PSeg09 - Norma de Uso de Serviços FTP
Introdução
O serviço de transferência de arquivos (FTP - File Transfer Protocol) é um dos serviços mais difundidos na Internet. No âmbito da Universidade, tem por finalidade disponibilizar arquivos aos usuários através da rede USPnet, de forma rápida e segura. Este serviço quando bem utilizado contribui na atualização do software do usuário final e na facilidade do administrador em permitir que certos arquivos sejam copiados (download) por um departamento, Campus, Universidade ou toda a Internet.
Pelas características do serviço, requer normas de uso para evitar invasões e danos à USP.
2. Objetivos
A norma tem os seguintes objetivos:
- Definir regras que orientem o serviço;
- Estabelecer normas de conduta dos usuários;
- Orientar administradores na disponibilização do serviço.
3. Abrangência
Esta norma tem abrangência para toda a USPnet, sendo mandatória para os Centros de Informática que mantém este serviço.
4. Regras e Diretrizes para o Usuário
O usuário, utilizando o serviço de FTP, deve atentar para as seguintes regras básicas:
- Nunca divulgar nem emprestar sua senha;
- Não executar comandos que comprometam a segurança do sistema;
- Não abandonar sessões abertas.
Recomenda-se que o usuário final não disponibilize serviços de FTP em seus computadores pessoais. Caso isto ocorra, deve-se observar o seguinte:
- Jamais permitir o armazenamento ou distribuição de material pornográfico, software comercial ou considerado pirata ou ofensivo;
- Ficar atento à configuração dos programas servidores de FTP, especialmente em relação às permissões de acesso e arquivos de senha;
- Cumprir as regras dos administradores de sistemas.
5. Regras e Diretrizes para o Administrador
O serviço de FTP deve estar desabilitado nos servidores que não o utilizem, do contrário, as seguintes regras devem ser seguidas:
- Monitorar os logs para detectar atividades suspeitas e impedir que o serviço seja usado indevidamente;
- Eliminar o acesso anônimo se não for necessário;
- Não permitir ao usuário anônimo acesso a nenhum shell;
- O diretório home do usuário anônimo não deve ter permissão de escrita, exceto para o administrador (supervisor ou root);
- Jamais disponibilizar no servidor de FTP material pornográfico, software comercial ou pirata ou qualquer material considerado abusivo;
- Atentar à configuração com relação aos diretórios de escrita (upload), só permitindo em caso de absoluta necessidade;
- Controlar o acesso por classe de usuários / IP / domínio;
- Utilizar mensagens de advertência aos usuários, informando que as transações são registradas e podem ser monitoradas;
- Dar preferência a isolar o servidor de FTP dos outros servidores públicos (e-mail, DNS, WWW, entre outros);
- Recomenda-se o uso de proxies;
- Manter o servidor de FTP sempre com a versão mais atual e com os patches de correção aplicados;
- Participar de listas de discussão para acompanhar alertas de segurança;
- Procurar orientação junto ao Centro de Informática local.
O administrador deve ter em mente que o protocolo FTP é por natureza inseguro. Não existe conceito de autenticação de usuários realmente segura pois as senhas trafegam abertamente pela rede, assim como não existem mecanismos de proteção de dados sigilosos nem verificação de integridade dos mesmos.
Assim, sempre que possível, utilizar conexões sob o padrão SSH que é seguro.