How to install #ftp server centos 7
Оглавление:
- Предпосылки
- Установка vsftpd на CentOS 7
- Конфигурирование vsftpd
- 1. FTP доступ
- 2. Включение загрузки
- 3. Тюремная тюрьма
- 4. Пассивные FTP-соединения
- 5. Ограничение входа пользователя
- 6. Защита передач с помощью SSL / TLS
- Перезапустите службу vsftpd
- Открытие брандмауэра
- Создание пользователя FTP
- Отключение Shell Shell Access
- Вывод
FTP (File Transfer Protocol) - это стандартный клиент-серверный сетевой протокол, который позволяет пользователям передавать файлы в удаленную сеть и из нее.
Для Linux доступно несколько FTP-серверов с открытым исходным кодом. Наиболее популярными и широко используемыми являются PureFTPd, ProFTPD и vsftpd.
В этом руководстве мы будем устанавливать vsftpd (Very Secure Ftp Daemon) на CentOS 7. Это стабильный, безопасный и быстрый FTP-сервер. Мы также покажем вам, как настроить vsftpd, чтобы ограничить пользователей их домашним каталогом и зашифровать всю передачу с помощью SSL / TLS.
Для более безопасной и быстрой передачи данных используйте SCP или SFTP.
Предпосылки
Прежде чем продолжить этот урок, убедитесь, что вы вошли в систему как пользователь с привилегиями sudo.
Установка vsftpd на CentOS 7
Пакет vsftpd доступен в репозиториях CentOS по умолчанию. Чтобы установить его, введите следующую команду:
sudo yum install vsftpd
После установки пакета запустите демон vsftpd и включите его автоматический запуск во время загрузки:
sudo systemctl start vsftpd
sudo systemctl enable vsftpd
Вы можете убедиться, что служба vsftpd запущена, напечатав ее статус:
sudo systemctl status vsftpd
Вывод будет выглядеть примерно так, как показано ниже, показывая, что служба vsftpd активна и работает:
● vsftpd.service - Vsftpd ftp daemon Loaded: loaded (/usr/lib/systemd/system/vsftpd.service; enabled; vendor preset: disabled) Active: active (running) since Thu 2018-11-22 09:42:37 UTC; 6s ago Main PID: 29612 (vsftpd) CGroup: /system.slice/vsftpd.service └─29612 /usr/sbin/vsftpd /etc/vsftpd/vsftpd.conf
Конфигурирование vsftpd
Настройка службы vsftpd включает редактирование файла конфигурации
/etc/vsftpd/vsftpd.conf
. Большинство настроек хорошо задокументированы в файле конфигурации. Для всех доступных вариантов посетите официальную страницу vsftpd.
В следующих разделах мы рассмотрим некоторые важные параметры, необходимые для настройки безопасной установки vsftpd.
Начните с открытия файла конфигурации vsftpd:
sudo nano /etc/vsftpd/vsftpd.conf
1. FTP доступ
Мы разрешим доступ к FTP-серверу только локальным пользователям, найдем директивы
anonymous_enable
и
local_enable
и проверим соответствие вашей конфигурации следующим строкам:
anonymous_enable=NO local_enable=YES
2. Включение загрузки
write_enable
параметр
write_enable
чтобы разрешить изменения в файловой системе, такие как загрузка и удаление файлов.
3. Тюремная тюрьма
Запретить пользователям FTP доступ к любым файлам за пределами их домашних каталогов, раскомментировав директиву
chroot
.
chroot_local_user=YES
По умолчанию, когда chroot включен, vsftpd откажется загружать файлы, если каталог, в котором заблокированы пользователи, доступен для записи. Это сделано для предотвращения уязвимости безопасности.
Используйте один из методов ниже, чтобы разрешить загрузку, когда включен chroot.
-
Способ 1. - Рекомендуемый способ разрешить загрузку - оставить chroot включенным и настроить каталоги FTP. В этом уроке мы создадим каталог
/etc/vsftpd/vsftpd.confftpвнутри дома пользователя, который будет служить chroot и записываемым каталогом для загрузки файлов.user_sub_token=$USER local_root=/home/$USER/ftpСпособ 2. Другой вариант - добавить следующую директиву в файл конфигурации vsftpd. Используйте эту опцию, если вам необходимо предоставить доступ на запись для вашего пользователя к его домашнему каталогу.
/etc/vsftpd/vsftpd.confallow_writeable_chroot=YES
4. Пассивные FTP-соединения
vsftpd может использовать любой порт для пассивных FTP-соединений. Мы укажем минимальный и максимальный диапазон портов, а затем откроем диапазон в нашем брандмауэре.
Добавьте следующие строки в файл конфигурации:
/etc/vsftpd/vsftpd.conf
pasv_min_port=30000 pasv_max_port=31000
5. Ограничение входа пользователя
Чтобы разрешить только определенным пользователям входить на FTP-сервер, добавьте следующие строки после строки
userlist_enable=YES
:
userlist_file=/etc/vsftpd/user_list userlist_deny=NO
Когда эта опция включена, вам нужно явно указать, какие пользователи могут входить в систему, добавив имена пользователей в файл
/etc/vsftpd/user_list
(по одному пользователю в строке).
6. Защита передач с помощью SSL / TLS
Чтобы зашифровать передачи FTP с помощью SSL / TLS, вам необходимо иметь сертификат SSL и настроить сервер FTP для его использования.
Вы можете использовать существующий сертификат SSL, подписанный доверенным центром сертификации, или создать самозаверяющий сертификат.
В этом руководстве мы создадим самозаверяющий сертификат SSL с помощью команды
openssl
.
Следующая команда создаст 2048-битный закрытый ключ и самозаверяющий сертификат, действительный в течение 10 лет. И закрытый ключ, и сертификат будут сохранены в одном файле:
sudo openssl req -x509 -nodes -days 3650 -newkey rsa:2048 -keyout /etc/vsftpd/vsftpd.pem -out /etc/vsftpd/vsftpd.pem
После создания SSL-сертификата откройте файл конфигурации vsftpd:
sudo nano /etc/vsftpd/vsftpd.conf
Найдите директивы
rsa_cert_file
и
rsa_private_key_file
, измените их значения на путь к
ssl_enable
и установите для директивы
ssl_enable
значение
YES
:
rsa_cert_file=/etc/vsftpd/vsftpd.pem rsa_private_key_file=/etc/vsftpd/vsftpd.pem ssl_enable=YES
Если не указано иное, FTP-сервер будет использовать только TLS для создания безопасных соединений.
Перезапустите службу vsftpd
Как только вы закончите редактирование, файл конфигурации vsftpd (исключая комментарии) должен выглядеть примерно так:
/etc/vsftpd/vsftpd.conf
anonymous_enable=NO local_enable=YES write_enable=YES local_umask=022 dirmessage_enable=YES xferlog_enable=YES connect_from_port_20=YES xferlog_std_format=YES chroot_local_user=YES listen=NO listen_ipv6=YES pam_service_name=vsftpd userlist_enable=YES userlist_file=/etc/vsftpd/user_list userlist_deny=NO tcp_wrappers=YES user_sub_token=$USER local_root=/home/$USER/ftp pasv_min_port=30000 pasv_max_port=31000 rsa_cert_file=/etc/vsftpd/vsftpd.pem rsa_private_key_file=/etc/vsftpd/vsftpd.pem ssl_enable=YES
Сохраните файл и перезапустите службу vsftpd, чтобы изменения вступили в силу:
Открытие брандмауэра
Чтобы открыть порт
21
(командный порт FTP), порт
20
(порт данных FTP) и
30000-31000
(диапазон пассивных портов),
30000-31000
следующие команды:
sudo firewall-cmd --permanent --add-port=20-21/tcp
sudo firewall-cmd --permanent --add-port=30000-31000/tcp
Перезагрузите правила брандмауэра, набрав:
Создание пользователя FTP
Чтобы протестировать наш FTP-сервер, мы создадим нового пользователя.
- Если у вас уже есть пользователь, которому вы хотите предоставить доступ по FTP, пропустите 1-й шаг. Если вы установили
allow_writeable_chroot=YESв своем файле конфигурации, пропустите 3-й шаг.
-
Создайте нового пользователя с именем
newftpuser:sudo adduser newftpuserДалее вам нужно установить пароль пользователя:
sudo passwd newftpuserДобавьте пользователя в список разрешенных пользователей FTP:
echo "newftpuser" | sudo tee -a /etc/vsftpd/user_listСоздайте дерево каталогов FTP и установите правильные разрешения:
sudo mkdir -p /home/newftpuser/ftp/uploadsudo chmod 550 /home/newftpuser/ftpsudo chmod 750 /home/newftpuser/ftp/uploadsudo chown -R newftpuser: /home/newftpuser/ftpКак обсуждалось в предыдущем разделе, пользователь сможет загружать свои файлы в каталог
ftp/upload.
На этом этапе ваш FTP-сервер полностью функционален, и вы сможете подключиться к вашему серверу с помощью любого FTP-клиента, который можно настроить на использование шифрования TLS, например FileZilla.
Отключение Shell Shell Access
По умолчанию при создании пользователя, если он не указан явно, у пользователя будет SSH-доступ к серверу.
Чтобы отключить доступ к оболочке, мы создадим новую оболочку, которая просто распечатает сообщение, сообщающее пользователю, что его учетная запись ограничена только доступом по FTP.
Выполните следующие команды, чтобы создать оболочку
/bin/ftponly
и сделать ее исполняемой:
echo -e '#!/bin/sh\necho "This account is limited to FTP access only."' | sudo tee -a /bin/ftponly
echo -e '#!/bin/sh\necho "This account is limited to FTP access only."' | sudo tee -a /bin/ftponly
sudo chmod a+x /bin/ftponly
Добавьте новую оболочку в список допустимых оболочек в
/etc/shells
:
echo "/bin/ftponly" | sudo tee -a /etc/shells
Измените пользовательскую оболочку на
/bin/ftponly
:
sudo usermod newftpuser -s /bin/ftponly
Используйте ту же команду, чтобы изменить оболочку для других пользователей, которым вы хотите предоставить только доступ по FTP.
Вывод
Из этого руководства вы узнали, как установить и настроить безопасный и быстрый FTP-сервер в вашей системе CentOS 7.
ftp centosGt объясняет: что такое FTP-сервер и как мне его настроить?
Полное руководство для понимания плюсов и минусов FTP-сервера и того, как настроить его у себя дома, чтобы легко обмениваться большими файлами.
Как настроить ftp сервер с помощью vsftpd на Debian 9
В этом уроке мы будем устанавливать vsftpd. Это стабильный, безопасный и быстрый FTP-сервер. Мы также покажем вам, как настроить vsftpd, чтобы ограничить пользователей их домашним каталогом и зашифровать всю передачу с помощью SSL / TLS.
Как настроить FTP-сервер с vsftpd на Ubuntu 18.04
В этом уроке мы будем устанавливать vsftpd. Это стабильный, безопасный и быстрый FTP-сервер. Мы также покажем вам, как настроить vsftpd, чтобы ограничить пользователей их домашним каталогом и зашифровать всю передачу с помощью SSL / TLS.