Как настроить FTP-сервер с VSFTPD на CentOS 7

Скачать Как настроить FTP-сервер с VSFTPD на CentOS 7
Недавно искали:

Itnull

Команда форума
Администратор
Регистрация
22.05.13
Сообщения
25.569
Реакции
9.516
Веб-сайт
itnull.me
  • Автор темы
  • Администратор
  • Модер.
  • Команда форума
  • #1

Установка vsftpd на CentOS 7​

Пакет vsftpd доступен в репозиториях CentOS по умолчанию. Чтобы установить его, выполните следующую команду:
Код:
sudo yum install vsftpd
После установки пакета запустите демон vsftpd и включите его автоматический запуск во время загрузки:
Код:
sudo systemctl start vsftpdsudo systemctl enable vsftpd
Вы можете проверить, что служба vsftpd запущена, распечатав ее статус:
Код:
sudo systemctl status vsftpd
Результат будет выглядеть примерно так, как показано ниже, показывая, что служба vsftpd активна и работает:
Код:
● vsftpd.service - Vsftpd ftp daemon
Loaded: loaded (/usr/lib/systemd/system/vsftpd.service; enabled; vendor preset: disabled)
Active: active (running) since Thu 2018-11-22 09:42:37 UTC; 6s ago
Main PID: 29612 (vsftpd)
CGroup: /system.slice/vsftpd.service
└─29612 /usr/sbin/vsftpd /etc/vsftpd/vsftpd.conf


Настройка vsftpd​

Настройка службы vsftpd включает редактирование файла конфигурации /etc/vsftpd/vsftpd.conf . Большинство настроек хорошо документированы в файле конфигурации. Чтобы узнать обо всех доступных вариантах, посетите официальную страницу vsftpd .
В следующих разделах мы рассмотрим некоторые важные настройки, необходимые для настройки безопасной установки vsftpd.
Начните с открытия файла конфигурации vsftpd:
Код:
sudo nano /etc/vsftpd/vsftpd.conf

1. Доступ по FTP​

Мы разрешим доступ к FTP-серверу только локальным пользователям, найдем директивы anonymous_enable и local_enable и проверим соответствие вашей конфигурации приведенным ниже строкам:
/etc/vsftpd/vsftpd.conf
Код:
anonymous_enable=NO
local_enable=YES


2. Включение загрузки​

write_enable параметр write_enable чтобы разрешить изменения файловой системы, такие как загрузка и удаление файлов.
/etc/vsftpd/vsftpd.conf
Код:
write_enable=YES

3. Chroot Jail​

Предотвратите доступ пользователей FTP к любым файлам за пределами их домашних каталогов, раскомментировав директиву chroot .
/etc/vsftpd/vsftpd.conf
Код:
chroot_local_user=YES

По умолчанию, когда включен chroot, vsftpd откажется загружать файлы, если каталог, в котором заблокированы пользователи, доступен для записи. Это сделано для предотвращения уязвимости системы безопасности.
Используйте один из приведенных ниже методов, чтобы разрешить загрузку при включенном chroot.
  • Метод 1. — Рекомендуемый метод разрешить загрузку — оставить chroot включенным и настроить каталоги FTP. В этом руководстве мы создадим каталог ftp внутри дома пользователя, который будет служить uploads каталогом и каталогом загрузки с возможностью записи для загрузки файлов.
    /etc/vsftpd/vsftpd.conf
    Код:
    user_sub_token = $USER local_root = /home/$USER/ftp
  • Метод 2. Другой вариант — добавить следующую директиву в файл конфигурации vsftpd. Используйте эту опцию, если вам необходимо предоставить пользователю доступ с правом записи к его домашнему каталогу.
    /etc/vsftpd/vsftpd.conf
    Код:
    allow_writeable_chroot = YES

4. Пассивные FTP-соединения​

vsftpd может использовать любой порт для пассивных FTP-соединений. Мы укажем минимальный и максимальный диапазон портов, а затем откроем диапазон в нашем брандмауэре.
Добавьте в файл конфигурации следующие строки:
/etc/vsftpd/vsftpd.conf
Код:
pasv_min_port=30000
pasv_max_port=31000


5. Ограничение входа пользователя​

Чтобы разрешить только определенным пользователям входить на FTP-сервер, добавьте следующие строки после строки userlist_enable=YES :
/etc/vsftpd/vsftpd.conf
Код:
userlist_file=/etc/vsftpd/user_list
userlist_deny=NO


Когда этот параметр включен, вам необходимо явно указать, какие пользователи могут входить в систему, добавив имена пользователей в файл /etc/vsftpd/user_list (по одному пользователю на строку).

6. Защита передачи с помощью SSL / TLS​

Чтобы зашифровать FTP-передачу с помощью SSL / TLS, вам потребуется сертификат SSL и настроить FTP-сервер для его использования.
Вы можете использовать существующий сертификат SSL, подписанный доверенным центром сертификации, или создать самозаверяющий сертификат.
Если у вас есть домен или поддомен, указывающий на IP-адрес FTP-сервера, вы можете легко создать бесплатный SSL-сертификат Let's Encrypt .
В этом руководстве мы создадим самозаверяющий сертификат SSL с помощью команды openssl .
Следующая команда создаст 2048-битный закрытый ключ и самозаверяющий сертификат, действительный в течение 10 лет. И закрытый ключ, и сертификат будут сохранены в одном файле:
Код:
sudo openssl req -x509 -nodes -days 3650 -newkey rsa:2048 -keyout /etc/vsftpd/vsftpd.pem -out /etc/vsftpd/vsftpd.pem
После создания SSL-сертификата откройте файл конфигурации vsftpd:
Код:
sudo nano /etc/vsftpd/vsftpd.conf
Найти rsa_cert_file и rsa_private_key_file директивы, изменить их значения на pam путь к файлу и установите ssl_enable директиву YES :
/etc/vsftpd/vsftpd.conf
Код:
rsa_cert_file=/etc/vsftpd/vsftpd.pem
rsa_private_key_file=/etc/vsftpd/vsftpd.pem
ssl_enable=YES


Если не указано иное, FTP-сервер будет использовать только TLS для безопасных соединений.

Перезапустите службу vsftpd​

После того, как вы закончите редактирование, конфигурационный файл vsftpd (без комментариев) должен выглядеть примерно так:
/etc/vsftpd/vsftpd.conf
Код:
anonymous_enable=NO
local_enable=YES
write_enable=YES
local_umask=022
dirmessage_enable=YES
xferlog_enable=YES
connect_from_port_20=YES
xferlog_std_format=YES
chroot_local_user=YES
listen=NO
listen_ipv6=YES
pam_service_name=vsftpd
userlist_enable=YES
userlist_file=/etc/vsftpd/user_list
userlist_deny=NO
tcp_wrappers=YES
user_sub_token=$USER
local_root=/home/$USER/ftp
pasv_min_port=30000
pasv_max_port=31000
rsa_cert_file=/etc/vsftpd/vsftpd.pem
rsa_private_key_file=/etc/vsftpd/vsftpd.pem
ssl_enable=YES


Сохраните файл и перезапустите службу vsftpd, чтобы изменения вступили в силу:
sudo systemctl restart vsftpd

Открытие брандмауэра​

Если вы используете брандмауэр, вам необходимо разрешить FTP-трафик.
Чтобы открыть порт 21 (командный порт FTP), порт 20 (порт данных FTP) и 30000-31000 (диапазон пассивных портов), 30000-31000 следующие команды:
Код:
sudo firewall-cmd --permanent --add-port=20-21/tcpsudo firewall-cmd --permanent --add-port=30000-31000/tcp
Перезагрузите правила брандмауэра, набрав:
Код:
firewall-cmd --reload

Создание пользователя FTP​

Чтобы протестировать наш FTP-сервер, мы создадим нового пользователя.
  • Если у вас уже есть пользователь, которому вы хотите предоставить доступ по FTP, пропустите 1-й шаг.
  • Если вы установили
    Код:
    allow_writeable_chroot=YES
    в вашем файле конфигурации, пропустите 3-й шаг.
  1. Создайте нового пользователя с именем newftpuser :
    Код:
    sudo adduser newftpuser
    Далее вам необходимо установить пароль пользователя :
    sudo passwd newftpuser
  2. Добавьте пользователя в список разрешенных пользователей FTP:
    Код:
    echo "newftpuser" | sudo tee -a /etc/vsftpd/user_list
  3. Создайте дерево каталогов FTP и установите правильные разрешения :
    Код:
    sudo mkdir -p /home/newftpuser/ftp/upload sudo chmod 550 /home/newftpuser/ftp sudo chmod 750 /home/newftpuser/ftp/upload sudo chown -R newftpuser: /home/newftpuser/ftp
    Как обсуждалось в предыдущем разделе, пользователь сможет загружать свои файлы в каталог ftp/upload .
На этом этапе ваш FTP-сервер полностью функционален, и вы должны иметь возможность подключиться к своему серверу с помощью любого FTP-клиента, который может быть настроен для использования шифрования TLS, например FileZilla .

Отключение доступа к оболочке​

По умолчанию при создании пользователя, если это не указано явно, у пользователя будет SSH-доступ к серверу.
Чтобы отключить доступ к оболочке, мы создадим новую оболочку, которая просто напечатает сообщение, сообщающее пользователю, что его учетная запись ограничена только доступом по FTP.
Выполните следующие команды, чтобы создать оболочку /bin/ftponly и сделать ее исполняемой:
Код:
echo -e '#!/bin/shnecho "This account is limited to FTP access only."' | sudo tee -a /bin/ftponlysudo chmod a+x /bin/ftponly
Добавьте новую оболочку в список допустимых оболочек в /etc/shells :
Код:
echo "/bin/ftponly" | sudo tee -a /etc/shells
Измените оболочку пользователя на /bin/ftponly :
Код:
sudo usermod newftpuser -s /bin/ftponly
Используйте ту же команду, чтобы изменить оболочку для других пользователей, которым вы хотите предоставить только доступ по FTP.
 
Назад
Сверху Снизу