miércoles, 29 de febrero de 2012

Cómo proteger tu servidor FileZilla Server en Internet

Dentro de mi espiral de paranoia relativa a la seguridad de mi nuevo servidor, hoy le toca el turno al servicio FTP.

Como servidor de FTP hemos seleccionado FileZilla Server.

Los pasos que hemos tomado para intentar garantizar la seguridad del servicio han sido los siguientes:

Cambiar el mensaje de bienvenida que, por defecto, muestra el nombre del programa y versión del mismo. Lo cambiamos para no dar más información y que esta pueda ser utiliza en nuestro contra a través de exploits de seguridad conocidos del programa y versión.

clip_image001

Activa el autobaneo para que si una misma IP intenta conectar erróneamente X veces dentro un periodo concreto, sea baneada automáticamente.

clip_image002

Activar el log para después poder analizarlo si es necesario.

clip_image003

Cambiar la cuenta de usuario con la que se ejecuta el servicio de FileZilla.

Para ello y según la documentación del producto, hay que crear un nuevo usuario y darle los siguientes permisos:

  • Escritura en el fichero FileZilla Server.xml.
  • Escritura en la carpeta \Logs del directorio de instalación.
  • Control total en el directorio raíz donde vayamos a alojar las carpetas compartidas del servicio.

Después cambiaremos la cuenta en servicios (por defecto se ejecuta con la cuenta SYSTEM que tiene excesivos privilegios):

clip_image004

clip_image005

Por último, tendremos que utilizar los servicios de cuota de Windows si queremos limitar el espacio máximo para las subidas de ficheros que se realicen a través del servicio FTP.

La verdad es que es una pena que FileZilla Server no tenga integrada esta característica, porque de hacerlo seguro que podríamos configurar la cuota por usuario de FTP en vez de sólo hacerlo para la cuenta de Windows en la que estamos ejecutando el servicio.

En el siguiente ejemplo estoy limitando a la cuenta de Windows FileZilla a 5 GB y además estoy diciendo que cuando llegue a los 4 GB lance un warning (que podremos ver en el visor de sucesos de Windows).

clip_image006

clip_image008

Un saludo!

5 comentarios:

  1. esto es una chorrada como una casa. David

    ResponderEliminar
  2. Gracias por comentar a ambos.
    Si tenéis alguna otra recomendación yo estaría encantado de ponerla en práctica.
    La verdad es que tampoco soy de sistemas, luego seguro que me dejo algo.
    Un saludo.

    ResponderEliminar
  3. Estoy atorando en el punto donde dice cambiar la cuenta de usuario

    ResponderEliminar
  4. Una cosa, puedes explicarme como has hecho el paso del servicio de cuota de Windows?Gracias

    ResponderEliminar