Как настроить ftp сервер с помощью vsftpd на Debian 9

FTP (File Transfer Protocol) - это стандартный сетевой протокол, используемый для передачи файлов в удаленную сеть и из нее. Для более безопасной и быстрой передачи данных используйте SCP или SFTP.

Для Linux доступно множество FTP-серверов с открытым исходным кодом. Наиболее популярными и широко используемыми являются PureFTPd, ProFTPD и vsftpd.

В этом руководстве объясняется, как установить и настроить vsftpd (Very Secure Ftp Daemon) в Debian 9. vsftpd - стабильный, безопасный и быстрый FTP-сервер. Мы также покажем вам, как настроить vsftpd, чтобы ограничить пользователей их домашним каталогом и зашифровать всю передачу с помощью SSL / TLS.

Предпосылки

Пользователь, в который вы вошли, должен иметь права sudo для установки пакетов.

Установка vsftpd в Debian 9

Пакет vsftpd доступен в репозиториях Debian. Установка довольно проста:

sudo apt update sudo apt install vsftpd

Сервис vsftpd автоматически запустится после завершения процесса установки. Проверьте это, распечатав статус услуги:

sudo systemctl status vsftpd

Вывод будет выглядеть примерно так, как показано ниже, показывая, что служба vsftpd активна и работает:

● vsftpd.service - vsftpd FTP server Loaded: loaded (/lib/systemd/system/vsftpd.service; enabled; vendor preset: enabled) Active: active (running) since Mon 2018-12-10 11:42:51 UTC; 53s ago Main PID: 1394 (vsftpd) CGroup: /system.slice/vsftpd.service └─1394 /usr/sbin/vsftpd /etc/vsftpd.conf

Конфигурирование vsftpd

Сервер vsftpd можно настроить, изменив файл vsftpd.conf , находящийся в каталоге /etc

Большинство настроек хорошо задокументированы в файле конфигурации. Для всех доступных вариантов посетите официальную страницу vsftpd.

В следующих разделах мы рассмотрим некоторые важные параметры, необходимые для настройки безопасной установки vsftpd.

Начните с открытия файла конфигурации vsftpd:

sudo nano /etc/vsftpd.conf

1. FTP доступ

Найдите директивы anonymous_enable и local_enable и проверьте соответствие вашей конфигурации следующим строкам:

/etc/vsftpd.conf

anonymous_enable=NO local_enable=YES

Это гарантирует, что только локальные пользователи могут получить доступ к FTP-серверу.

2. Включение загрузки

write_enable параметр write_enable чтобы разрешить изменения в файловой системе, такие как загрузка и удаление файлов.

/etc/vsftpd.conf

write_enable=YES

3. Тюремная тюрьма

Чтобы запретить пользователям FTP доступ к любым файлам за пределами их домашних каталогов, раскомментируйте параметр chroot .

/etc/vsftpd.conf

chroot_local_user=YES

По умолчанию для предотвращения уязвимости безопасности при включенном chroot vsftpd будет отказываться загружать файлы, если каталог, в котором заблокированы пользователи, доступен для записи.

Используйте один из методов ниже, чтобы разрешить загрузку, когда включен chroot.

• Способ 1. - Рекомендуемый способ разрешить загрузку - оставить chroot включенным и настроить каталоги FTP. В этом уроке мы создадим каталог ftp внутри дома пользователя, который будет служить chroot и записываемым каталогом для загрузки файлов.

  /etc/vsftpd.conf

  user_sub_token=$USER local_root=/home/$USER/ftp

  Способ 2. Другой вариант - добавить следующую директиву в файл конфигурации vsftpd. Используйте эту опцию, если вам необходимо предоставить доступ на запись для вашего пользователя к его домашнему каталогу.

  /etc/vsftpd.conf

  allow_writeable_chroot=YES

4. Пассивные FTP-соединения

vsftpd может использовать любой порт для пассивных FTP-соединений. Мы укажем минимальный и максимальный диапазон портов, а затем откроем диапазон в нашем брандмауэре.

Добавьте следующие строки в файл конфигурации:

/etc/vsftpd.conf

pasv_min_port=30000 pasv_max_port=31000

5. Ограничение входа пользователя

Чтобы разрешить только определенным пользователям входить на FTP-сервер, добавьте следующие строки в конец файла:

/etc/vsftpd.conf

userlist_enable=YES userlist_file=/etc/vsftpd.user_list userlist_deny=NO

Когда эта опция включена, вам нужно явно указать, какие пользователи могут войти в систему, добавив имена пользователей в файл /etc/vsftpd.user_list (по одному пользователю на строку).

6. Защита передач с помощью SSL / TLS

Чтобы зашифровать передачи FTP с помощью SSL / TLS, вам необходимо иметь сертификат SSL и настроить сервер FTP для его использования.

Вы можете использовать существующий сертификат SSL, подписанный доверенным центром сертификации, или создать самозаверяющий сертификат.

В этом руководстве мы создадим самозаверяющий сертификат SSL с помощью команды openssl .

Следующая команда создаст 2048-битный закрытый ключ и самозаверяющий сертификат, действительный в течение 10 лет. И закрытый ключ, и сертификат будут сохранены в одном файле:

sudo openssl req -x509 -nodes -days 3650 -newkey rsa:2048 -keyout /etc/ssl/private/vsftpd.pem -out /etc/ssl/private/vsftpd.pem

После создания SSL-сертификата откройте файл конфигурации vsftpd:

sudo nano /etc/vsftpd.conf

Найдите директивы rsa_cert_file и rsa_private_key_file , измените их значения на путь к ssl_enable и установите для директивы ssl_enable значение YES :

/etc/vsftpd.conf

rsa_cert_file=/etc/ssl/private/vsftpd.pem rsa_private_key_file=/etc/ssl/private/vsftpd.pem ssl_enable=YES

Если не указано иное, FTP-сервер будет использовать только TLS для создания безопасных соединений.

Перезапустите службу vsftpd

Как только вы закончите редактирование, файл конфигурации vsftpd (исключая комментарии) должен выглядеть примерно так:

/etc/vsftpd.conf

listen=NO listen_ipv6=YES anonymous_enable=NO local_enable=YES write_enable=YES dirmessage_enable=YES use_localtime=YES xferlog_enable=YES connect_from_port_20=YES chroot_local_user=YES secure_chroot_dir=/var/run/vsftpd/empty pam_service_name=vsftpd rsa_cert_file=/etc/ssl/certs/ssl-cert-snakeoil.pem rsa_private_key_file=/etc/ssl/private/ssl-cert-snakeoil.key ssl_enable=YES user_sub_token=$USER local_root=/home/$USER/ftp pasv_min_port=30000 pasv_max_port=31000 userlist_enable=YES userlist_file=/etc/vsftpd.user_list userlist_deny=NO

Сохраните файл и перезапустите службу vsftpd, чтобы изменения вступили в силу:

sudo systemctl restart vsftpd

Открытие брандмауэра

Чтобы открыть порт 21 (порт команды FTP), порт 20 (порт данных FTP) и 30000-31000 (диапазон пассивных портов), выполните следующие команды:

sudo ufw allow 20:21/tcp sudo ufw allow 30000:31000/tcp

Чтобы избежать блокировки, мы также откроем порт 22 :

sudo ufw allow OpenSSH

Перезагрузите правила UFW, отключив и снова включив UFW:

sudo ufw disable sudo ufw enable

Чтобы проверить изменения, выполните:

sudo ufw status

Status: active To Action From -- ------ ---- 20:21/tcp ALLOW Anywhere 30000:31000/tcp ALLOW Anywhere OpenSSH ALLOW Anywhere 20:21/tcp (v6) ALLOW Anywhere (v6) 30000:31000/tcp (v6) ALLOW Anywhere (v6) OpenSSH (v6) ALLOW Anywhere (v6)

Создание пользователя FTP

Чтобы протестировать наш FTP-сервер, мы создадим нового пользователя.

• Если у вас уже есть пользователь, которому вы хотите предоставить доступ по FTP, пропустите 1-й шаг. Если вы установили allow_writeable_chroot=YES в своем файле конфигурации, пропустите 3-й шаг.

1. Создайте нового пользователя с именем newftpuser :

   sudo adduser newftpuser

   Добавьте пользователя в список разрешенных пользователей FTP:

   echo "newftpuser" | sudo tee -a /etc/vsftpd.user_list

   Создайте дерево каталогов FTP и установите правильные разрешения:

   sudo mkdir -p /home/newftpuser/ftp/upload sudo chmod 550 /home/newftpuser/ftp sudo chmod 750 /home/newftpuser/ftp/upload sudo chown -R newftpuser: /home/newftpuser/ftp

   Как обсуждалось в предыдущем разделе, пользователь сможет загружать свои файлы в каталог ftp/upload .

На этом этапе ваш FTP-сервер полностью функционален, и вы должны иметь возможность подключиться к вашему серверу с помощью любого FTP-клиента, который можно настроить для использования шифрования TLS, например FileZilla.

Отключение Shell Shell Access

По умолчанию при создании пользователя, если он не указан явно, у пользователя будет SSH-доступ к серверу.

Чтобы отключить доступ к оболочке, мы создадим новую оболочку, которая просто распечатает сообщение, сообщающее пользователю, что его учетная запись ограничена только доступом по FTP.

Создайте оболочку /bin/ftponly и сделайте ее исполняемой:

echo -e '#!/bin/sh\necho "This account is limited to FTP access only."' | sudo tee -a /bin/ftponly echo -e '#!/bin/sh\necho "This account is limited to FTP access only."' | sudo tee -a /bin/ftponly sudo chmod a+x /bin/ftponly

Добавьте новую оболочку в список допустимых оболочек в /etc/shells :

echo "/bin/ftponly" | sudo tee -a /etc/shells

Измените пользовательскую оболочку на /bin/ftponly :

sudo usermod newftpuser -s /bin/ftponly

Используйте ту же команду, чтобы изменить оболочку всех пользователей, которым вы хотите предоставить только доступ по FTP.

Вывод

Из этого руководства вы узнали, как установить и настроить безопасный и быстрый FTP-сервер в вашей системе Debian 9.

ftp debian