В этой статье описывается, как установить и настроить FTP-сервер в Ubuntu 20.04, который вы используете для обмена файлами между вашими устройствами.
FTP (протокол передачи файлов) - это стандартный сетевой протокол, используемый для передачи файлов в удаленную сеть и из нее. Для Linux доступно несколько FTP-серверов с открытым исходным кодом. Наиболее известны и широко используются PureFTPd, ProFTPD и vsftpd . Мы будем устанавливать vsftpd (Very Secure Ftp Daemon), стабильный, безопасный и быстрый FTP-сервер. Мы также покажем вам, как настроить сервер, чтобы ограничить пользователей их домашним каталогом и зашифровать всю передачу с помощью SSL / TLS.
Хотя FTP - очень популярный протокол, для более безопасной и быстрой передачи данных следует использовать SCP или SFTP .
Установка vsftpd на Ubuntu 20.04 #
Пакет vsftpd доступен в репозиториях Ubuntu. Для его установки выполните следующие команды:
sudo apt update
sudo apt установить vsftpd
Служба ftp автоматически запустится после завершения процесса установки. Чтобы проверить это, распечатайте статус службы:
sudo systemctl статус vsftpd
Вывод должен показать, что служба vsftpd активна и работает:
● vsftpd.service - FTP-сервер vsftpd Загружено: загружено (/ lib / systemd / system / vsftpd.услуга; включено; предустановка поставщика: активировано) Активно: активно (работает) с вторника 2021-03-02 15:17:22 UTC; 3 сек назад…
Настройка vsftpd #
Конфигурация сервера vsftpd хранится в / и т.д. / vsftpd.conf
файл.
Большинство настроек сервера хорошо документированы внутри файла. Чтобы узнать обо всех доступных вариантах, посетите страницу документации vsftpd.
В следующих разделах мы рассмотрим некоторые важные настройки, необходимые для настройки безопасной установки vsftpd.
Начните с открытия файла конфигурации vsftpd:
судо нано / и т. д. / vsftpd.conf
1. Доступ по FTP #
Мы разрешим доступ к FTP-серверу только локальным пользователям. Искать anonymous_enable
а также local_enable
директивы и убедитесь, что ваша конфигурация соответствует строкам ниже:
anonymous_enable = НЕТ local_enable = ДА
2. Включение загрузки #
Найдите и раскомментируйте write_enable
директива, разрешающая изменения файловой системы, такие как загрузка и удаление файлов:
write_enable = ДА
3. Chroot jail #
Чтобы предотвратить доступ локальных пользователей FTP к файлам за пределами их домашних каталогов, раскомментируйте строку lne, начинающуюся с chroot_local_user
:
chroot_local_user = ДА
По умолчанию из соображений безопасности, когда включен chroot, vsftpd откажется загружать файлы, если каталог, в котором заблокированы пользователи, доступен для записи.
Используйте одно из приведенных ниже решений, чтобы разрешить загрузку при включенном chroot:
Способ 1. - Рекомендуемый вариант - оставить включенной функцию chroot и настроить каталоги FTP. В этом примере мы создадим
/ и т.д. / vsftpd.confftp
каталог внутри дома пользователя, который будет служить chroot и доступным для записизагружает
каталог для загрузки файлов:user_sub_token = $ USER local_root = / home / $ USER / ftp
Способ 2. - Другой вариант - включить
/ и т.д. / vsftpd.confallow_writeable_chroot
директива:allow_writeable_chroot = ДА
Используйте эту опцию только в том случае, если вы должны предоставить своему пользователю доступ с правом записи к его домашнему каталогу.
4. Пассивные FTP-соединения #
По умолчанию vsftpd использует активный режим. Чтобы использовать пассивный режим, установите минимальный и максимальный диапазон портов:
/ и т.д. / vsftpd.confpasv_min_port = 30000 pasv_max_port = 31000
Вы можете использовать любой порт для пассивных FTP-соединений. Когда пассивный режим включен, FTP-клиент открывает соединение с сервером на случайном порте в выбранном вами диапазоне.
5. Ограничение входа пользователя #
Вы можете настроить vsftpd, чтобы разрешить вход только определенным пользователям. Для этого добавьте в конец файла следующие строки:
/ и т.д. / vsftpd.confuserlist_enable = ДА userlist_file = / etc / vsftpd.user_list userlist_deny = НЕТ
Когда этот параметр включен, вам необходимо явно указать, какие пользователи могут входить в систему, добавив имена пользователей в / и т.д. / vsftpd.user_list
файл (по одному пользователю в строке).
6. Защита передачи с помощью SSL / TLS #
Чтобы зашифровать FTP-передачу с помощью SSL / TLS, вам потребуется сертификат SSL и настроить FTP-сервер для его использования.
Вы можете использовать существующий сертификат SSL, подписанный доверенным центром сертификации, или создать самозаверяющий сертификат.
Если у вас есть домен или поддомен, указывающий на IP-адрес FTP-сервера, вы можете быстро сгенерировать бесплатный SSL-сертификат Let's Encrypt.
Мы сгенерируем 2048-битный закрытый ключ и самозаверяющий SSL-сертификат, который будет действителен в течение десяти лет:
sudo openssl req -x509 -nodes -days 3650 -newkey rsa: 2048 -keyout / etc / ssl / private / vsftpd.pem -out / и т.д. / SSL / частный / vsftpd.pem
И закрытый ключ, и сертификат будут сохранены в одном файле.
После создания SSL-сертификата откройте файл конфигурации vsftpd:
судо нано / и т.д. / vsftpd.conf
Найти rsa_cert_file
а также rsa_private_key_file
директивы, измените их значения на пам
путь к файлу и установите ssl_enable
директива к ДА
:
rsa_cert_file = / и т.д. / SSL / частный / vsftpd.pem rsa_private_key_file = / и т.д. / SSL / частный / vsftpd.pem ssl_enable = ДА
Если не указано иное, FTP-сервер будет использовать только TLS для безопасных подключений.
Перезапустите службу vsftpd #
Когда вы закончите редактирование, конфигурационный файл vsftpd (без комментариев) должен выглядеть примерно так:
/ и т.д. / vsftpd.conflisten = NO listen_ipv6 = YES anonymous_enable = NO local_enable = YES write_enable = YES dirmessage_enable = YES use_localtime = YES xferlog_enable = YES connect_from_port_20 = YES chroot_local_user = YES secure_chroot_dir = / var / run / run_chroot_dir = / var / run / частный / vsftpd.pem rsa_private_key_file = / и т.д. / SSL / частный / vsftpd.pem ssl_enable = ДА user_sub_token = $ USER local_root = / home / $ USER / ftp pasv_min_port = 30000 pasv_max_port = 31000 userlist_enable = YES userlist_file = / etc / vsftpd.user_list userlist_deny = НЕТ
Сохраните файл и перезапустите службу vsftpd, чтобы изменения вступили в силу:
sudo systemctl перезапуск vsftpd
Открытие брандмауэра #
Если вы используете брандмауэр UFW, вам необходимо разрешить FTP-трафик.
Чтобы открыть порт 21 год
(Командный порт FTP), порт 20
(Порт данных FTP) и 30000–31000
(Диапазон пассивных портов) выполните следующие команды:
sudo ufw разрешить 20: 21 / tcp
sudo ufw разрешить 30000: 31000 / tcp
Чтобы избежать блокировки, убедитесь, что порт 22
открыто:
sudo ufw разрешить OpenSSH
Перезагрузите правила UFW, отключив и снова включив UFW:
sudo ufw отключить
sudo ufw enable
Чтобы проверить запуск изменений:
sudo ufw статус
Статус: активно К действию От - ------ ---- 20: 21 / tcp ALLOW Anywhere 30000: 31000 / tcp ALLOW Anywhere OpenSSH ALLOW Anywhere 20: 21 / tcp (v6) ALLOW Anywhere (v6) 30000: 31000 / tcp (v6) РАЗРЕШИТЬ Anywhere (v6) OpenSSH (v6) РАЗРЕШИТЬ Anywhere (v6)
Создание пользователя FTP #
Чтобы протестировать FTP-сервер, мы создадим нового пользователя.
- Если пользователь, которому вы хотите предоставить доступ по FTP, уже существует, пропустите 1-й шаг.
- Если вы установите
allow_writeable_chroot = ДА
в вашем файле конфигурации пропустите 3-й шаг.
Создайте нового пользователя с именем
newftpuser
:sudo adduser newftpuser
Добавьте пользователя в список разрешенных пользователей FTP:
эхо "newftpuser" | sudo tee -a / etc / vsftpd.user_list
Создайте дерево каталогов FTP и установите правильные разрешения:
sudo mkdir -p / home / newftpuser / ftp / загрузка
sudo chmod 550 / главная / newftpuser / ftp
sudo chmod 750 / главная / newftpuser / ftp / upload
sudo chown -R новыйftpuser: / home / newftpuser / ftp
Как обсуждалось в предыдущем разделе, пользователь сможет загружать свои файлы в
ftp / upload
каталог.
На этом этапе ваш FTP-сервер полностью функционален. У вас должна быть возможность подключиться к серверу с помощью любого FTP-клиента, который можно настроить для использования шифрования TLS, например FileZilla .
Отключение доступа к оболочке #
По умолчанию при создании пользователя, если это не указано явно, у пользователя будет SSH-доступ к серверу. Чтобы отключить доступ к оболочке, создайте новую оболочку, которая будет печатать сообщение, сообщающее пользователю, что его учетная запись ограничена только доступом по FTP.
Выполните следующие команды, чтобы создать / bin / ftponly
файл и сделайте его исполняемым:
echo -e '#!/ bin / sh \ necho "Эта учетная запись ограничена только доступом по FTP."'| sudo tee -a / bin / ftponly
sudo chmod a + x / bin / ftponly
Добавить новую оболочку в список допустимых оболочек в / и т.д. / оболочки
файл:
echo "/ bin / ftponly" | sudo tee -a / etc / shells
Измените оболочку пользователя на / bin / ftponly
:
sudo usermod newftpuser -s / bin / ftponly
Вы можете использовать ту же команду, чтобы изменить оболочку всех пользователей, которым вы хотите предоставить только FTP-доступ.
Заключение #
Мы показали вам, как установить и настроить безопасный и быстрый FTP-сервер на вашем Ubuntu 20.04 система.
Если у вас есть какие-либо вопросы или отзывы, не стесняйтесь оставлять комментарии.