Professional Documents
Culture Documents
Introduccin.
Acerca de SSH.
SSH (Secure Shell) es un conjunto de estndares y protocolo de red que permite establecer
una comunicacin a travs de un canal seguro entre un cliente local y un servidor remoto.
Utiliza una llave pblica para autenticar el servidor remoto y de manera opcional
permitir al servidor remoto autenticar al usuario. SSH provee confidencialidad e integridad
en la transferencia de los datos utilizando criptografa y MAC (Message Authentication
Codes o Cdigos de Autenticacin de Mensaje). De modo predeterminado, escucha
peticiones a travs del puerto 22 por TCP.
Acerca de SFTP.
SFTP (SSH File Transfer Protocol) es un protocolo que provee funcionalidad de
transferencia y manipulacin de archivos a travs de un flujo confiable de datos.
Comnmente se utiliza con SSH para proveer a ste de transferencia segura de archivos.
Acerca de SCP.
SCP (Secure Copy o Copia Segura) es una protocolo seguro para transferir archivos entre
un anfitrin local y otro remoto, a travs de SSH. Bsicamente, es idntico a RCP (Remote
Copy o Copia Remota), con la diferencia de que los datos son cifrados durante la
transferencia para evitar la extraccin potencial de informacin a travs de programas de
captura de las tramas de red (packet sniffers). SCP slo implementa la transferencia de
archivos, pues la autenticacin requerida es realizada a travs de SSH.
Acerca de OpenSSH.
OpenSSH (Open Secure Shell) es una alternativa de cdigo fuente abierto, con licencia
BSD, hacia la implementacin propietaria y de cdigo cerrado SSH creada por Tatu
Ylnen. OpenSSH es un proyecto creado por el equipo de desarrollo de OpenBSD y
actualmente dirigido por Theo de Raadt. Se considera es ms segura que la versin
privativa Ylnen, gracias a la constante auditora que se realiza sobre el cdigo fuente por
parte de una enorme comunidad de desarrolladores, una ventaja que brinda el Software
Libre.
OpenSSH incluye servicio y clientes para los protocolos SSH, SFTP y SCP.
URL: http://www.openssh.org/.
yast -i openssh
insserv -r sshd
rcsshd start
rcsshd restart
system-config-firewall-tui
Shorewall.
vi /etc/shorewall/rules
#ACTION
#
ACCEPT
SOURCE
DEST
all
PORT
fw
tcp
PROTO
PORT(S)1
22
DEST
SOURCE
Si se decide ofuscar el puerto de SSH, puede utilizar la siguiente regla, donde en lugar del
puerto 22 de deber especificar el puerto que haya elegido 52341 en el ejemplo:
#ACTION
#
ACCEPT
SOURCE
all
DEST
PORT
fw
tcp
PROTO
PORT(S)1
52341
DEST
SOURCE
yast firewall
Habilite Secure Shell Server o bien el puerto seleccionado para utilizar el servicio y
aplique los cambios.
Poltica ssh_chroot_rw_homedirs.
Habilita los atributos lectura y escritura de archivos en los directorios de inicio de los
usuarios con chroot. El valor predeterminado es deshabilitado. Para habilitar slo ejecute:
setsebool -P ssh_chroot_rw_homedirs 1
Poltica fenced_can_ssh.
Permite a usuarios con chroot poder ingresar tambin a travs de SSH. El valor
predeterminado es deshabilitado. Por lo general se evita utilizar esta poltica. Para habilitar
ejecute:
setsebool -P fenced_can_ssh 1
Poltica ssh_chroot_manage_apache_content.
Esta poltica es inexistente en CentOS 7 y Red Hat Enterprise Linux 7 y versiones
posteriores de stos. En CentOS 6 y Red Hat Enterprise Linux 6 permite a usuarios
con chroot poder administrar tambin contenidos publicados a travs de Apache. El valor
predeterminado es deshabilitado. Para habilitar ejecute:
setsebool -P ssh_chroot_manage_apache_content 1
Poltica ssh_sysadm_login.
Habilita el acceso a usuarios con rol de administrador de sistema (contextos
sysadm_r:sysadm_t. El valor predeterminado es deshabilitado. Para habilitar ejecute:
setsebool -P ssh_sysadm_login 1
Poltica allow_ssh_keysign.
Habilita el uso de firmas digitales. El valor predeterminado es deshabilitado. Para habilitar
ejecute:
setsebool -P allow_ssh_keysign 1
Contexto ssh_home_t.
El contexto de SELinux para de los directorios ~/.ssh y sus contenidos debe ser tipo
ssh_home_t. Reasigne los contextos ejecutando lo siguiente:
O bien ejecutando:
Archivos de configuracin.
/etc/ssh/sshd_config
Archivo principal de configuracin del servidor SSH.
/etc/ssh/ssh_config
Archivo principal de configuracin de los clientes SSH utilizados desde el
anfitrin local.
~/.ssh/config
Archivo personal para cada usuario, que almacena la configuracin utilizada
por los clientes SSH utilizados desde el anfitrin local. Permite al usuario local
utilizar una configuracin distinta a la definida en el archivo
/etc/ssh/ssh_config.
~/.ssh/known_hosts
Archivo personal para cada usuario, el cual almacena las firmas digitales de los
servidores SSH a los que se conectan los clientes. Cuando stas firmas
cambian, se pueden actualizar ejecutando ssh-keygen con la opcin -R y el
nombre del anfitrin como argumento, el cual elimina la entrada
correspondiente del archivo ~/.ssh/known_hosts, permitiendo aadir de nuevo
el anfitrin con una nueva firma digital. Ejemplo: ssh-keygen -R
nombre.o.ip.servidor.
~/.ssh/authorized_keys
Archivo personal para cada usuario, el cual almacena los certificados de los
clientes SSH, para permitir autenticacin hacia servidores SSH sin requerir
contrasea. Consulte el documento titulado OpenSSH con autenticacin a
travs de firma digital.
Cuando se utilizan cuentas con acceso al intrprete de mandatos, las opciones suministradas
a ssh tienen precedencia sobre las opciones establecidas en el archivo ~/.ssh/config, que a
su vez tiene precedencia sobre las opciones definidas en el archivo /etc/ssh/ssh_config.
Procedimientos.
Edite el archivo /etc/ssh/sshd_config.
vi /etc/ssh/sshd_config
Opcin Port.
Una forma de elevar considerablemente la seguridad al servicio consiste en cambiar el
nmero de puerto predeterminado por otro que slo conozca el administrador del sistema. A
este tipo de tcnicas se les conoce como Seguridad por Oscuridad. La mayora de los
delincuentes informticos utiliza guiones que buscan servidores que respondan a peticiones
Port 22
SSH trabaja a travs del puerto 22 por TCP. Puede elegirse cualquier otro puerto entre el
1025 y 65535. En el siguiente ejemplo se establecer el puerto 52341:
Port 52341
Opcin ListenAddress.
De modo predeterminado el servicio de SSH escuchar peticiones a travs de todas las
direcciones presentes en todas las interfaces de red del sistema. En el siguiente ejemplo el
servidor a configurar tiene la direccin IP 192.168.1.254, la cual slo podra ser accedida
desde la red local:
ListenAddress 192.168.1.254
Opcin PermitRootLogin.
Establece si se va a permitir el ingreso directo del usuario root al servidor SSH. Si se va a
permitir el ingreso hacia el servidor desde redes pblicas, resultar prudente utilizar esta
opcin con el valor no, de modo que sea necesario ingresar primero con una cuenta de
usuario activa, con un intrprete de mandatos que permita el acceso.
PermitRootLogin no
Opcin X11Forwarding.
Establece si se permitir la ejecucin remota de aplicaciones grficas que utilicen el
servidor X11. Resultar conveniente para algunas tareas administrativas que slo puedan
llevarse a cabo con herramientas grficas o bien si se requiere utilizar una aplicacin
grfica en particular. Para este fin, esta opcin puede establecerse con el valor yes.
X11Forwarding yes
Opcin AllowUsers.
Permite restringir el acceso por usuario y/o por anfitrin. El siguiente ejemplo restringe el
acceso hacia el servidor SSH para que slo puedan hacerlo los usuarios fulano y mengano,
desde cualquier anfitrin.
El siguiente ejemplo restringe el acceso hacia el servidor SSH para que slo puedan hacerlo
los usuarios fulano y mengano, pero slo desde los anfitriones 10.1.1.1 y 10.2.2.1.
Opcin UseDNS.
Cuando un cliente realiza una conexin hacia un servidor SSH, ste ltimo intentar
resolver la direccin IP del cliente. Si el servidor DNS predeterminado del sistema carece
de una zona de resolucin inversa que resuelva un nombre para la direccin IP del cliente,
la conexin se demorar algunos segundos ms de lo normal. Algunos administradores
prefieren desactivar esta funcin con el fin de agilizar las conexiones SSH en redes donde
se carece de servidores DNS que tengan zonas de reenvo para resolver los nombres o
zonas de resolucin inversa para resolver las direcciones IP de los segmentos de red local.
UseDNS no
Del lado del cliente se realiza un proceso de validacin, que tiene como objetivo verificar si
se estn falsificando registros en un servidor DNS, en el caso de que ste ltimo se haya
visto comprometido en su seguridad. La opcin que controla esta funcin es CheckHostIP,
tiene establecido yes como valor predeterminado y se define en el archivo
/etc/ssh/ssh_config (archivo de configuracin para los clientes SSH del anfitrin local).
Se recomienda dejar intacta esta opcin con el valor predeterminado, salvo que los
servidores SSH involucrados carezcan de resolucin en algn servidor DNS. Establecer el
valor no, tiene como riesgo el ser susceptible de conectarse inadvertidamente a un servidor
distinto al que realmente se quera utilizar, cuya resolucin de nombre de anfitrin haya
sido falsificada y que pudiera estar siendo utilizado con malas intenciones para engaar y
poder capturar nombres de usuario y contraseas y posteriormente utilizar stos para
acceder al verdadero servidor.
Probando OpenSSH.
Acceso con intrprete de mandatos.
Desde GNU/Linux y Mac OS X.
Para acceder con intrprete de mandatos hacia el servidor, ejecute ssh desde una terminal
en el sistema cliente, definiendo como argumentos el usuario a utilizar, una arroba y la
direccin IP o nombre del servidor al cual se quiera conectar:
ssh usuario@nombre.o.ip.servidor
Si el servidor SSH utiliza un puerto distinto al 22, se puede utilizar la opcin -p con el
nmero de puerto utilizado como argumento. En el siguiente ejemplo se utiliza la cuenta
del usuario juan para acceder hacia el servidor con direccin IP 192.168.70.99, el cual
tiene un servicio de SSH que escucha peticiones a travs del puerto 52341.
Desde Windows.
Acceda hacia putty.org, descargue y ejecute PuTTY. ste es un cliente para SSH para todas
las versiones de Windows.
sftp usuario@servidor
Si utiliza GNOME 2.x o MATE como escritorio, puede acceder hacia servidores SSH a
travs del protocolo SFTP utilizando el administrador de archivos (Nautilus) para realizar
transferencias y manipulacin de archivos, especificando el URI (Uniform Resource
Locator o Localizador Uniforme de Recursos) sftp:, seguido del servidor y la ruta hacia
la que se quiere acceder, seguido del puerto, en el caso que sea distinto al 22.
vi /etc/ssh/sshd_config
rcsshd restart
Ejecute groupadd con sftpusers como argumento para crear un grupo con este nombre.
groupadd sftpusers
Aada usuarios a los cuales se quiera enjaular con chroot al grupo sftpusers ejecutando
usermod con la opcin -G (mayscula) y sftpusers y el nombre del usuario como
argumentos. Ejemplo:
Cambie los permisos del directorio de inicio de los usuarios involucrados para que
pertenezcan al grupo y usuario root y adems tengan permiso de acceso 755 es decir
drwxr-xr-x.
A partir de este momento los usuarios involucrados podrn ingresar al sistema a travs de
SFTP, pero slo podrn tener acceso a su directorio de inicio.
.bash_profile
.bashrc
public_html
En el siguiente ejemplo se transferir la carpeta Mail, junto con todo su contenido, desde el
directorio de inicio del usuario fulano en el servidor 192.169.0.99, cuyo servicio de SSH
escucha peticiones a travs del puerto 52341, preservando tiempos y modos, hacia el
directorio del usuario con el que se est trabajando en el anfitrin local.
Procedimientos
Modificaciones en el Servidor remoto.
Acceda como administrador al servidor remoto. Ejemplo:
ssh root@192.168.70.15
setsebool -P allow_ssh_keysign 1
Si utiliza CentOS o Red Hat Enterprise Linux ejecute lo siguiente para crear el directorio
~/.ssh/ con permiso de acceso de lectura/escritura slo para el usuario y cambiar el contexto
SELinux al tipo ssh_home_t, crear el archivo ~/.ssh/authorized_keys igualmente con
permiso de acceso de lectura/escritura slo para el usuario y cambiar el contexto SELinux
al tipo ssh_home_t:
mkdir
touch
chmod
chcon
-m 0700 ~/.ssh/
~/.ssh/authorized_keys
600 ~/.ssh/authorized_keys
-R -t ssh_home_t ~/.ssh
Salga del servidor despus de haber creado el directorio y archivo descrito y de haber
configurado los permisos correspondientes.
exit
Modificaciones en el cliente.
Generar firmas digitales.
Se debe generar una firma digital (firma digital pblica) tipo DSA (Digital Signature
Algorithm o Algoritmo de Firma digital). Puede crear una firma tipo RSA, pero es poco
recomendado debido a las puertas traseras que pudiera tener la NSA de EE.UU. sobre dicha
tecnologa. Es importante sealar que si desea utilizar la firma digital sin contrasea, jams
se deber establecer una durante la generacin de la firma digital. Cuando el dilogo
solicite una contrasea con confirmacin, slo pulse la tecla (ENTER) y contine el
procedimiento. Si asigna contrasea, est ser utilizada para autenticar el certificado creado
cada vez que se quiera utilizar ste.
ssh-keygen -t dsa
Copie el contenido del archivo correspondiente a la firma digital pblica DSA (es decir
id_dsa.pub) dentro del archivo ~/.ssh/authorized_keys del usuario a utilizar en el servidor
remoto. En el siguiente ejemplo se utiliza la cuenta de root del servidor remoto.
servidor remoto. Pueden agregarse cuantas firmas digitales en este archivo como sean
necesarias. Si acaso se ve comprometida la seguridad de alguna firma digital, se debe
eliminar sta del archivo ~/.ssh/authorized_keys del servidor remoto.
Comprobaciones.
Si se omiti asignar contrasea para la llave DSA, deber poderse acceder hacia el servidor
remoto sin necesidad de autenticar con la contrasea del usuario remoto. Si fue asignada
una contrasea a la clave DSA, se podr acceder hacia el servidor remoto autenticando con
la contrasea definida a la clave DSA y sin necesidad de autenticar con la contrasea del
usuario remoto
Acerca de RSA.
RSA, acrnimo de los apellidos de sus autores, Ron Rivest, Adi Shamir y Len Adleman, es
un algoritmo para cifrar claves pblicas, el cual fue publicado en 1977 y patentado 1983, en
EE.UU., por el Instituto Tecnolgico de Michigan (MIT). RSA es utilizado en todo el
mundo para los protocolos destinados para el comercio electrnico.
URL: http://es.wikipedia.org/wiki/RSA
Acerca de OpenSSL.
OpenSSL es una implementacin libre, de cdigo fuente abierto, de los protocolos SSL
(Secure Sockets Layer o Nivel de Zcalo Seguro) y TLS (Transport Layer Security o
Seguridad para Nivel de Transporte). Est basado sobre el extinto proyecto SSLeay,
iniciado por Eric Young y Tim Hudson, hasta que stos comenzaron a trabajar para la
divisin de seguridad de EMC Corporation.
URL: http://www.openssl.org/
Acerca de X.509.
X.509 es un estndar ITU-T (estandarizacin de Telecomunicaciones de la International
Telecommunication Union) para infraestructura de claves pblicas (PKI o Public Key
Infrastructure). Entre otras cosas, establece los estndares para certificados de claves
pblicas y un algoritmo, para validacin de ruta de certificacin. Este ltimo se encarga de
verificar que la ruta de un certificado sea vlida bajo una infraestructura de clave pblica
determinada. Es decir, desde el certificado inicial, pasando por certificados intermedios,
hasta el certificado de confianza emitido por una Autoridad Certificadora (CA o
Certification Authority).
URL: http://es.wikipedia.org/wiki/X.509
Acerca de vsftpd.
Vsftpd (Very Secure FTP Daemon) es un equipamiento lgico utilizado para implementar
servidores de archivos a travs del protocolo FTP. Se distingue principalmente porque sus
valores predeterminados son muy seguros y por la sencillez para su configuracin cuando
se le es comparado con otras alternativas como ProFTPD y Wu-ftpd. En la actualidad se
estima que vsftpd podra ser quiz el servidor FTP ms seguro del mundo.
URL: http://vsftpd.beasts.org/
Archivos de configuracin.
/etc/vsftpd/chroot_list
Lista que definir usuarios a enjaular o no a enjaular, dependiendo de la
configuracin.
/etc/vsftpd/vsftpd.conf
Archivo de configuracin de VSFTPD.
Ejecute lo siguiente para reiniciar el servicio o bien hacer que los cambios hechos a la
configuracin surtan efecto:
service vsftpd restart
Servicio iptables.
Ejecute lo siguiente para anexar las reglas de iptables correspondientes:
iptables -A INPUT -m state --state NEW -m tcp -p tcp --dport 20 -j ACCEPT
iptables -A INPUT -m state --state NEW -m tcp -p tcp --dport 21 -j ACCEPT
iptables -A INPUT -m state --state NEW -m tcp -p tcp --dport 30300:30309 -j
ACCEPT
Shorewall.
Edite el archivo /etc/shorewall/rules:
vi /etc/shorewall/rules
PROTO
tcp
DEST
SOURCE
PORT
PORT(S)1
20,21,30300:30309
Procedimientos.
SELinux y el servicio vsftpd.
SELinux controla varias funciones de el servicio vsftpd incrementando el nivel de
seguridad de ste.
Ejecute lo siguiente para permitir que el servidor FTP pueda asociarse a cualquier puerto
sin reservar al funcionar en modo pasivo:
setsebool -P ftpd_use_passive_mode 1
Ejecute lo siguiente para permitir que los usuarios annimos puedan realizar procesos de
escritura sobre el sistema de archivos:
setsebool -P allow_ftpd_anon_write 1
Si se necesita permitir el acceso utilizando las cuentas de usuarios del anfitrin local, a fin
de que stos puedan acceder a sus directorio de inicio, se debe habilitar la poltica
ftp_home_dir:
setsebool -P ftp_home_dir 1
Ejecute lo siguiente para hacer que SELinux permita acceder a los usuarios locales al resto
del sistema de archivos:
setsebool -P allow_ftpd_full_access 1
Ejecute lo siguiente para permitir que el servicio vsftpd pueda hacer uso de sistemas de
archivos remotos a travs de CIFS (Samba) o NFS y que sern utilizados para compartir a
travs del servicio:
setsebool -P allow_ftpd_use_cifs 1
setsebool -P allow_ftpd_use_nfs 1
Nota.
Archivo /etc/vsftpd/vsftpd.conf.
Utilice un editor de texto y modifique el archivo /etc/vsftpd/vsftpd.conf.
vi /etc/vsftpd/vsftpd.conf
Opcin anonymous_enable.
Esta opcin viene incluida en la configuracin predeterminada. Se utiliza para definir si se
permitirn los accesos annimos al servidor. Establezca como valor YES o NO de acuerdo
a lo que se requiera.
anonymous_enable=YES
Opcin local_enable.
Opcin write_enable.
Esta opcin viene incluida en la configuracin predeterminada. Establece si se permite
ejecutar write (escritura) en el servidor. Establezca como valor YES o NO de acuerdo a lo
que se requiera.
write_enable=YES
Nota.
Si se desea que los usuarios annimos puedan subir archivos al servidor FTP, se deben dejar estas ltimas dos
opciones con valor YES, guardar el archivo /etc/vsftpd/vsftpd.conf y regresar al intrprete de mandatos para
crear un directorio denominado /var/ftp/incoming, el cual debe pertenecer al usuario y grupo ftp y tener
contexto de SELinux tipo public_content_rw_t.
mkdir /var/ftp/incoming
chown ftp:ftp /var/ftp/incoming
chcon -R -t public_content_rw_t /var/ftp/incoming
Se recomienda que /var/ftp/incoming est asignado como una particin independiente al resto del sistema o
bien se le aplique cuota de disco al usuario ftp, porque de otro modo cualquiera podra fcilmente saturar el
espacio de disco disponible, desencadenando una denegacin de servicio en el servidor.
Opcin ftpd_banner.
Esta opcin viene incluida en la configuracin predeterminada. Sirve para establecer el
bandern de bienvenida que ser mostrado cada vez que un usuario acceda al servidor.
Puede establecerse cualquier frase breve que considere conveniente, pero sin signos de
puntuacin.
ftpd_banner=Bienvenido al servidor FTP de nuestra empresa
Con lo anterior cada vez que un usuario local se autentique en el servidor FTP, slo tendr
acceso a su propio directorio personal y lo que ste contenga. Por favor recuerde crear el
archivo /etc/vsftpd/chroot_list debido a que de otro modo ser imposible que funcione
correctamente el servicio vsftpd.
Nota.
La funcin chroot() puede ser peligrosa si el usuario regular utilizado tiene acceso al intrprete de mandatos del
sistema (/bin/bash o /bin/sh) y adems privilegios de escritura sobre el directorio raz de su propia jaula (es
decir su directorio de inicio). Los directorios de inicio de los usuarios involucrados deben tener permiso 755,
sean propiedad de root y se asigne al usuario /bin/false o /sbin/nologin como intrprete de mandatos.
Lo siguiente corresponde a lo que sera necesario ejecutar para modificar el contenido del directorio de inicio del
usuario regular con el cual se quiera acceder al servidor FTP utilizando chroot() con vsftpd-3.x:
chmod 755 /home/mengano
chown root:root /home/mengano
mkdir -p -m 755 /home/mengano/public_html
mkdir -p -m 700 /home/mengano/mail
chown mengano:mengano /home/mengano/{mail,public_html}
usermod -s /sbin/nologin mengano
Desde la versin 3.0 de vsftpd, de modo predeterminado se impide el ingreso con chroot() a todos los usuarios
regulares que tengan acceso al intrprete de mandatos o bien que posean privilegios de escritura sobre su propio
directorio de inicio.
Opcin local_max_rate.
Esta opcin est ausente en la configuracin predeterminada. Puede aadirla al final del
archivo /etc/vsftpd/vsftpd.conf. Hace lo mismo que anon_max_rate, pero aplica para
usuarios locales del servidor. En el siguiente ejemplo se limita la tasa de transferencia a 1
MB por segundo para los usuarios locales:
local_max_rate=1048576
Opcin max_clients.
Esta opcin est ausente en la configuracin predeterminada. Puede aadirla al final del
archivo /etc/vsftpd/vsftpd.conf. Establece el nmero mximo de clientes que podrn
acceder simultneamente hacia el servidor FTP. En el siguiente ejemplo se limitar el
acceso a 20 clientes simultneos.
max_clients=20
Opcin max_per_ip.
Esta opcin est ausente en la configuracin predeterminada. Puede aadirla al final del
archivo /etc/vsftpd/vsftpd.conf. Establece el nmero mximo de conexiones que se pueden
realizar desde una misma direccin IP. Tome en cuenta que algunas redes acceden a travs
de un servidor intermediario (Proxy) o puerta de enlace y debido a sto podran quedar
bloqueados innecesariamente algunos accesos. En el siguiente ejemplo se limita el nmero
de conexiones por IP simultneas a un mximo de 10.
max_per_ip=10
El certificado y firma digital se pueden generar ejecutando lo siguiente para utilizar una
estructura X.509, algoritmo de cifrado RSA de 4096 bits, sin Triple DES lo cual permita
iniciar normalmente al servicio sin interaccin alguna y una validez por 1825 das
cinco aos.
openssl req -sha256 -x509 -nodes -days 1825 -newkey
rsa:4096 \
-keyout private/vsftpd.key \
-out certs/vsftpd.crt
Ejecute lftp con las opciones -e con 'set ftp:ssl-force true' como argumento y nuevamente
-e con 'set ssl:verify-certificate no' como argumento y defina un nombre de anfitrin o
direccin IP como ltimo argumento. En el siguiente ejemplo se iniciar una conexin
hacia un hipottico anfitrin con direccin IP 192.168.70.105:
lftp -e 'set ftp:ssl-force true' \
-e 'set ssl:verify-certificate no' 192.168.70.105
Una vez en el intrprete de mandatos de LFTP, ejecute user con un nombre de usuario
como argumento. En el siguiente ejemplo se utiliza al usuario fulano:
lftp 192.168.70.105:~> user fulano
Ejecute ls.
lftp 192.168.70.105:~> ls
2 500
500
Otros clientes son soporte para FTPES son Filezilla 3.3.x (configurar conexin como
FTPES - FTP sobre TLS/SSL explcito) y WinSCP. Al momento de redactar este
documento, la versin ms reciente de gFTP tienen roto el soporte para FTP sobre TLS/SSL
(FTPS y FTPES).
Filezilla dispone de versiones para GNU/Linux, Mac OS X y Windows XP/Vista/7. La
siguiente imagen ilustra la configuracin que se requiere utilizar.
Luego de iniciada la conexin, la primera vez que Filezilla se conecte al servidor, mostrar
una ventana con la informacin del certificado y solicitar se acepte ste. Active la casilla
que dice Siempre confiar en el certificado en futuras sesiones antes de hacer clic en el
botn de Aceptar.
otra direccin IP diferente para poder unirse a esta nueva Red de rea Local. Un servidor
DHCP entonces supervisa y distribuye, las direcciones IP de una Red de rea Local
asignando una direccin IP a cada anfitrin que se una a la Red de rea Local. Cuando, por
mencionar un ejemplo, una computadora porttil se configura para utilizar DHCP, a sta le
ser asignada una direccin IP y las variables de red, necesarios para unirse a cada Red de
rea Local donde se localice.
Existen tres mtodos de asignacin en el protocolo DHCP:
Servidor DHCP.
Cliente DHCP.
Agente de retransmisin.
Servicio iptables.
Asumiendo que el servicio funcionar a travs de la interfaz eth1, puede ejecutar iptables
conlas siguientes opciones:
iptables -A INPUT -i eth1 -p udp -m state --state NEW -m udp \
--sport 67:68 --dport 67:68 -j ACCEPT
Shorewall.
Edite el archivo /etc/shorewall/interfaces:
vi /etc/shorewall/interfaces
Asumiendo que el servicio funcionar a travs de la interfaz eth1 (zona loc), aada la
opcin dhcp a las opciones de la interfaz sobre la cual funciona el servicio dhcpd. Esta
opcin, tras reiniciar el servicio shorewall, habilita las comunicaciones de entrada y salida,
para DHCP.
La siguiente sera la configuracin para CentOS 7 o Red Hat Enterprise Linux 7
utilizando Shorewall 4.5:
#ZONE
INTERFACE
OPTIONS
?FORMAT 2
#############################################################
#############
net
eth0
loc
eth1
dhcp
La siguiente sera la configuracin para ALDOS 1.4, CentOS 6 o Red Hat Enterprise
Linux 6 utilizando Shorewall 4.4:
#############################################################
#############
#ZONE
INTERFACE
BROADCAST
OPTIONS
net
eth0
detect
loc
eth1
detect
dhcp
Ejecute lo siguiente si utiliza ALDOS 1.4, CentOS 6 o Red Hat Enterprise Linux 6:
service shorewall restart
Ejecute lo siguiente si se desea eliminar la proteccin que brinda SELinux al sistema para funcionar como
cliente DHCP:
setsebool -P dhcpc_disable_trans 1
Ninguna de ests polticas existe en CentOS 6 y Red Hat Enterprise Linux 6 y versiones posteriores de stos.
Ejecute lo siguiente para hacer que los cambios hechos a la configuracin surtan efecto:
service dhcpd restart
Procedimientos.
Archivo de configuracin /etc/sysconfig/dhcpd.
Nota.
Este paso es innecesario en CentOS 7 y Red Hat Enterprise Linux 7 y versiones posteriores de stos.
Es indispensable conocer y entender perfectamente, todo lo anterior para poder continuar con este documento.
Si se tienen dudas, por favor, primero consultar y estudiar, el documento titulado Introduccin a IP versin
4.
Configuracin bsica.
Respalde el archivo de configuracin original.
mv /etc/dhcp/dhcpd.conf /etc/dhcp/dhcpd.conf.original
Nota.
Para efectos prcticos, utilice la siguiente plantilla y modifique todo lo que est resaltado.
# Si se tienen problemas con equipos con Windows Vista/7/8 omita la opcin
# server-identifier. sto aunque rompe con el protocolo DHCP, permite a los
# clientes Windows Vista/7/8 poder comunicarse con el servidor DHCP y aceptar
# la direccin IP proporcionada.
# server-identifier 172.16.1.1;
ddns-update-style interim;
ignore client-updates;
authoritative;
default-lease-time 900;
max-lease-time 7200;
option ip-forwarding off;
option domain-name "red-local.net";
option ntp-servers 0.pool.ntp.org, 1.pool.ntp.org, 2.pool.ntp.org, 3.pool.ntp.org;
shared-network redlocal {
subnet 172.16.1.0 netmask 255.255.255.240 {
option routers 172.16.1.1;
option subnet-mask 255.255.255.240;
option broadcast-address 172.16.1.15;
option domain-name-servers 172.16.1.1;
option netbios-name-servers 172.16.1.1;
range 172.16.1.2 172.16.1.14;
}
}
Ejecute lo siguiente si utiliza ALDOS 1.4, CentOS 6 o Red Hat Enterprise Linux 6 o
versiones anteriores de stos:
service dhcpd start
Si realiz cambios en la configuracin, reinicie el servicio dhcpd a fin de que surtan efecto
los cambios.
Ejecute lo siguiente si utiliza CentOS 7 o Red Hat Enterprise Linux 7:
systemctl restart dhcpd
Ejecute lo siguiente si utiliza ALDOS 1.4, CentOS 6 o Red Hat Enterprise Linux 6 o
versiones anteriores de stos:
service dhcpd restart
Un ejemplo de la configuracin quedara del siguiente modo, donde slo las direcciones
MAC en la lista pueden conectarse hacia el servidor DHCP y recibir una direccin IP:
# Si se tienen problemas con equipos con Windows Vista/7/8 omita la opcin
# server-identifier. sto aunque rompe con el protocolo DHCP, permite a los
# clientes Windows Vista/7/8 poder comunicarse con el servidor DHCP y aceptar
# la direccin IP proporcionada.
# server-identifier 172.16.1.1;
ddns-update-style interim;
ignore client-updates;
authoritative;
default-lease-time 900;
max-lease-time 7200;
option ip-forwarding off;
option domain-name "red-local.net";
option ntp-servers 0.pool.ntp.org, 1.pool.ntp.org, 2.pool.ntp.org, 3.pool.ntp.org;
shared-network redlocal {
subnet 172.16.1.0 netmask 255.255.255.240 {
option routers 172.16.1.1;
option subnet-mask 255.255.255.240;
option broadcast-address 172.16.1.15;
option domain-name-servers 172.16.1.1;
option netbios-name-servers 172.16.1.1;
range 172.16.1.2 172.16.1.14;
}
# Lista de direcciones MAC que tendrn permitido utilizar el servidor
# DHCP.
# deny unknown-clients impide que equipos fuera de esta lista puedan
# utilizar el servicio.
deny unknown-clients;
host impresora {
hardware ethernet 00:24:2B:65:54:84;
}
host pc1 {
hardware ethernet 00:50:BF:27:1C:1C;
}
host pc2 {
hardware ethernet F4:C7:14:70:FA:AC;
}
host laptop1 {
hardware ethernet 44:87:FC:AA:DD:2D;
}
host laptop2 {
hardware ethernet 70:F1:A1:9F:70:3B;
}
}
Si realiz cambios en la configuracin, reinicie el servicio dhcpd a fin de que surtan efecto
los cambios.
Ejecute lo siguiente si utiliza CentOS 7 o Red Hat Enterprise Linux 7:
systemctl restart dhcpd
Ejecute lo siguiente si utiliza ALDOS 1.4, CentOS 6 o Red Hat Enterprise Linux 6 o
versiones anteriores de stos:
service dhcpd restart
DHCP_HOSTNAME=nombre-equipo