Product SiteDocumentation Site

5.3. Asegurando FTP

Si realmente tiene que usar FTP (sin enmascararlo con sslwrap o dentro de un tunel ssl o ssh), debería hacer cambio del directorio raíz de FTP hacia el directorio de los usuarios ftp, de modo que que el usuario sea incapaz de mirar cualquier otra cosa que su propio derectorio. De otra manera ellos pueden atravesar su sistema de archivos tal como si tuvieran una línea de comandos. Usted puede añadir la siguiente línea en su proftpd.conf en la sección global para habilitar esta característica del cambio de directorio raíz: feature:
DefaultRoot ~
Reinicie proftpd con /etc/init.d/proftpd restart y revise si puede escapar desde su directorio raíz ahora.
Para impedir los ataques de Proftp DoS use ../../.., y adicione la siguiente línea en /etc/proftpd.conf: DenyFilter \*.*/
No olvide que FTP envía login y contraseñas de autenticación en el texto plano (esto no es un problema si usted está proporcionando un servicio público anónimo) y hay buenas alternativas en Debian para ésto. Por elemplo, sftp (sumistrado por ssh). También hay implementaciones libres de SSH para otros sistemas operativos, por ejemplo: http://www.chiark.greenend.org.uk/~sgtatham/putty/ y http://www.cygwin.com.
Sin, embargo, si aún mantiene el servidor de FTP mientras los usuarios acceden a SSH podría encontrar un problema típico. Usuarios que acceden a los servidores Anónimos de FTP dentro de un sistema asegurado con SSH es el camino intentar entrar en el servidor FTP. Mientras el acceso se niegue, la contraseña nunca se enviará por la red en texto plano. Para evitar esto, el desarrollador de ProFTPd, TJ Saunders, creó un parche que impide a los usuarios anónimos del servidor FTP intentar contraseñas con cuentas SSH válidas. Más información y parches disponibles en: http://www.castaglia.org/proftpd/#Patches.