificado en la
directriz vsftpd_log_file, se envían al registro del sistema bajo la facilidad
FTPD.

El valor predeterminado es NO.

 vsftpd_log_file — Especifica el archivo de registro de vsftpd. Para que se

utilice este archivo, xferlog_enable debe estar activado y xferlog_std_format
debe ser bien sea NO o, si está en YES, entonces dual_log_enable debe estar
activado. Es importante resaltar que si syslog_enable está en YES, se utiliza el
registro del sistema en lugar del archivo especificado en esta directriz.

El valor por defecto es /var/log/[Link].

 xferlog_enable — Cuando se activa, vsftpd registra las conexiones (solamente

formato vsftpd) y la información de transferencia, al archivo de registro
especificado en la directriz vsftpd_log_file (por defecto es
/var/log/[Link]). Si xferlog_std_format está configurada a YES, se
registra la información de transferencia de archivo pero no las conexiones y en su
lugar se utiliza el archivo de registro especificado en xferlog_file (por defecto
/var/log/xferlog). Es importante observar que se utilizan ambos archivos y
formatos de registro si dual_log_enable tiene el valor de YES.

El valor predeterminado es NO, sin embargo, bajo Red Hat Enterprise Linux el valor
está configurado a YES.

 xferlog_file — Especifica el archivo de registro compatible con wu-ftpd. Para

que se utilice este archivo, xferlog_enable debe estar activado y
xferlog_std_format debe tener el valor de YES. También se utiliza si
dual_log_enable tiene el valor de YES.

El valor por defecto es /var/log/xferlog.

 xferlog_std_format — Cuando se activa en combinación con xferlog_enable,

sólo se escribe un archivo de registro compatible con wu-ftpd al archivo
especificado en la directriz xferlog_file (por defecto /var/log/xferlog). Es
 importante resaltar que este archivo solamente registra transferencias de archivos y
no las conexiones al servidor.

El valor predeterminado es NO, sin embargo, bajo Red Hat Enterprise Linux el valor
está configurado a YES.

Importante

Para mantener la compatibilidad con los archivos de registro escritos por el servidor
FTP más antiguo wu-ftpd, se configura la directriz xferlog_std_format a YES bajo
Red Hat Enterprise Linux. Sin embargo, esta configuración implica que las
conexiones al servidor no son registradas.

Para registrar ambas conexiones en formato vsftpd y mantener un archivo de

registro de transferencia compatible con wu-ftpd, configure dual_log_enable a
YES.

Si no es de importancia mantener un archivo de registro de transferencias compatible

con wu-ftpd, entonces configure xferlog_std_format a NO, comente la línea con
un carácter de almohadilla (#) o borre completamente la línea.

15.5.8. Opciones de red

Lo siguiente lista las directrices que afectan cómo vsftpd interactua con la red.

 accept_timeout — Especifica la cantidad de tiempo para un cliente usando el

modo pasivo para establecer una conexión.

El valor por defecto 60.

 anon_max_rate — Especifica la cantidad máxima de datos transmitidos por

usuarios anónimos en bytes por segundo.

El valor por defecto es 0, lo que no limita el ratio de transferencia.

 connect_from_port_20 — Cuando está activada, vsftpd se ejecuta con

privilegios suficientes para abrir el puerto 20 en el servidor durante las
transferencias de datos en modo activo. Al desactivar esta opción, se permite que
vsftpd se ejecute con menos privilegios, pero puede ser incompatible con algunos
clientes FTP.

El valor predeterminado es NO, sin embargo, bajo Red Hat Enterprise Linux el valor
está configurado a YES.
 connect_timeout — Especifica la cantidad máxima de tiempo que un cliente
usando el modo activo tiene para responder a una conexión de datos, en segundos.

El valor por defecto 60.

 data_connection_timeout — Especifica la cantidad máxima de tiempo que las

conexiones se pueden aplazar en segundos. Una vez lanzado, se cierra la conexión
con el cliente remoto.

El valor predeterminado es 300.

 ftp_data_port — Especifica el puerto utilizado por las conexiones de datos

activas cuando connect_from_port_20 está configurado a YES.

El valor predeterminado es 20.

 idle_session_timeout — Especifica la cantidad máxima de tiempo entre

comandos desde un cliente remoto. Una vez disparado, se cierra la conexión al
cliente remoto.

El valor predeterminado es 300.

 listen_address — Especifica la dirección IP en la cual vsftpd escucha por las

conexiones de red.

Esta directriz no tiene un valor predeterminado.

Sugerencia

Si se están ejecutando varias copias de vsftpd sirviendo diferentes

direcciones IP, el archivo de configuración para cada copia del demonio
vsftpd debe tener un valor diferente para esta directriz. Consulte la Sección
15.4.1 para más información sobre servidores FTP multihome.

 listen_address6 — Especifica la dirección IPv6 en la cual vsftpd escucha por

conexiones de red cuando listen_ipv6 está configurada a YES.

Esta directriz no tiene un valor predeterminado.

Sugerencia

Si se están ejecutando varias copias de vsftpd sirviendo diferentes

direcciones IP, el archivo de configuración para cada copia del demonio
vsftpd debe tener un valor diferente para esta directriz. Consulte la Sección
 15.4.1 para más información sobre servidores FTP multihome.

 listen_port — Especifica el puerto en el cual vsftpd escucha por conexiones de

red.

El valor predeterminado es 21.

 local_max_rate — Especifica el máximo ratio de transferencia de datos para los

usuarios locales conectados en el servidor en bytes de segundo.

El valor por defecto es 0, lo que no limita el ratio de transferencia.

 max_clients — Especifica el número máximo de clientes simultáneos que tienen

permitido conectarse al servidor cuando se ejecuta en modo independiente.
Cualquier conexión adicional resultará en un mensaje de error.

El valor predeterminado es 0, lo que no limita las conexiones.

 max_per_ip — Especifica el máximo número de clientes que tienen permitido

conectarse desde la misma dirección IP fuente.

El valor predeterminado es 0, lo que no limita las conexiones.

 pasv_address — Especifica la dirección IP para la IP del lado público del servidor

para los servidores detrás de cortafuegos Network Address Translation (NAT). Esto
permite que vsftpd entregue la dirección correcta de retorno para las conexiones
pasivas.

Esta directriz no tiene un valor predeterminado.

 pasv_enable — Cuando está activa, se permiten conexiones en modo pasivo.

El valor por defecto es YES.

 pasv_max_port — Especifica el puerto más alto posible enviado a los clientes FTP
para las conexiones en modo pasivo. Esta configuración es utilizada para limitar el
intervalo de puertos para que las reglas del cortafuegos sean más fáciles de crear.

El valor predeterminado es 0, lo que no limita el rango de puertos pasivos más alto.

El valor no puede exceder de 65535.

 pasv_min_port — Especifica el puerto más bajo posible para los clientes FTP para
las conexiones en modo pasivo. Esta configuración es utilizada para limitar el
intervalo de puertos para que las reglas del cortafuego sean más fáciles de
implementar.
 El valor predeterminado es 0, lo que no limita el intervalo de puertos pasivos más
bajo. El valor no debe ser menor que 1024.

 pasv_promiscuous — Cuando está activada, las conexiones de datos no son

verificadas para asegurarse de que se originan desde la misma dirección IP. Este
valor solamente es útil para ciertos tipos de tunneling.

Atención

No active esta opción a menos que sea absolutamente necesario ya que

desactiva una funcionalidad de seguridad muy importante la cual verifica
que las conexiones en modo pasivo partan desde la misma dirección IP que
la conexión de control que inicia la transferencia de datos.

 El valor predeterminado es NO.

 port_enable — Cuando está activada, se permiten las conexiones en modo activo.

El valor por defecto es YES.