===== Proftpd: Configuración mínima FTP / FTPS =====

Configuración básica de Proftpd para tener disponibles mediante FTP / FTPS (FTP + SSL) en un mismo servidor (192.168.1.24) las cuentas de los usuarios del sistema. Se puede restringir el acceso por IP / Dominio simplemente editando la IP/Dominio en la etiqueta "<VirtualHost>". Aunque se expliqué como instalar Proftpd en CentOS7 la configuración del servicio siempre es igual.

**Instalar Protftpd en CentOS7**.
<code bash>
yum -y install epel-release
rpm --import /etc/pki/rpm-gpg/RPM-GPG-KEY-EPEL-7
yum -y update
yum install -y proftpd openssl proftpd-utils
systemctl start proftpd.service
systemctl enable proftpd.service
# No olvidar desactivar / configurar: SElinux / iptables.</code>

**Certificado y llave privada**: Para el ejemplo se creará una llave privada (test.key) y certificado SSL autofirmado (test.crt) en el directorio /etc/pki/tls/certs.
<code bash>cd /etc/pki/tls/certs/
openssl req -x509 -nodes -sha512 -days 365 -newkey rsa:4096 -keyout test.key -out test.crt</code>

**Configuración Proftpd**: Fichero de configuración /etc/proftpd.conf.
<code bash>#-----------------------------------------------------------------------
# Configuración del servicio.
#-----------------------------------------------------------------------

ServerName                      "ProFTPD Test server"
ServerIdent                     on "FTP Test Server ready."
ServerAdmin                     "xxx@xxx.xx"
DefaultServer                   "off"
UseIPv6				"off"

<Limit SITE_CHMOD>
        DenyAll
</Limit>
 
SystemLog                           none
LogFormat                           authentication "%{%F %T}t %P  from: %a to: %{protocol}:%H:%p  user: %U       msg: %S"
LogFormat                           transfer       "%{%F %T}t %P  from: %a to: %{protocol}:%H:%p  user: %U       file: %f        cmd: %m %J"

<Global>
    #-----------------------------------------------------------------------
    # Configuracion genérica.
    #-----------------------------------------------------------------------

    DefaultRoot                         ~
    Umask                               022
    allowOverwrite                      on
    User                                nobody
    Group                               nobody
    ExtendedLog                         /var/log/proftpd_auth.log AUTH,EXIT,SEC authentication
    ExtendedLog                         /var/log/proftpd_xfer.log READ,WRITE transfer
    AuthOrder                           mod_sql.c mod_auth_unix.c mod_auth_pam.c
</Global>
 
# Si no se desea prestar servicio desde el puerto 21, simplemente comentar este bloque virtualhost o configura el puerto 0 para desactivarlo.
<VirtualHost 192.168.1.24>
    Port                                    21
    TLSEngine                               off
</VirtualHost>
 
# Configuración FTPS.
<VirtualHost 192.168.1.24>
    Port                                    990
    TLSEngine                               on
    TLSOptions                              UseImplicitSSL

    #-----------------------------------------------------------------------
    # Configuración TLS
    #-----------------------------------------------------------------------

    TLSRSACertificateFile           /etc/pki/tls/certs/test.crt
    TLSRSACertificateKeyFile        /etc/pki/tls/certs/test.key
    TLSLog                          /var/log/proftpd_tls.log
    TLSVerifyClient                 off
    TLSRenegotiate                  none
    TLSRequired                     off
    TLSCipherSuite 		    HIGH:MEDIUM:+TLSv1:!SSLv2:+SSLv3
    TLSProtocol                     TLSv1 TLSv1.2
</VirtualHost></code>

Los usuarios con cuenta en el sistema ya podrían usar FTP/FTPS para conectar al servidor y visualizar su /home.

**Probar configuración FTP y FTPS desde la linea de comandos**.
<code>
## FTP (Puerto 21).

ftp 192.168.1.24 
Connected to 192.168.1.24.
220 ProFTPD 1.3.5e Server (ProFTPD Test server) [192.168.1.24]
Name (192.168.1.24:usuario): usuario
331 Password required for usuario
Password: 
230 User usuario logged in
Remote system type is UNIX.
Using binary mode to transfer files.
ftp> ls
200 PORT command successful
150 Opening ASCII mode data connection for file list
drwxr-xr-x   2 usuario  usuario         6 Mar 24 00:51 cacas
226 Transfer complete
ftp> quit
221 Goodbye.


## FTPS (Puerto 990).

lftp ftps://usuario@192.168.1.24:990
Password: 
lftp usuario@192.168.1.24:~> ls                  
drwxr-xr-x   2 usuario  usuario         6 Mar 24 00:51 cacas
</code>

Si el certificado es autofirmado o no confiable, lftp no conectará si no se desactiva la verificación de certificados. Se debe especificar "ssl:verify-certificate no".
<code bash>
echo "set ssl:verify-certificate no" >> ~/.lftp/rc
</code>