Normalmente para subir archivos en Internet, ya sean de texto, imágenes, vídeo... hubo que emplear algún método de transferencia de archivos para ubicarlos.

Uno de los métodos más empleados como servicio de transferencia de archivos se realiza mediante el servicio ftp. Éste utiliza el protocolo FTP empleando la arquitectura cliente-servidor. Así el servidor ftp esperará peticiones para transferir los archivos y el cliente ftp, ya sea por terminal o de modo gráfico, realizará esas peticiones.

Uno de los principales problemas, a pesar de ser uno de los métodos más utilizados del protocolo FTP es la no seguridad de la información, esto es, la transferencia tiene lugar sin cifrar la información transferida. Este no sólo es un problema del protocolo FTP sino de muchos de los protocolos utilizados en Internet, puesto que en el comienzo de Internet no se preveía su expansión actual y no se pensaba en asegurar la información mediante cifrado, sino simplemente asegurar el buen funcionamiento. Hoy en día existen extensiones sobre el protocolo FTP que aseguran el cifrado en la transferencia, como FTPS, empleando el cifrado SSL/TLS.

El protocolo FTP emplea una arquitectura cliente/servidor, siendo el cliente ftp quien solicita la transferencia de archivos y el servidor ftp quien ofrece los archivos. Pertenece a la familia de protocolos de red TCP y por lo tanto es un protocolo orientado a conexión, esto es, el cliente ftp necesita establecer una conexión con el servidor para empezar la transferencia de ficheros. Si no se establece la conexión ésta no tiene lugar.

Puesto que FTP es un protocolo que no utiliza una autenticación de usuarios y contraseña cifrada, se considera un protocolo inseguro y no se debería utilizar a menos que sea absolutamente necesario. Verás que existen otras alternativas al FTP, como por ejemplo el protocolo FTPS, para mantener comunicaciones cifradas. Aún así, el protocolo FTP está muy extendido en Internet ya que a menudo los usuarios necesitan transferir archivos entre máquinas sin importar la seguridad.

El protocolo FTP requiere de dos puertos TCP en el servidor para su funcionamiento, a diferencia de la mayoría de los protocolos utilizados en Internet que solamente requieren un puerto en el servidor. Un puerto es necesario para establecer el control de la conexión y otro se utiliza para el control de la transmisión, es decir, un puerto se utiliza para establecer la conexión entre el cliente y el servidor y otro para la transferencia de datos.

Los puertos TCP del servidor en cuestión, suelen ser el 21 para el control de la conexión y otro a determinar según el modo de conexión: podría ser el 20 o incluso uno mayor de 1024. Hay que tener en cuenta que estos puertos pueden ser modificados en la configuración del servidor, así no es obligatorio que los puertos 21 y 20 sean los asignados al servidor FTP, pero sí son los que éste maneja por defecto. El puerto 21 también es conocido como puerto de comandos y el puerto 20 como puerto de datos.

La ventaja que supone utilizar el protocolo FTP se basa en su alto rendimiento y sencillez, que lo hacen una opción conveniente para la transferencia de archivos a través de Internet.

Para poder establecer una conexión con el protocolo FTP son necesarias dos partes: un servidor y un cliente.

Existen múltiples tipos de clientes ftp, desde clientes en terminal de comandos, como ftp o lftp, clientes gráficos como gftp o FileZilla, hasta un cliente ftp en los navegadores mediante ftp://

¿Cuál elegir? Pues, como todo, depende:

• ¿Conoces la consola ftp? Si te manejas con soltura en la consola ftp puedes pensar en un cliente ftp de comandos que permita utilizar la tecla "tabulado" después de escribir unos caracteres para complementar los nombres de archivos.
• ¿Cuál es el uso que necesitas? ¿Para qué lo vas a utilizar? A lo mejor solamente quieres visitar un servidor ftp y descargar un archivo sin tener que andar instalando nuevos programas. En este caso puedes utilizar el cliente ftp del navegador, ftp://
• ¿Quieres reanudar la conexión en caso de corte en la misma? En este caso mejor un cliente tipo gráfico.
• ¿Deseas facilidad de manejo? Un cliente terminal de comandos suele ser menos interactivo que uno gráfico, debes saber manejarte con comandos en la consola ftp, mientras que en un cliente gráfico puedes manejarte a través de clics del ratón. Los clientes gráficos suelen ser más amigables y por lo tanto más utilizados.
• ¿Qué tipo de conexión quieres establecer? ¿cifrada? ¿no cifrada? Dependiendo del tipo de conexión debes emplear un cliente u otro, ya que no todos los clientes ftp permiten conexiones cifradas.
• ¿Deseas recordar conexiones (sitios)? Pues lo mismo, no todos los clientes ftp lo permiten.

Un cliente ftp muy recomendable es el cliente gráfico ftp FileZilla, ya que posee las siguientes características:

• Fácil de usar.
• Soporta FTP, FTP sobre SSL / TLS (FTPS) y SFTP.
• Compatibilidad con múltiples plataformas: se ejecuta en Windows, Linux, BSD, Mac OS X y más.
• Soporte IPv6.
• Disponible en varios idiomas.
• Soporta y reanuda la transferencia de archivos de gran tamaño (mayores de 4 GB).
• Interfaz de usuario con pestañas.
• Potente administrador de sitios y cola de transferencia.
• Marcadores.
• Arrastrar y soltar.
• Permite configurar límites de velocidad de transferencia.
• Nombre de filtros.
• Directorio de comparación.
• Asistente de configuración de la red.
• Edición de archivos remoto.
• Automantenimiento de la conexión.
• HTTP/1.1, SOCKS5 y soporte de FTP-Proxy.
• Fichero de registro.
• Sincronización de directorios de navegación.
• Búsqueda de archivos remoto.

¿Qué usuarios se pueden conectar al servidor ftp? ¿cualquiera? ¿sólo los usuarios del sistema?

Bien, típicamente existen dos tipos de usuarios:

• Usuarios anónimos: usuarios que tienen acceso y permisos limitados por el sistema de archivos. Al conectarse al servidor FTP sólo deben introducir una contraseña simbólica, normalmente cualquier dirección de correo -real o ficticia-, por ejemplo: a@ .
• Usuarios del sistema: aquellos que disponen de una cuenta en la máquina que ofrece el servicio FTP. Al conectarse al servidor FTP deben introducir su contraseña de sistema.

Pero en ciertos servidores, como el servidor ProFTPD, existe una tercera posibilidad muy interesante: usuarios virtuales. Los usuarios virtuales poseen acceso y permisos al servidor FTP sin necesidad de ser usuarios del sistema, por lo tanto si un usuario virtual quisiera acceder al sistema operativo como si fuese un usuario del sistema, ya sea de forma local o remota no podría, pues su cuenta de usuario no existe en el sistema. Los usuarios virtuales tienen definida una contraseña propia y pueden estar definidos en ficheros de autenticación (de texto) con el mismo formato que los del sistema operativo GNU/Linux /etc/passwd, directorios LDAP, bases de datos SQL y servidores RADIUS.

Dependiendo del servidor ftp, podrás tener unos métodos de autenticación de usuarios u otros, por ejemplo en el servidor ftp ProFTPD se permite los siguientes métodos:

• Ficheros de autenticación del sistema operativo: /etc/passwd y /etc/shadow: Para ello usa las directivas AuthUserFile y AuthGroupFile.

  Howto AuthFiles.

• Usuarios virtuales definidos mediante ficheros de autenticación (de texto) propios, distintos de los del sistema operativo: para ello también usa las directivas AuthUserFile y AuthGroupFile.
• Autenticación PAM: Es necesario establecer la directiva AuthPAMAuthorative a 'on'.

  Directiva AuthPAMAuthorative.

• Bases de datos SQL, tales como MySQL o Postgres. Para ello emplea el módulo mod_sql; más información sobre el uso de mod_sql lo puedes encontrar en el HowTo SQL

  Howto SQL.

• LDAP: Para ello emplea el módulo mod_ldap.
• RADIUS: Para ello emplea el módulo mod_radius.

Ya se ha comentado que el servidor FTP a diferencia de otros servidores necesita dos puertos TCP para hacer posible la transferencia de archivos. Ahora bien, ¿son estos puertos siempre los mismos o no? ¿son independientes del tipo de cliente y servidor o no? Pues, básicamente depende de dos factores: del modo de conexión del cliente ftp y de la configuración del servidor ftp.

A priori, si no modificamos la configuración del servidor ftp esté otorgará siempre el puerto TCP 21 para el canal de conexión de control. Es el puerto del canal de transmisión de datos, el que varía, ¿cómo?, pues según el modo de conexión del cliente ftp, que puede ser activo o pasivo.

Cuando una aplicación cliente FTP inicia una conexión a un servidor FTP, abre el puerto 21 en el servidor. Se utiliza este puerto para arrojar todos los comandos al servidor. Cualquier petición de datos desde el servidor se devuelve al cliente a través de otro puerto TCP del servidor dependiendo del modo de conexión del cliente. Así:

• El modo activo es el método original utilizado por el protocolo FTP para la transferencia de datos a la aplicación cliente. Cuando el cliente FTP inicia una transferencia de datos, el servidor abre una conexión desde el puerto 20 en el servidor para la dirección IP y un puerto aleatorio sin privilegios (mayor que 1024) especificado por el cliente. Este arreglo implica que la máquina cliente debe poder aceptar conexiones en cualquier puerto superior al 1024. Con el crecimiento de las redes inseguras, tales como Internet, es muy común el uso de cortafuegos para proteger las máquinas cliente. Debido a que estos cortafuegos en el lado del cliente normalmente rechazan las conexiones entrantes desde servidores FTP en modo activo, se creó el modo pasivo.
• La aplicación FTP cliente es la que inicia el modo pasivo, de la misma forma que el modo activo. El cliente FTP indica que desea acceder a los datos en modo pasivo y el servidor proporciona la dirección IP y el puerto aleatorio, sin privilegios (mayor que 1024) en el servidor. Luego, el cliente se conecta al puerto en el servidor y descarga la información requerida.

A continuación puedes ver una imagen que muestra el funcionamiento de los dos modos: el activo y el pasivo. 

Desde el punto de vista de FTP, los archivos se agrupan en dos tipos:

• Archivos ASCII: son archivos de texto plano (.txt, .ps, .html...)
• Archivos binarios: todo lo que no son archivos de texto: ejecutables (.exe), imágenes (.jpg, .png ...), archivos de audio (.mp3, .wav ...), vídeo (.avi, .mov …) , etcétera.

Es muy importante saber con qué tipo de archivos estás trabajando en la transferencia ya que si no utilizas las opciones adecuadas puedes destruir la información del archivo. El servidor ftp permite configurar la transferencia de archivos según el tipo del mismo, es por eso que al ejecutar el cliente FTP, antes de transferir un archivo, debes utilizar uno de los siguientes comandos o poner la correspondiente opción en un programa con interfaz gráfica:

• ascii para tipos de archivos ascii.
• binary para tipos de archivos binarios.

El protocolo FTP sigue los permisos establecidos en entornos de tipo UNIX y sus similares GNU/Linux, con lo cual existen tres grupos de permisos en el siguiente orden: propietario, grupo y otros:

• Propietario(user=u): El creador o el que ha subido el archivo al servidor FTP.
• Grupo(group=g): Se refiere a un grupo de usuarios que posee la propiedad del archivo, al que probablemente pertenece el propietario.
• Otros(others=o): Son el resto de usuarios no propietarios o que no pertenecen al grupo indicado. Son el resto del mundo.

Cada grupo a su vez puede tener tres permisos en el siguiente orden: lectura, escritura y ejecución identificados respectivamente por una 'r', una 'w' y una 'x'. La ausencia de permiso es identificada con el carácter '-'. Cada permiso tiene un equivalente numérico, así: r=4, w=2, x=1 y -=0. Por ejemplo: rw- identifica permiso de lectura y escritura o lo que es lo mismo 4+2+0=6

En un sistema operativo tipo GNU/Linux mediante el comando 'ls -l' puedes ver los permisos asignados a ficheros y directorios, por ejemplo si la salida del anterior comando es:

-rw-r--r-- 1 alumno clase 0 jun 20 01:15 prueba1.txt

significa que,

• prueba1.txt es un fichero ya que -rw-r--r-- comienza con '-', si fuese un directorio aparecería un 'd'
• rw-r--r-- identifica los permisos del fichero prueba1.txt, que divididos 3 a 3 representan de izquierda a derecha: propietario, grupo, otros.
• rw- identifican los permisos del usuario propietario, en este caso alumno. Por lo tanto alumno posee los permisos de lectura y escritura sobre el fichero prueba1.txt o lo que es lo mismo 4+2+0=6
• r-- identifican los permisos del grupo propietario, en este caso clase. Por lo tanto clase posee solamente el permiso de lectura o lo que es lo mismo 4+0+0=4
• r-- identifican los permisos de los otros (resto del mundo). Por lo tanto todos los usuarios que no son alumno y aquellos que no pertenecen al grupo clase poseen solamente el permiso de lectura o lo que es lo mismo 4+0+0=4

Por lo tanto los permisos rw-r- -r- - equivalen a 644.

Por otro lado en un sistema GNU/Linux, en principio, no todos los usuarios del sistema tienen acceso por ftp, así existe un fichero /etc/ftpusers que contiene una lista de usuarios que no tienen permiso de acceso por FTP. Por razones de seguridad al menos los siguientes usuarios deberían estar listados en este fichero: root, bin, uucp, news. Ten en cuenta que las líneas en blanco y las líneas que comiencen por el carácter '#' serán ignoradas.

Como se comentó anteriormente, existen varios tipos de clientes ftp, entre los cuales los clientes en modo texto desde siempre estuvieron incorporados en las distribuciones GNU/Linux.

De entre los clientes tipo texto cabe destacar dos: el cliente en modo texto ftp y el cliente en modo texto lftp. En GNU/Linux Debian se dispone del cliente modo ftp en una instalación básica. Para poder utilizarlo en el sistema simplemente hay que ejecutarlo como comando: el comando ftp.

Vamos a ver, a continuación, el comportamiento del cliente en modo texto ftp en la conexión al servidor ftp ftp.rediris.es:

1. Básicamente la sintaxis es la siguiente:

   ftp [-pinegvd] [host [port]]

   donde

   • host identifica el servidor ftp
   • port identifica el puerto, por defecto 21, por lo cual si conectas a un servidor ftp configurado en ese puerto no es necesario escribirlo, ya se considera.

2. Al ejecutar el comando se abrirá una consola propia de ftp en la cual puedes introducir comandos ftp para: abrir conexión, moverse por rutas, descargar archivos …

   Es muy típico ejecutarlo con el parámetro host, esto es, con el servidor ftp al cual quieres conectar:

   # ftp ftp.rediris.es

   También puedes ejecutar el comando sin parámetros, de esta forma abrirás directamente la consola ftp y deberás actuar con ella a través de los comandos de la misma:

   # ftp
   ftp> o
   (to) ftp.rediris.es

3. A continuación se pedirá usuario y contraseña para establecer la conexión. En el caso del servidor de rediris puedes conectar mediante un usuario cualquiera y una contraseña cualquiera. Es muy típico en servidores ftp que exista un usuario anónimo, cuya contraseña sea cualquier dirección de correo -real o ficticia-, por ejemplo: a@ .
4. Ahora en la consola ftp puedes ejecutar comandos, ¿cuales? Pues los que estén habilitados, y ¿cuales están habilitados? Lo puedes saber ejecutando el comando help.

En la siguiente imagen puedes ver el ejemplo de conexión ftp mediante el cliente en modo texto ftp al servidor ftp.rediris.es:

En la consola ftp pueden estar disponibles múltiples comandos, algunos de los más empleados son los recogidos en la siguiente tabla:

El servicio de transferencia de ficheros está bien, pero obliga a entender el funcionamiento de un servidor ftp mediante el uso de sus comandos. La verdad, es que no es muy interactivo, ¿entonces..., no existe la posibilidad de trabajar de otro modo más interactivo? Pues si, mediante clientes ftp de modo gráfico o mediante el navegador, ya que éste incorpora su propio cliente ftp.

Típicamente los clientes gráficos se comportan todos igual, esto es, tienen una interfaz parecida, básicamente presentan una ventana partida en dos secciones: la de la izquierda suele representar el equipo cliente ftp -desde donde se intenta establecer la conexión- y la de la derecha suele representar el equipo servidor ftp -quién recibe la conexión-. Luego suelen existir, en alguna zona determinada de la ventana: en el centro entre las dos secciones, arriba de las dos secciones, etc una serie de botones, usualmente representados como flechas que indican la posibilidad de subir o descargar archivos. Incluso dependiendo del cliente en modo gráfico es posible guardar los datos de las conexiones como plantillas, de tal forma que la próxima vez que intentes establecer la conexión con un mismo servidor ftp en vez de tener que rellenar los campos referentes a la conexión puedes hacerlo a través de la plantilla que ya posee el valor de esos campos.

Dentro de los clientes ftp en modo gráfico cabe destacar dos: gftp y filezilla. A continuación puedes ver un ejemplo de como utilizarlos para establecer una conexión con un servidor ftp, el servidor ftp.rediris.es :

1. Cliente en modo gráfico gftp.
   • Servidor: Escribe aquí el nombre o IP del servidor FTP: ftp.rediris.es
   • Puerto: Escribe aquí el puerto TCP de la conexión de control, por defecto: 21. Puedes omitirlo siempre y cuando sea el 21.
   • Usuario: Escribe aquí el usuario con permisos de conexión en el servidor ftp. En la imagen puedes ver que no se ha escrito nada, esto es debido que el servidor ftp.rediris.es permite la entrada a cualquier usuario y el cliente gráfico gftp al intentar conectar te pedirá un usuario que tenga permisos para la conexión. Pulsas en cancelar y gftp cubrirá los campos usuario y contraseña, entrando al servidor ftp.
   • Contraseña: Escribe aquí la contraseña del usuario con permisos de conexión en el servidor ftp. En la imagen puedes ver que no se ha escrito nada, esto es debido a la misma causa que en el campo Usuario.

     

2. Cliente en modo gráfico filezilla.
   • Servidor: Escribe aquí el nombre o IP del servidor FTP: ftp.rediris.es
   • Nombre de usuario: Escribe aquí el usuario con permisos de conexión en el servidor ftp. Filezilla, al contrario que gftp, no cubre los datos usuario y contraseña si tú no escribes nada en los campos, entonces debes escribir un nombre de usuario, por ejemplo anonymous, y una contraseña -cualquier secuencia de caracteres-.
   • Contraseña: Escribe aquí la contraseña del usuario con permisos de conexión en el servidor ftp. En la imagen puedes ver que se ha escrito una secuencia de caracteres punto, lo que significa que a la hora de escribir caracteres en ese campo no se muestra su valor por seguridad. Es necesario escribir una contraseña por lo comentado en el campo anterior: Nombre de usuario.
   • Puerto: Escribe aquí el puerto TCP de la conexión de control, por defecto: 21. Puedes omitirlo siempre y cuando sea el 21.

     

El navegador web también puede ejercer de cliente ftp y, puesto que la mayoría de los sistemas operativos cuentan con un navegador en su instalación, es una de las herramientas más usadas para transferencia de archivos.

Para poder usar el navegador como cliente ftp solamente debes escribir en la barra de dirección una dirección URL tipo, como la siguiente:

ftp://nombre_servidor_ftp:puerto

donde,

• ftp:// indica que el protocolo que deseas que interprete el navegador sea el ftp.
• nombre_servidor_ftp representa el nombre o la IP del servidor ftp.
• puerto indica el puerto TCP, por defecto 21. Puedes omitirlo siempre y cuando sea el 21.

Si el servidor ftp permite la conexión a un usuario anónimo, al ejecutar ftp://nombre_servidor_ftp:puerto entrarás directamente al servidor ftp, esto es, el navegador no preguntará qué usuario y contraseña necesitas para establecer la conexión.

En la siguiente imagen puedes ver como puedes acceder al servidor ftp de rediris utilizando el navegador:

Así, lo único que tienes que hacer es escribir en la dirección URL: ftp://ftp.rediris.es y pulsar Enter, con lo cual, automáticamente, conectas con el servidor ftp, pudiendo visitar las carpetas y ver los ficheros como si de un explorador de archivos se tratará.

Para descargar las carpetas o archivos simplemente debes pulsar con el botón derecho del ratón sobre ellos y elegir la opción Guardar enlace como… -que aparece en Firefox y es similar en otros navegadores-.

Pero no todo van a ser ventajas al utilizar el navegador como cliente ftp, puesto que otros clientes tienen la posibilidad de continuar las descargas cuando estás sufrieron algún tipo de interrupción, cosa que no pasa con el cliente ftp del navegador, como por ejemplo el cliente gráfico FileZilla que soporta y reanuda la transferencia de archivos de gran tamaño(> 4 GB).

Bien, pero ¿qué pasa con los datos en la transferencia? ¿viajan cifrados? ¿no? Pues empleando el protocolo ftp cualquiera que tenga acceso al canal de transmisión podrá ver en texto claro todo lo que se transmite, esto es, los datos no se cifran. Esto puede carecer de importancia, o no, según el contexto de la transmisión. Así, puede que a un organismo público no le importe compartir información a través de ftp y que los datos en la transferencia viajen sin cifrar y, sin embargo, a una empresa si le interese que los datos viajen cifrados.

Entonces, cuando interese asegurar el servicio de transferencia de archivos debes descartar el protocolo ftp y empezar a pensar en otras alternativas, como: ftps o sftp.

FTPS es una extensión del protocolo FTP que asegura el cifrado en la transferencia mediante los protocolos SSL/TLS. Permite tres tipos de funcionamiento:

• SSL Implícito:
  • Como conexiones HTTPS.
  • Usa los puertos 990 y 989.
• SSL Explícito
  • El cliente usa los mismos puertos estándar FTP: 20 y 21 pero se efectúa el cifrado en ellos.
  • Usa AUTH SSL.
• TLS Explícito:
  • Similar a SSL Explícito pero usa AUTH TLS.

El cifrado al que nos referimos es el cifrado de clave pública o asimétrico: clave pública (kpub) y clave privada (kpriv). La kpub interesa publicarla para que llegue a ser conocida por cualquiera, la kpriv no interesa que nadie la posea, solo el propietario de la misma. Ambas son necesarias para que la comunicación sea posible, una sin la otra no tienen sentido, así una información cifrada mediante la kpub solamente puede ser descifrada mediante la kpriv y una información cifrada mediante la kpriv sólo puede ser descifrada mediante la kpub.

En el cifrado asimétrico podemos estar hablando de individuos o de máquinas, en nuestro caso hablamos de máquinas y de flujo de información entre el cliente ftp (A) y el servidor ftp (B). Ver la siguiente tabla como ejemplo de funcionamiento del cifrado asimétrico:

Funcionamiento del cifrado asimétrico.

Funcionamiento del cifrado asimétrico
A(inf) → inf cifrada → B [descifrar inf] → B(inf) = A(inf) A(inf) → inf cifrada = [(inf)]kpubB → B [inf. cifrada]kprivB → B(inf) = A(inf)
Identificación
A	Cliente ftp.
inf cifrada = [(inf)]kpubB	Información cifrada mediante la clave pública de B obtenida a través de un certificado digital.
[inf. cifrada]kprivB	Información descifrada mediante la clave privada de B.
B	Servidor ftp.

Suele ser típico que cualquier aplicación web en Internet disponga de la posibilidad de subir archivos mediante una configuración del código fuente de la misma, una aplicación propia o una aplicación de terceros, como los paneles de administración web.

Si empleas una aplicación web para subir archivos debes tener en cuenta cuánto tiempo puedes mantener la conexión abierta con el servicio web y cuál es el tamaño máximo de subida de un archivo. Estas cuestiones suelen ser típicas de la configuración del servidor web. Por la contra, si empleas un servidor ftp dependerá de éste las cuestiones anteriores.

Se suele configurar el servidor web con unos parámetros: tiempo de conexión y tamaño máximo de subidas de archivos diferentes del servidor ftp, de tal forma que para archivos de tamaño no muy grandes se puedan emplear aplicaciones web y no se sufra un corte en la subida de archivos y, para archivos grandes, se emplee el servidor ftp.

Normalmente las empresas de alojamiento web (hosting) permiten la subida de archivos mediante un servidor ftp y poseen documentos sobre cómo operar con éste, esto es, documentación que explica cómo conectarse a sus servidores ftp a través de algún cliente ftp, como por ejemplo: FileZilla, Cute FTP, Fetch o Transmit. También suelen permitir usar SCP o SFTP para transferir ficheros de forma segura mediante un canal cifrado. Por ejemplo en Filezilla se puede establecer la conexión de forma cifrada directamente, sólo con indicar como puerto TCP el número del servidor SSH, por defecto, 22.

También debes saber que muchos editores web permiten subir tu aplicación web al servidor con el protocolo FTP, esto te puede resultar más sencillo que el uso de una aplicación de FTP independiente.

Eso si, sea cual sea el método ftp que utilices para subir archivos y actualizar tu web, se desaconseja el uso de aplicaciones no actualizadas que podrían comprometer la seguridad de tu web.

A continuación puedes ver errores típicos , junto con sus soluciones, que puedes encontrar al subir tu aplicación mediante un servidor FTP:

• Tu cliente FTP muestra el error access denied, o similar, cuando subes o borras ficheros y carpetas: Comprueba que tu usuario FTP tenga permisos suficientes sobre la carpeta o fichero en la que deseas subir o que deseas borrar.
• Tus páginas no son reconocidas de forma automática al acceder a tu dominio: Los servidores GNU/Linux son sensibles a mayúsculas y minúsculas por lo que verifica el nombre de tus archivos.
• El cliente de FTP te muestra el mensaje too many connections from your IP address: Esto quiere decir que existen más conexiones abiertas con el servidor FTP desde la misma dirección IP de las permitidas. En ese caso, asegúrate que no exista ninguna aplicación, como un cortafuegos, que pueda estar bloqueando las conexiones abiertas, y provocando, de esta forma, que se establezcan más intentos de conexión de los necesarios.

¿Por qué ProFTPD? Pues porque es un servidor FTP bajo licencia GPL altamente configurable, así permite:

• Usuarios virtuales con:
  • LDAP
  • BBDD: MySQL, PostgreSQL...
  • Ficheros de autenticación (ficheros de texto).
• Personalizar opciones según usuario/grupo.
• Seguridad mediante cifrado SSL/TLS.
• Configuraciones independientes mediante virtualhosts.

Para instalar el servidor protftpd en un sistema Operativo Debian/Ubuntu ejecutar el comando apt-get install proftpd. En la instalación deberás elegir si ProFTPD va a ejecutarse como un servicio desde inetd o como un servidor independiente. Ambas opciones tienen sus ventajas. Si sólo recibes unas pocas conexiones FTP diarias, probablemente sea mejor ejecutar ProFTPD desde inetd para ahorrar recursos. Por otro lado, con más tráfico, ProFTPD debería ejecutarse como un servidor independiente para evitar crear un proceso nuevo por cada conexión entrante.

En la instalación se crearán los usuarios proftpd y ftp con grupo nogroup y sin posibilidad de acceso a una consola del sistema. Se puede comprobar en el fichero /etc/passwd donde encontrarás nuevas líneas similares a las siguientes:

proftpd:x:124:65534::/run/proftpd:/usr/sbin/nologin
ftp:x:125:65534::/srv/ftp:/usr/sbin/nologin

Su configuración es similar a la configuración del Servidor Apache, con lo cual si posees conocimientos sobre Apache tendrás mucho ganado, así tiene:

• Un fichero de configuración principal /etc/protftpd/proftpd.conf
• La posibilidad de configurar hosts virtuales o virtual hosts, de tal forma que un mismo servidor ftp puede alojar múltiples dominios con sus configuraciones correspondientes, y todo lo que no esté incluido en la definición de cada virtualhost se heredará de la configuración principal.
• Configuración a través de directivas.
• Contextos de configuración: global, directorio, virtualhost, anonymous.
• Modularización. Al igual que Apache se pueden activar/desactivar funcionalidades a través de módulos.

Una vez instalado ProFTPD existirán dos ficheros de especial interés:

• El fichero /etc/ftpusers (0.01 MB) , ya comentado, que contiene un lista de usuarios que no tienen permiso de acceso por FTP. Por razones de seguridad al menos los siguientes usuarios deberían estar listados en este fichero: root, bin, uucp, news. Ten en cuenta que las líneas en blanco y las líneas que comiencen por el carácter '#' serán ignoradas.
• El fichero de configuración principal (/etc/proftpd/proftpd.conf) similar al del siguiente enlace: proftpd.conf (0.01 MB)

En el fichero protfpd.conf:

• Las líneas en blanco y las líneas que comiencen por el carácter '#' serán ignoradas.
• Las líneas que comienzan por Include recogerán la configuración de los ficheros que la acompañan.
• User proftpd y Group nogroup identifican al usuario y grupo con el que se ejecuta proftpd.
• El soporte LDAP, SQL, TLS, virtualhosts y cuotas están desactivados, ver líneas: #Include /etc/proftpd/ldap.conf, #Include /etc/proftpd/sql.conf, #Include /etc/proftpd/tls.conf, #Include /etc/proftpd/virtuals.conf y QuotaEngine off.
• El mensaje de bienvenida se encuentra en el fichero welcome.msg
• Está configurado por defecto el modo de conexión ftp activo en el puerto TCP 21.
• Los usuarios que puedan conectarse por ftp:
  • Necesitan una consola de comandos activa, esto es, debe poseer una consola presente dentro del fichero /etc/shells
  • Pueden moverse por todo el sistema de ficheros, esto es, no están encerrados (jaula chroot) en sus directorios /home, puesto que la directiva DefaultRoot ~ está comentada. Por seguridad sería conveniente descomentar la línea y recargar la configuración del servidor.
• Para evitar ataques de denegación de servicio solamente se permiten 30 conexiones simultáneas: MaxInstances 30
• Los permisos para los ficheros y directorios creados en la conexión ftp son: 644 y 755 respectivamente, ya que, umask 022 022, donde el primer grupo de tres números identifican los permisos de los ficheros y el segundo grupo identifica los permisos de los directorios.
• Encontrarás al final del mismo un ejemplo de configuración para usuarios anónimos.

A continuación veremos distintas configuraciones del servidor proftpd.

Una vez instalado el servidor ProFTPD, en Ubuntu, disponemos de un archivo de configuración /etc/proftpd/proftpd.conf (0.01 MB)

Como has podido comprobar en la sección anterior, posee una configuración tipo por defecto. Ésta ya permite la conexión a tu servidor. ¿Con qué usuarios? Con cualquier usuario del sistema que posea una consola de comandos activa definida en /etc/shells.

¿Cómo? Pues simplemente ejecutando cualquier cliente ftp que establezca una conexión con el puerto TCP 21 a tu servidor ftp. Por ejemplo utilizando el cliente de comandos ftp sería:

ftp usuario_del_sistema@servidor_ftp

donde,

servidor_ftp: puede ser el nombre de tu servidor ftp en /etc/hosts o resuelto por DNS, o la IP de tu servidor ftp

Si no eres capaz de conectar revisa la configuración de tu cortafuegos y la sección 1.6 donde se exponen soluciones a problema típicos en conexiones ftp.

Igual te interesa contar en la configuración de tu servidor ftp con un usuario anónimo, el cual establecerá la conexión con cualquier contraseña y tendrá permisos diferentes a los usuarios del sistema (privados). Normalmente los permisos del usuario anónimo en un servidor ftp se establecerán para que solamente pueda moverse por los directorios y descargar archivos, nunca subirlos, esto es, normalmente el usuario anónimo no podrá crear ni eliminar ficheros y directorios.

Para hacer que proftpd permita conexiones mediante usuarios del sistema y usuarios anónimos debes modificar el fichero /etc/proftpd/proftpd.conf (0.01 MB)

La modificación consiste en retocar su configuración activando a mayores la conexión mediante usuarios anónimos, puesto que los usuarios del sistema por defecto ya poseen acceso mediante ftp y se conectan con la misma contraseña del sistema.

Por lo tanto, al final del fichero incorpora las siguientes líneas:

# Inicio de la configuración Anonymous
# Usuario anónimo que entrará en el directorio ~ftp, esto es, en la variable $H>
# En Debian/Ubyuntu ~ftp=/home/ftp . Este directorio será la raíz de los direct>
# ftp, esto es, /home/ftp estará enjaulado (chroot) de tal forma que aunque el >
# quisiera acceder a otros directorios situados fuera de /home/ftp no podrá acc>
<Anonymous ~ftp>
  # Después de hacer login anónimo mediante ftp el servidor se ejecuta con el u>
  # nogroup
  User                        ftp
  Group                       nogroup
  # La siguiente línea permite hacer login con el usuario “anonymous” igual que>
  UserAlias                   anonymous ftp
  # Cambios de apariencia, todos los ficheros parecerán pertenecer al usuario y>
  DirFakeUser on ftp
  DirFakeGroup on ftp
  # No es necesario tener una shell en /etc/shells 
  RequireValidShell           off
  # Limitar el máximo número de logins anónimos concurrentes a 10 
  MaxClients                  10
  # Mensaje de conexión en el fichero welcome.msg 
  DisplayLogin                welcome.msg
  # No permitir ESCRITURA en cualquier directorio al usuario anonymous, alias d>
  <Directory *>
    <Limit WRITE>
      DenyAll
    </Limit>
  </Directory>
</Anonymous>
# Fin de la configuración Anonymous

No olvides recargar la nueva configuración para que los cambios tengan efecto, ejecutando el comando:

/etc/init.d/proftpd restart ó /etc/init.d/proftpd reload.

Puedes configurar proftpd para que permita conexiones mediante usuarios anónimos obligando a conectar sin poseer una contraseña del sistema, esto es, conectando con una contraseña cualquiera. Para ello debes modificar de nuevo el fichero /etc/proftpd/proftpd.conf (0.01 MB)

Por lo tanto, cambia la configuración del usuario anonymous ftp de tal forma que al final del fichero aparezcan las siguientes líneas:

<Anonymous ~ftp>
    User                  ftp
    Group                 nobody
    # No es necesario tener una shell en /etc/shells 
    RequireValidShell     off 
    # No se requiere contraseña en la conexión
    AnonRequirePassword   off
    # No permitir ESCRITURA en cualquier directorio al usuario ftp
    <Directory *>
        <Limit WRITE> 
            DenyAll 
        </Limit>
    </Directory>
</Anonymous>

Puedes crear un usuario anónimo con carácter privado, esto es, que requiera contraseña para establecer la conexión. Por ejemplo, en la configuración siguiente se convierte el usuario del sistema 'invitado', para el servidor ftp, en un usuario anónimo que requiere contraseña para establecer la conexión. Además, solamente tendrá permisos de escritura desde cualquier equipo que conecte mediante la dirección de red 192.168.200.

<Anonymous ~invitado>
    User                  invitado
    Group                 nobody
    # Se requiere la contraseña de sistema del usuario invitado en la conexión
    AnonRequirePassword   on
    # No permitir ESCRITURA en cualquier directorio al usuario invitado a no ser que establezca conexión     
    # de la red 192.168.200.
    <Directory *>
        <Limit WRITE>
            Order allow, deny
            Allow from 192.168.200.
            Deny from all
        </Limit>
    </Directory> 
</Anonymous>

Anteriormente hemos visto cómo poder configurar el servidor ftp con múltiples usuarios, pero todos pertenecientes al mismo sitio/dominio, entonces, ¿no se puede configurar usuarios pertenecientes a distintos dominios en el mismo servidor ftp? La respuesta es que sí, sí se puede, ¿cómo?, mediante la configuración de hosts virtuales o virtualhosts. Éstos básicamente lo que hacen es permitir que un mismo servidor ftp pueda alojar múltiples dominios, así configurando hosts virtuales podemos alojar: empresa1.com, empresa2.com,…, empresaN.com en el mismo servidor ftp. Cada empresa tendrá su virtualhost único e independiente de los demás.

Aunque como se ha comentado anteriormente cada virtualhost es único e independiente de los demás, todo aquello que no esté incluido en la definición de cada virtualhost se heredará de la configuración principal: proftpd.conf (/etc/proftpd/proftpd.conf). Así, si quieres definir una directiva común en todos los virtualhost no debes modificar cada uno de los virtualhost introduciendo esa directiva sino que debes definir esa directiva en la configuración principal del servidor ftp ProFTPD, de tal forma que todos los virtualhost heredarán esa directiva, por ejemplo en proftpd.conf puedes encontrar la directiva TimeoutIdle 1200, que establece la directiva TimeoutIdle igual a 1200 segundos, esto es, indica el número máximo de segundos que puede estar un usuario sin hacer nada, pasado ese tiempo se cierra la conexión ftp.

En la definición de la directiva VirtualHost podemos poner la IP del servidor FTP ó bien el nombre DNS correspondiente. En nuestro escenario, la IP_Servidor_FTP=192.168.200.250, ftp.empresa1.com y ftp.empresa2.com identifican a la misma máquina.

Independientemente de si configuras virtualhosts basados en IP o en nombre, puedes utilizar usuarios del sistema, pero también puedes crear los usuarios virtuales que quieras en un fichero similar a /etc/passwd y llamarlo en la configuración mediante la directiva AuthUserFile, entonces:

• Ejecuta el siguiente comando que creará un fichero de autenticación para usuarios virtuales,

  ftpasswd --passwd --name user-empresa1 --file /etc/passwd.usuarios.virtuales --uid 107 --home /var/ftp/empresa1 --shell /bin/false

  donde,

  • ftppasswd, es el comando que permite crear los usuarios virtuales.
  • - -passwd, es el parámetro que pedirá la contraseña del usuario.
  • - -name user-empresa1, identifica al usuario virtual de nombre user-empresa1.
  • - -file /etc/passwd.usuarios.virtuales, creará, en caso de no existir, o modificará, en caso de existir el fichero de autenticación de usuarios virtuales.
  • - -uid 107, es el identificador perteneciente al usuario del sistema ftp. Se puede saber ejecutando el comando: id ftp .
  • - -home /var/ftp/empresa1, identifica a donde se conecta el usuario.
  • - -shell /bin/false, identifica una consola de comandos que no permite conexión como usuario del sistema.
• Ejecuta también el comando:

  ftpasswd --passwd --name user-empresa2 --file /etc/passwd.usuarios.virtuales --uid 107 --home /var/ftp/empresa2 --shell /bin/false

A continuación prosigues, dependiendo si deseas configurar virtualhosts basados en IP o virtualhosts basados en nombre.

En la definición de la directiva VirtualHost podemos poner la IP del servidor FTP ó bien el nombre DNS correspondiente. En nuestro escenario, la IP_Servidor_FTP=192.168.200.250, ftp.empresa1.com y ftp.empresa2.com identifican a la misma máquina y a la misma IP. Ahora si, cada virtualhost, así como el servidor principal, deben servir en un puerto TCP distinto.

¿Cómo lo haces? Sigues el procedimiento:

1. En la configuración de ProFTPD (/etc/proftpd/proftpd.conf) debes activar la configuración del fichero virtuals.conf descomentando la línea:

   Include /etc/proftpd/virtuals.conf

2. Agrega la configuración virtualhost para empresa1 en el fichero /etc/proftpd/virtuals.conf

   <VirtualHost 192.168.200.250=>
       Port 2121
       ServerName "Servidor FTP empresa1"
       AuthUserFile /etc/passwd.usuarios.virtuales
       DefaultRoot /var/ftp/empresa1/
       RequireValidShell off
   </VirtualHost>

3. Agrega la configuración virtualhost para empresa2 en el fichero /etc/proftpd/virtuals.conf

   <VirtualHost ftp.empresa2.com>
       Port 2122
       AuthUserFile /etc/passwd.usuarios.virtuales
       ServerName "Servidor FTP empresa2"
       DefaultRoot /var/ftp/empresa2/
       RequireValidShell off
   </VirtualHost>

4. Configura permisos en las carpetas /var/ftp/empresa1/ y /var/ftp/empresa2/ para los usuarios virtuales:

   chown ftp /var/ftp/empresa1/ /var/ftp/empresa2/ 

5. Recarga la configuración del servidor.

   /etc/init.d/proftpd restart

Explicación fichero virtualhost:

<VirtualHost IP_Servidor_FTP> → Inicio etiqueta virtualhost: define la IP del servidor ftp. También puede ser <VirtualHost Nombre_DNS_Servidor_FTP>

Port numero → Identifica el puerto TCP por el que espera la conexión el servidor FTP

ServerName "Servidor FTP empresaX"→ Configura el nombre que se muestra en la conexión de los usuarios.

DefaultRoot /var/ftp/empresaX/ → Definición de la ruta que sirve ProFTPFD, en este caso: /var/ftp/empresaX/ mediante la directiva DefaultRoot, esto es, indica que los usuarios cuando conecten con el servidor ftp estarán enjaulados en la ruta /var/ftp/empresaX/, con lo cual no podrán acceder a otro directorio que no esté contenido dentro de éste.

RequireValidShell off → No es necesario tener una shell declarada en el fichero /etc/shells

<<VirtualHost> → Fin de la etiqueta VirtualHost: fin de la definición de este virtualhost para la empresa1.

En la definición de la directiva VirtualHost podemos poner la IP del servidor FTP o bien el nombre DNS correspondiente. En nuestro escenario, la IP_Servidor_FTP=192.168.200.250, ftp.empresa1.com y ftp.empresa2.com identifican a la misma máquina y a distintas IP. Ahora es indiferente el puerto TCP en el que sirve cada virtualhost, así como el servidor principal, esto es, puede ser el mismo o no ya que ahora cada puerto está relacionado con una IP distinta.

La IP que debemos poner ahora en la definición de la directiva Virtualhost cambia, cada IP corresponde a una interfaz de red del servidor FTP, en nuestro escenario: IP_Servidor_FTP=192.168.200.250, ftp.empresa1.com se identifica con 192.168.200.251 y ftp.empresa2.com con 192.168.200.252

Este método no aporta ventajas sobre el anterior, es más, aún puede ser más difícil de mantener si las IP del servidor FTP se modifican con cierta frecuencia.

¿Cómo lo haces? Sigues el mismo procedimiento usado para los virtualhost basados en nombre, únicamente se diferencia en la configuración de los virtualhost, así:

1. Modifica la configuración virtualhost para empresa1 en el fichero /etc/proftpd/virtuals.conf

   <VirtualHost 192.168.200.251>
       ServerName "Servidor FTP empresa1"
       AuthUserFile /etc/passwd.usuarios.virtuales
       DefaultRoot /var/ftp/empresa1/
       RequireValidShell off
   </VirtualHost>

2. Agrega la configuración virtualhost para empresa2 en el fichero /etc/proftpd/virtuals.conf

   <VirtualHost ftp.empresa2.com>
       AuthUserFile /etc/passwd.usuarios.virtuales
       ServerName "Servidor FTP empresa2"
       DefaultRoot /var/ftp/empresa2/
       RequireValidShell off
   </VirtualHost>

3. Configura permisos en las carpetas /var/ftp/empresa1/ y /var/ftp/empresa2/ para los usuarios virtuales:

   chown ftp /var/ftp/empresa1/ /var/ftp/empresa2/

4. Recarga la configuración del servidor.

   /etc/init.d/proftpd restart

Explicación fichero virtualhost:

<VirtualHost IP_Servidor_FTP> → Inicio etiqueta virtualhost: define la IP del servidor ftp. También puede ser <VirtualHost Nombre_DNS_Servidor_FTP>

ServerName "Servidor FTP empresaX"→ Configura el nombre que se muestra en la conexión de los usuarios.

DefaultRoot /var/ftp/empresaX/ → Definición de la ruta que sirve ProFTPFD, en este caso: /var/ftp/empresaX/ mediante la directiva DefaultRoot, esto es, indica que los usuarios cuando conecten con el servidor ftp, estarán enjaulados en la ruta /var/ftp/empresaX/, con lo cual no podrán acceder a otro directorio que no esté contenido dentro de éste.

RequireValidShell off → No es necesario tener una shell declarada en el fichero /etc/shells .

</VirtualHost>→ Fin de la etiqueta VirtualHost: fin de la definición de este virtualhost para la empresa1.

La capacidad de almacenamiento no es infinita, por lo tanto será interesante saber cómo crear cuotas de disco para los usuarios y ya puestos para los usuarios en los virtualhosts.

El archivo /etc/proftpd/proftpd.conf llama mediante la directiva Include al archivo /etc/proftpd/modules.conf en el que están activadas las cuotas (LoadModule mod_quotatab.c, LoadModule mod_quotatab_file.c), luego para activarlas tienes que sustituir en el archivo /etc/proftpd/proftpd.conf el código:

<IfModule mod_quotatab.c>
    QuotaEngine off
</IfModule>

por el código siguiente:

<IfModule mod_quotatab.c> 
    QuotaEngine on 
    QuotaLog /var/log/proftpd/quota.log 
    <IfModule mod_quotatab_file.c> 
        QuotaLimitTable file:/etc/proftpd/ftpquota.limittab 
        QuotaTallyTable file:/etc/proftpd/ftpquota.tallytab 
    </IfModule> 
</IfModule> 

donde,

<IfModule mod_quotatab.c> … </IfModule> → Indica que si el módulo mod_quotatab.c está cargado en el archivo /etc/proftpd/modules.conf se realizarán las directivas que contengan.

QuotaEngine on → Activa las cuotas.

QuotaLog /var/log/proftpd/quota.log → Indica el archivo de registro sobre cuotas.

<IfModule mod_quotatab_file.c> … </IfModule> → Indica que si el módulo mod_quotatab_file.c está cargado en el archivo /etc/proftpd/modules.conf se realizarán las directivas que contengan.

QuotaLimitTable file:/etc/proftpd/ftpquota.limittab → Indica el archivo sobre el límite de cuotas Limit.

QuotaTallyTable file:/etc/proftpd/ftpquota.tallytab → Indica el archivo sobre el límite de cuotas Tally.

Para ProtFTPD existen básicamente dos tipos de cuotas: limit y tally.

• Limit: Es la cuota que te interesa si estás pensando en restringir el espacio en disco a los usuarios. Éste puede ser soft, cuando existe un espacio de gracia(tamaño en bytes) que puede sobrepasar el límite, o hard cuando no existe un espacio de gracia.
• Tally: Utilizado cuando quieres limitar el número de ficheros que se utilizan.

La forma más sencilla de crear las cuotas es hacer el símil upload=espacio en disco, con lo cual los archivos subidos no pueden ocupar más del que queramos darle como espacio en disco, esto es, los bytes subidos funcionan como espacio en disco, ya que no existe diferencia entre ellos, pues los bytes cargados a través de FTP se almacenan automáticamente en el disco, por lo que deberías emplear la cuota tipo limit.

Puedes crear las cuotas mediante el comando ftpquota:

# ftpquota --create-table --type=limit --table-path=/etc/proftpd/ftpquota.limittab 
# ftpquota --create-table --type=tally --table-path=/etc/proftpd/ftpquota.tallytab 

Por ejemplo, si quisieras limitar a un usuario de nombre user-empresa1 el espacio de subida en 4 GB:

 # ftpquota --add-record --type=limit --name=user-empresa1 --quota-type=user \ 
 --bytes-upload=4 --units=Gb --table-path=/etc/proftpd/ftpquota.limittab 

Y si quisieras limitar la subida y bajada a 4 GB y 2 GB respectivamente al usuario user-empresa2:

# ftpquota --add-record --type=limit --name=user-empresa2 --quota-type=user \ 
 --bytes-upload=4 --bytes-download=2 --units=Gb --table-path=/etc/proftpd/ftpquota.limittab 

Bien, pero, ¿cómo verificar el funcionamiento de las cuotas?. Y si quisieras comprobar la cuota de un usuario, ¿es posible? ¿Y si quisieras actualizarla?¿Y desactivarlas para algún usuario?¿Y borrarlas?

Pues, utilizas el comando ftpquota como sigue:

• Para ver los registros de cuotas, esto es, a quién se le está ejerciendo las cuotas:

  # ftpquota --show-records --type=limit --table-path=/etc/proftpd/ftpquota.limittab 
  ------------------------------------------- 
   Name: user-empresa1
   Quota Type: User 
   Per Session: False 
   Limit Type: Hard 
   Uploaded bytes: 4294967296.00 
   Downloaded bytes: unlimited 
   Transferred bytes: unlimited 
   Uploaded files: unlimited 
   Downloaded files: unlimited 
   Transferred files: unlimited 

• Para actualizar la cuota de un usuario, por ejemplo, user-empresa1:

  # ftpquota --update-record --type=limit --name=user-empresa1 --quota-type=user \ 
   --bytes-upload=2300 --units=Mb --table-path=/etc/proftpd/ftpquota.limittab 

  con lo cual, si compruebas de nuevo los registros, verás que los cambios surgieron efecto:

  # ftpquota --show-records --type=limit --table-path=/etc/proftpd/ftpquota.limittab 
  ------------------------------------------- 
   Name: user-empresa1
   Quota Type: User 
   Per Session: False 
   Limit Type: Hard 
   Uploaded bytes: 2411724800.00 
   Downloaded bytes: unlimited 
   Transferred bytes: unlimited 
   Uploaded files: unlimited 
   Downloaded files: unlimited 
   Transferred files: unlimited 

• Para desactivar la cuota de un usuario debes borrar el registro, por ejemplo, user-empresa1:

  # ftpquota --delete-record --type=limit --name=user-empresa1 --quota-type=user

  con lo cual, si compruebas de nuevo los registros, verás que los cambios surgieron efecto:

  # ftpquota --show-records --type=limit --table-path=/etc/proftpd/ftpquota.limittab 
  ftpquota: (empty table)

En Debian 6 (squeeze) al instalar el paquete proftpd ya se puede establecer la conexión por TLS, siempre y cuando se configure el archivo /etc/proftpd/tls.conf y procedas como sigue:

1. Edita el archivo /etc/proftpd/proftpd.conf y descomenta la línea:

   Include /etc/proftpd/tls.conf 

2. Crea las claves, pública y privada, para la conexión cifrada:
   • Método 1: Instalación del paquete OpenSSL y ejecución del comando openssl.

     # apt-get install openssl
     # openssl req -x509 -newkey rsa:1024 -keyout /etc/ssl/private/proftpd.key -out \ 
      /etc/ssl/certs/proftpd.crt -nodes -days 3650 
     Generating a 1024 bit RSA private key 
     ..++++++ 
     .................................++++++ 
     writing new private key to '/etc/ssl/private/proftpd.key' 
     ----- 
     You are about to be asked to enter information that will be incorporated 
     into your certificate request. 
     What you are about to enter is what is called a Distinguished Name or a DN. 
     There are quite a few fields but you can leave some blank 
     For some fields there will be a default value, 
     If you enter '.', the field will be left blank. 
     ----- 
     Country Name (2 letter code) [AU]:ES 
     State or Province Name (full name) [Some-State]:Madrid 
     Locality Name (eg, city) []: 
     Organization Name (eg, company) [Internet Widgits Pty Ltd]:EMPRESA1 
     Organizational Unit Name (eg, section) []: 
     Common Name (eg, YOUR name) []: ftp.empresa1.com
     Email Address []: 

   • Método 2: Comando proftpd-gencert. Los dos comandos anteriores se resumen en uno, con la salvedad que el certificado será válido solamente durante 1 año y no 10:

     # proftpd-gencert

3. Modifica los permisos:

   # mv /etc/ssl/private/proftpd.key /etc/ssl/
   # chmod 0600 /etc/ssl/proftpd.key 
   # chmod 0644 /etc/ssl/certs/proftpd.crt 

4. Modifica el fichero /etc/proftpd/tls.conf como se indica en el fichero ejemplo tls.conf (0.01 MB)
5. Recarga la configuración del servidor ProFTPD:

   # /etc/init.d/proftpd restart

6. Comprueba la configuración mediante el usuario del servidor ftp invitado, creado anteriormente, con un cliente FTPES, es decir, un cliente ftp que permita la conexión por TLS como FileZilla.

7. Si deseas, puedes hacer valer la configuración para todos los usuarios, incluso aquellos pertenecientes a virtualhost, modificando el fichero /etc/proftpd/tls.conf como se indica en el fichero ejemplo tls2.conf (0.01 MB) .