Как настроить FTP-сервер с VSFTPD в Ubuntu

Скачать Как настроить FTP-сервер с VSFTPD в Ubuntu
Недавно искали:

Itnull

Команда форума
Администратор
Регистрация
22.05.13
Сообщения
25.569
Реакции
9.516
Веб-сайт
itnull.me
  • Автор темы
  • Администратор
  • Модер.
  • Команда форума
  • #1

Установка vsftpd на Ubuntu 20.04​

Пакет vsftpd доступен в репозиториях Ubuntu. Для его установки выполните следующие команды:

Код:
sudo apt updatesudo apt install vsftpd
Служба ftp автоматически запустится после завершения процесса установки. Чтобы проверить это, распечатайте статус службы:

Код:
sudo systemctl status vsftpd
Вывод должен показать, что служба vsftpd активна и работает:

Код:
● vsftpd.service - vsftpd FTP server
     Loaded: loaded (/lib/systemd/system/vsftpd.service; enabled; vendor preset: enabled)
     Active: active (running) since Tue 2021-03-02 15:17:22 UTC; 3s ago


Настройка vsftpd​

Конфигурация сервера vsftpd хранится в файле /etc/vsftpd.conf

Большинство настроек сервера хорошо документированы внутри файла. Чтобы узнать обо всех доступных вариантах, посетите страницу документации vsftpd.

В следующих разделах мы рассмотрим некоторые важные настройки, необходимые для настройки безопасной установки vsftpd.

Начните с открытия файла конфигурации vsftpd:

Код:
sudo nano /etc/vsftpd.conf

1. Доступ по FTP​

Мы разрешим доступ к FTP-серверу только локальным пользователям. Найдите anonymous_enable и local_enable и убедитесь, что ваша конфигурация соответствует приведенным ниже строкам:

Код:
/etc/vsftpd.conf
anonymous_enable=NO
local_enable=YES

2. Включение загрузки​

Найдите и раскомментируйте write_enable чтобы разрешить изменения файловой системы, такие как загрузка и удаление файлов:

Код:
/etc/vsftpd.conf
write_enable=YES

3. Chroot jail​

Чтобы предотвратить доступ локальных пользователей FTP к файлам за пределами их домашних каталогов, раскомментируйте строку lne, начинающуюся с chroot_local_user :

Код:
/etc/vsftpd.conf
chroot_local_user=YES
По умолчанию из соображений безопасности, когда chroot включен, vsftpd откажется загружать файлы, если каталог, в котором заблокированы пользователи, доступен для записи.

Используйте одно из приведенных ниже решений, чтобы разрешить загрузку при включенном chroot:

  • Метод 1.— Рекомендуемый вариант — оставить включенной функцию chroot и настроить каталоги FTP. В этом примере мы создадим ftp внутри дома пользователя, который будет служить uploads каталогом и каталогом загрузки с возможностью записи для загрузки файлов:
    /etc/vsftpd.conf
    Код:
    user_sub_token = $USER local_root = /home/$USER/ftp
  • Метод 2.Другой вариант — включить директиву allow_writeable_chroot
    /etc/vsftpd.conf
    Код:
    allow_writeable_chroot = YES
    Используйте эту опцию, только если вы должны предоставить своему пользователю доступ с правом записи к его домашнему каталогу.

4. Пассивные FTP-соединения.​

По умолчанию vsftpd использует активный режим. Чтобы использовать пассивный режим, установите минимальный и максимальный диапазон портов:

/etc/vsftpd.conf
Код:
pasv_min_port=30000
pasv_max_port=31000
Вы можете использовать любой порт для пассивных FTP-соединений. Когда пассивный режим включен, FTP-клиент открывает соединение с сервером через случайный порт в выбранном вами диапазоне.

5. Ограничение входа пользователя​

Вы можете настроить vsftpd, чтобы разрешить вход только определенным пользователям. Для этого добавьте следующие строки в конец файла:

/etc/vsftpd.conf
Код:
userlist_enable=YES
userlist_file=/etc/vsftpd.user_list
userlist_deny=NO
Когда этот параметр включен, вам необходимо явно указать, какие пользователи могут входить в систему, добавив имена пользователей в /etc/vsftpd.user_list (по одному пользователю в строке).

6. Защита передачи с помощью SSL / TLS​

Чтобы зашифровать передачи FTP с помощью SSL / TLS, вам потребуется сертификат SSL и настроить FTP-сервер для его использования.

Вы можете использовать существующий сертификат SSL, подписанный доверенным центром сертификации, или создать самозаверяющий сертификат.

Если у вас есть домен или поддомен, указывающий на IP-адрес FTP-сервера, вы можете быстро сгенерировать бесплатный SSL-сертификат Let’s Encrypt.

Мы сгенерируем 2048-битный закрытый ключ и самозаверяющий SSL-сертификат, который будет действителен в течение десяти лет:

Код:
sudo openssl req -x509 -nodes -days 3650 -newkey rsa:2048 -keyout /etc/ssl/private/vsftpd.pem -out /etc/ssl/private/vsftpd.pem
И закрытый ключ, и сертификат будут сохранены в одном файле.

После создания SSL-сертификата откройте файл конфигурации vsftpd:

Код:
sudo nano /etc/vsftpd.conf
Найти rsa_cert_file и rsa_private_key_file директивы, изменить их значения на pam путь к файлу и установите ssl_enable директиву YES :

/etc/vsftpd.conf
Код:
rsa_cert_file=/etc/ssl/private/vsftpd.pem
rsa_private_key_file=/etc/ssl/private/vsftpd.pem
ssl_enable=YES
Если не указано иное, FTP-сервер будет использовать только TLS для безопасных подключений.

Перезапустите службу vsftpd​

Когда вы закончите редактирование, конфигурационный файл vsftpd (без комментариев) должен выглядеть примерно так:

/etc/vsftpd.conf
Код:
listen=NO
listen_ipv6=YES
anonymous_enable=NO
local_enable=YES
write_enable=YES
dirmessage_enable=YES
use_localtime=YES
xferlog_enable=YES
connect_from_port_20=YES
chroot_local_user=YES
secure_chroot_dir=/var/run/vsftpd/empty
pam_service_name=vsftpd
rsa_cert_file=/etc/ssl/private/vsftpd.pem
rsa_private_key_file=/etc/ssl/private/vsftpd.pem
ssl_enable=YES
user_sub_token=$USER
local_root=/home/$USER/ftp
pasv_min_port=30000
pasv_max_port=31000
userlist_enable=YES
userlist_file=/etc/vsftpd.user_list
userlist_deny=NO
Сохраните файл и перезапустите службу vsftpd, чтобы изменения вступили в силу:

Код:
sudo systemctl restart vsftpd

Открытие брандмауэра​

Если вы используете брандмауэр UFW , вам необходимо разрешить FTP-трафик.

Чтобы открыть порт 21 (командный порт FTP), порт 20 (порт данных FTP) и 30000-31000 (диапазон пассивных портов), выполните следующие команды:

Код:
sudo ufw allow 20:21/tcpsudo ufw allow 30000:31000/tcp
Чтобы избежать блокировки, убедитесь, что порт 22 открыт:

Код:
sudo ufw allow OpenSSH
Перезагрузите правила UFW, отключив и снова включив UFW:

Код:
sudo ufw disablesudo ufw enable
Чтобы проверить изменения, выполните:

Код:
sudo ufw status
Status: active

To                         Action      From
--                         ------      ----
20:21/tcp                  ALLOW       Anywhere
30000:31000/tcp            ALLOW       Anywhere
OpenSSH                    ALLOW       Anywhere
20:21/tcp (v6)             ALLOW       Anywhere (v6)
30000:31000/tcp (v6)       ALLOW       Anywhere (v6)
OpenSSH (v6)               ALLOW       Anywhere (v6)

Создание пользователя FTP​

Чтобы протестировать FTP-сервер, мы создадим нового пользователя.

  • Если пользователь, которому вы хотите предоставить доступ по FTP, уже существует, пропустите 1-й шаг.
  • Если вы установили allow_writeable_chroot=YES в своем файле конфигурации, пропустите 3-й шаг.
  1. Создайте нового пользователя с именем newftpuser :sudo adduser newftpuser
  2. Добавьте пользователя в список разрешенных пользователей FTP:
  3. Код:
    echo "newftpuser" | sudo tee -a /etc/vsftpd.user_list
  4. Создайте дерево каталогов FTP и установите правильные разрешения :
    Код:
    sudo mkdir -p /home/newftpuser/ftp/uploadsudo chmod 550 /home/newftpuser/ftp
    sudo chmod 750 /home/newftpuser/ftp/upload
    sudo chown -R newftpuser: /home/newftpuser/ftp

  5. Как обсуждалось в предыдущем разделе, пользователь сможет загружать свои файлы в каталог ftp/upload
На этом этапе ваш FTP-сервер полностью готов к работе. У вас должна быть возможность подключиться к серверу с помощью любого FTP-клиента, который можно настроить для использования шифрования TLS, например FileZilla .

Отключение доступа к оболочке​

По умолчанию при создании пользователя, если это не указано явно, у пользователя будет SSH-доступ к серверу. Чтобы отключить доступ к оболочке, создайте новую оболочку, которая будет печатать сообщение, сообщающее пользователю, что его учетная запись ограничена только доступом по FTP.

Выполните следующие команды, чтобы создать /bin/ftponly и сделать его исполняемым:

Код:
echo -e '#!/bin/shnecho "This account is limited to FTP access only."' | sudo tee -a  /bin/ftponlysudo chmod a+x /bin/ftponly
Добавьте новую оболочку в список допустимых оболочек в /etc/shells :

Код:
echo "/bin/ftponly" | sudo tee -a /etc/shells
Измените оболочку пользователя на /bin/ftponly :

Код:
sudo usermod newftpuser -s /bin/ftponly
Вы можете использовать ту же команду, чтобы изменить оболочку всех пользователей, которым вы хотите предоставить только FTP-доступ.
 
Последнее редактирование:
Назад
Сверху Снизу