Product SiteDocumentation Site

5.3. Tornando o FTP mais seguro

Se realmente precisar usar o FTP (sem transportá-lo com sslwrap ou dentro de um tunel SSL ou SSH), você deverá fazer um chroot dentro do diretório de usuários do ftp, assim o usuário será incapaz de ver qualquer coisa que não seja seu próprio diretório. Caso contrário, ele poderá atravessar seu sistema de arquivos raíz como se tivesse uma conta shell. Você poderá adicionar a seguinte linha no seu arquivo proftpd.conf na sua seção global para ativar esta característica chroot:
DefaultRoot ~
Reinicie o proftpd executando /etc/init.d/proftpd restart e verifique se agora pode escapar do seu diretório de usuário.
Para prevenir ataques DoS usando ../../.., adicione a seguinte linha no seu arquivo /etc/proftpd.conf: DenyFilter \*.*/
Lembre-se sempre que o FTP envia o login e senhas de autenticação em texto plano (isto não é um problema se estiver oferecendo acesso a serviços públicos. Entretanto existem alternativas melhores no Debian para isto, como o sftp (fornecido pelo pacote ssh). Também existem implementações livres do ssh para outros sistemas operacionais, por exemplo: http://www.chiark.greenend.org.uk/~sgtatham/putty/ e o http://www.cygwin.com.
No entanto, se você ainda mantém um servidor FTP enquanto disponibiliza o acesso através do SSH você deve encontrar um problema típico. Usuários acessando servidores FTP anônimos dentro de sistemas protegidos com o SSH devem tentar efetuar o login no FTP server. Enquanto o acesso será recusado, as senhas nunca serão enviadas na rede de forma desprotegida. Para evitar isto, o desenvolvedor TJ Sauders do ProFTPd , criou um patch que evita que os usuários utilizem um servidor FTP anônimo com uma conta válida do ssh. Mais informações e o patch estão disponíveis em: http://www.castaglia.org/proftpd/#Patches. Este patch também foi reportado para o Debian, veja http://bugs.debian.org/145669.