Kuinka asentaa ftp-palvelin vsftpd: n kanssa ubuntu 18.04: ssä

FTP (File Transfer Protocol) on standardi verkkoprotokolla, jota käytetään tiedostojen siirtämiseen etäverkkoon ja etäverkkoon. Käytä SCP: tä tai SFTP: tä varmistaaksesi turvallisemman ja nopeamman tiedonsiirron.

Linuxille on saatavana monia avoimen lähdekoodin FTP-palvelimia. Suosituimpia ja eniten käytettyjä ovat PureFTPd, ProFTPD ja vsftpd. Tässä opetusohjelmassa asennamme vsftpd: n (Erittäin turvallinen Ftp-Daemon). Se on vakaa, turvallinen ja nopea FTP-palvelin. Osoitamme sinulle myös kuinka määrittää vsftpd rajoittamaan käyttäjiä kotihakemistoonsa ja salaamaan koko lähetyksen SSL / TLS: llä.

Vaikka tämä opetusohjelma on kirjoitettu Ubuntu 18.04: lle, samat ohjeet koskevat Ubuntu 16.04: tä ja mitä tahansa Debian-pohjaista jakelua, mukaan lukien Debian, Linux Mint ja Elementary OS.

edellytykset

Ennen kuin jatkat tätä opetusohjelmaa, varmista, että olet kirjautunut sisään käyttäjänä, jolla on sudo-oikeudet.

Vsftpd: n asentaminen Ubuntu 18.04 -sovellukseen

Vsftpd-paketti on saatavana Ubuntun arkistoissa. Asenna se suorittamalla seuraavat komennot:

sudo apt update sudo apt install vsftpd

vsftpd-palvelu käynnistyy automaattisesti asennuksen valmistuttua. Varmista se tulostamalla palvelun tila:

sudo systemctl status vsftpd

Tulos näyttää alla olevalta, mikä osoittaa, että vsftpd-palvelu on aktiivinen ja käynnissä:

* vsftpd.service - vsftpd FTP server Loaded: loaded (/lib/systemd/system/vsftpd.service; enabled; vendor preset: enabled) Active: active (running) since Mon 2018-10-15 03:38:52 PDT; 10min ago Main PID: 2616 (vsftpd) Tasks: 1 (limit: 2319) CGroup: /system.slice/vsftpd.service `-2616 /usr/sbin/vsftpd /etc/vsftpd.conf

Konfigurointi vsftpd

Vsftpd-palvelin voidaan määrittää muokkaamalla /etc/vsftpd.conf-tiedostoa. Suurin osa asetuksista on dokumentoitu hyvin asetustiedoston sisällä. Kaikkia käytettävissä olevia vaihtoehtoja saat viralliselta vsftpd-sivulta.

Seuraavissa osissa käsittelemme joitain tärkeitä asetuksia, joita tarvitaan turvallisen vsftpd-asennuksen määrittämiseen.

Aloita avaamalla vsftpd-asetustiedosto:

sudo nano /etc/vsftpd.conf

1. FTP-käyttö

Sallimme pääsyn FTP-palvelimelle vain paikallisille käyttäjille, löydämme anonymous_enable ja local_enable direktiivit ja tarkistamme kokoonpanon vastaavan alla oleviin riveihin:

/etc/vsftpd.conf

anonymous_enable=NO local_enable=YES

2. Latausten salliminen

write_enable , jotta tiedostojärjestelmään voidaan tehdä muutoksia, kuten tiedostojen lähettäminen ja poistaminen.

/etc/vsftpd.conf

write_enable=YES

3. Chroot-vankila

Testaa chroot asetusta estämällä FTP-käyttäjiä pääsemästä tiedostoihin kotihakemistojensa ulkopuolella.

/etc/vsftpd.conf

chroot_local_user=YES

Oletusarvon mukaan suojaushaavoittuvuuden estämiseksi, kun chroot on käytössä, vsftpd kieltäytyy lähettämästä tiedostoja, jos käyttäjien lukittu hakemisto on kirjoitettavissa.

Käytä yhtä alla olevista tavoista sallia lataukset, kun chroot on käytössä.

• Tapa 1. - Suositeltu menetelmä lataamisen sallimiseksi on pitää chroot käytössä ja määrittää FTP-hakemistot. Tässä opetusohjelmassa luomme käyttäjän kotona ftp hakemiston, joka toimii chroot- ja kirjoitettavien lähetyshakemistojen tiedostojen lähettämistä varten.

  /etc/vsftpd.conf

  user_sub_token=$USER local_root=/home/$USER/ftp

  Tapa 2 - Toinen vaihtoehto on lisätä seuraava direktiivi vsftpd-määritystiedostoon. Käytä tätä vaihtoehtoa, jos käyttäjän on sallittava kirjoitettava käyttöoikeus käyttäjän kotihakemistoon.

  /etc/vsftpd.conf

  allow_writeable_chroot=YES

4. Passiiviset FTP-yhteydet

vsftpd voi käyttää mitä tahansa porttia passiivisiin FTP-yhteyksiin. Määritämme porttien vähimmäis- ja enimmäisalueet ja avaa myöhemmin alue palomuurissamme.

Lisää seuraavat rivit asetustiedostoon:

/etc/vsftpd.conf

pasv_min_port=30000 pasv_max_port=31000

5. Käyttäjän sisäänkirjautumisen rajoittaminen

Lisää seuraavat rivit tiedoston loppuun, jotta vain tietyt käyttäjät voivat kirjautua FTP-palvelimeen:

/etc/vsftpd.conf

userlist_enable=YES userlist_file=/etc/vsftpd.user_list userlist_deny=NO

Kun tämä vaihtoehto on käytössä, sinun on määritettävä nimenomaisesti, mitkä käyttäjät voivat kirjautua sisään lisäämällä käyttäjätunnukset /etc/vsftpd.user_list (yksi käyttäjä rivillä).

6. Lähetysten turvaaminen SSL / TLS: llä

FTP-lähetysten salaamiseksi SSL / TLS: llä sinulla on oltava SSL-varmenne ja määritettävä FTP-palvelin käyttämään sitä.

Voit käyttää olemassa olevaa luotettavan varmentajan allekirjoittamaa SSL-varmennetta tai luoda itse allekirjoitetun varmenteen.

openssl itse allekirjoitettu SSL-varmenne käyttämällä openssl komentoa.

Seuraava komento luo 2048-bittisen yksityisen avaimen ja itse allekirjoitetun varmenteen, joka on voimassa 10 vuotta. Sekä yksityinen avain että varmenne tallennetaan samaan tiedostoon:

sudo openssl req -x509 -nodes -days 3650 -newkey rsa:2048 -keyout /etc/ssl/private/vsftpd.pem -out /etc/ssl/private/vsftpd.pem

Kun SSL-varmenne on luotu, avaa vsftpd-asetustiedosto:

sudo nano /etc/vsftpd.conf

Etsi rsa_cert_file ja rsa_private_key_file -direktiivit, vaihda niiden arvot pam tiedostopolkuun ja aseta ssl_enable arvoksi YES :

/etc/vsftpd.conf

rsa_cert_file=/etc/ssl/private/vsftpd.pem rsa_private_key_file=/etc/ssl/private/vsftpd.pem ssl_enable=YES

Ellei toisin määritetä, FTP-palvelin käyttää suojattujen yhteyksien luomiseen vain TLS: ää.

Käynnistä vsftpd-palvelu uudelleen

Kun muokkaaminen on valmis, vsftpd-asetustiedoston (pois lukien kommentit) pitäisi näyttää noin:

/etc/vsftpd.conf

listen=NO listen_ipv6=YES anonymous_enable=NO local_enable=YES write_enable=YES dirmessage_enable=YES use_localtime=YES xferlog_enable=YES connect_from_port_20=YES chroot_local_user=YES secure_chroot_dir=/var/run/vsftpd/empty pam_service_name=vsftpd rsa_cert_file=/etc/ssl/private/vsftpd.pem rsa_private_key_file=/etc/ssl/private/vsftpd.pem ssl_enable=YES user_sub_token=$USER local_root=/home/$USER/ftp pasv_min_port=30000 pasv_max_port=31000 userlist_enable=YES userlist_file=/etc/vsftpd.user_list userlist_deny=NO

Tallenna tiedosto ja käynnistä vsftpd-palvelu uudelleen, jotta muutokset tulevat voimaan:

sudo systemctl restart vsftpd

Palomuurin avaaminen

Voit avata portin 21 (FTP-komentoportti), portin 20 (FTP-dataportti) ja 30000-31000 (passiivisten porttien alue) suorittamalla seuraavat komennot:

sudo ufw allow 20:21/tcp sudo ufw allow 30000:31000/tcp

Avaa portti 22 välttääksesi lukitusta:

sudo ufw allow OpenSSH

Lataa UFW-säännöt uudelleen poistamalla UFW käytöstä ja ottamalla se uudelleen käyttöön:

sudo ufw disable sudo ufw enable

Suoritettujen muutosten tarkistaminen:

sudo ufw status

Status: active To Action From -- ------ ---- 20:21/tcp ALLOW Anywhere 30000:31000/tcp ALLOW Anywhere OpenSSH ALLOW Anywhere 20:21/tcp (v6) ALLOW Anywhere (v6) 30000:31000/tcp (v6) ALLOW Anywhere (v6) OpenSSH (v6) ALLOW Anywhere (v6)

FTP-käyttäjän luominen

FTP-palvelimen testaamiseksi luomme uuden käyttäjän.

• Jos sinulla on jo käyttäjä, jonka haluat myöntää FTP-käyttöoikeuden, ohita ensimmäinen vaihe. Jos asetat allow_writeable_chroot=YES , ohita kolmas vaihe.

1. Luo uusi käyttäjä nimeltä newftpuser :

   sudo adduser newftpuser

   Lisää käyttäjä sallittujen FTP-käyttäjien luetteloon:

   echo "newftpuser" | sudo tee -a /etc/vsftpd.user_list

   Luo FTP-hakemistopuu ja aseta oikeat käyttöoikeudet:

   sudo mkdir -p /home/newftpuser/ftp/upload sudo chmod 550 /home/newftpuser/ftp sudo chmod 750 /home/newftpuser/ftp/upload sudo chown -R newftpuser: /home/newftpuser/ftp

   Kuten edellisessä osassa kerrottiin, käyttäjä voi lähettää tiedostot ftp/upload hakemistoon.

Tässä vaiheessa FTP-palvelimesi on täysin toimiva ja sinun pitäisi voida muodostaa yhteys palvelimeesi millä tahansa FTP-asiakkaalla, joka voidaan määrittää käyttämään TLS-salausta, kuten FileZilla.

Poista Shell Access käytöstä

Oletuksena, jos käyttäjä luodaan, jos käyttäjällä ei ole nimenomaista määritelmää, hänellä on SSH-yhteys palvelimelle.

Kuoriyhteyden poistamiseksi käytöstä luomme uuden kuoren, joka tulostaa yksinkertaisesti viestin, joka kertoo käyttäjälle, että hänen tilinsä on rajoitettu vain FTP-käyttöoikeuksiin.

Luo /bin/ftponly kuori ja tee siitä suoritettava:

echo -e '#!/bin/sh\necho "This account is limited to FTP access only."' | sudo tee -a /bin/ftponly echo -e '#!/bin/sh\necho "This account is limited to FTP access only."' | sudo tee -a /bin/ftponly sudo chmod a+x /bin/ftponly

Lisää uusi kuori kelvollisten kuorien luetteloon tiedostoon /etc/shells :

echo "/bin/ftponly" | sudo tee -a /etc/shells

Muuta käyttäjän kuori muotoon /bin/ftponly :

sudo usermod newftpuser -s /bin/ftponly

Käytä samaa komentoa muuttaaksesi kaikkien niiden käyttäjien kuoren, joille haluat antaa vain FTP-pääsyn.

johtopäätös

Tässä opetusohjelmassa opit kuinka asentaa ja määrittää turvallinen ja nopea FTP-palvelin Ubuntu 18.04 -järjestelmään.

ftp ubuntu