本文主要讲述在Ubuntu 20.04系统中安装VSFTPD且配置FTP文件服务器的相关教程,我们如何安装和配置FTP服务器,以便在Ubuntu 20.04上的设备之间共享文件。
FTP(文件传输协议)是一种标准网络协议,用于与远程网络传输文件。 有几个可用于 Linux 的开源 FTP 服务器。 最著名和使用最广泛的是 PureFTPd、ProFTPD 和 VSFTPD 。 我们将安装 VSFTPD(Very Secure Ftp Daemon),这是一个稳定、安全且快速的 FTP 服务器。 我们还将向介绍如何配置服务器以限制用户访问他们的主目录并使用 SSL/TLS 加密整个传输。 虽然 FTP 是一种非常流行的协议,但为了更安全和更快的数据传输,应该使用 SCP 或 SFTP 。
第一、在 Ubuntu 20.04 上安装 vsftpd
vsftpd 包在 Ubuntu 存储库中可用。 要安装它,请执行以下命令:
sudo apt update
sudo apt install vsftpd
安装过程完成后,ftp 服务将自动启动。 要验证它,查看状态。
sudo systemctl status vsftpd
输出应显示 vsftpd 服务处于活动状态并正在运行:
vsftpd.service - vsftpd FTP server
Loaded: loaded (/lib/systemd/system/vsftpd.service; enabled; vendor preset: enabled)
Active: active (running) since Tue 2021-09-30 18:11:21 UTC; 3s ago
...
第二、配置 vsftpd
vsftpd 服务器配置存储在 /etc/vsftpd.conf 文件中。大多数服务器设置在文件中都有详细记录。 有关所有可用选项,请访问 vsftpd 文档页面。在以下部分中,我们将介绍配置安全 vsftpd 安装所需的一些重要设置。
首先打开 vsftpd 配置文件:
sudo nano /etc/vsftpd.conf
1、FTP访问权限
我们将只允许本地用户访问FTP服务器。搜索anonymous_enable和local_enable指令,验证你的配置是否与下面的行匹配:
anonymous_enable=NO
local_enable=YES
按照上面配置。
2、允许上传
设置write_enable指令的注释以允许文件系统更改,例如上传和删除文件:
write_enable=YES
3、配置Chroot jail
为了防止本地FTP用户访问主目录之外的文件,请取消以chroot_local_user开头的注释:
chroot_local_user=YES
出于安全考虑,默认情况下,当chroot开启时,如果用户锁定的目录是可写的,vsftpd将拒绝上传文件。
使用下面的解决方案之一,允许上传时,chroot是启用的:
推荐的选项是启用chroot特性并配置FTP目录。在这个例子中,我们将在用户的home中创建一个ftp目录,作为chroot和一个可写的上传目录,用于上传文件:
user_sub_token=$USER
local_root=/home/$USER/ftp
4、设置被动FTP连接
pasv_min_port=30000
pasv_max_port=31000
我们可以使用任何端口进行被动FTP连接。当启用被动模式时,FTP客户端将在您选择的范围内的任意端口上打开到服务器的连接。
5、限时用户访问
userlist_enable=YES
userlist_file=/etc/vsftpd.user_list
userlist_deny=NO
当启用该选项时,需要通过在/etc/vsftpd. conf文件中添加用户名来明确指定哪些用户可以登录User_list文件(每行一个用户)。
6、使用SSL/TLS保护传输
要使用SSL/TLS加密FTP传输,我们需要有一个SSL证书并配置FTP服务器来使用它。我们可以使用由受信任的证书颁发机构签署的现有SSL证书,或创建自签名证书。
我们将生成一个有效期为10年的2048位私钥和自签名SSL证书。
sudo openssl req -x509 -nodes -days 3650 -newkey rsa:2048 -keyout /etc/ssl/private/vsftpd.pem -out /etc/ssl/private/vsftpd.pem
私钥和证书将保存在同一个文件中。SSL证书创建完成后,打开vsftpd配置文件:
sudo nano /etc/vsftpd.conf
找到rsa_cert_file和rsa_private_key_file指令,将它们的值更改为pam文件路径,并将ssl_enable指令设置为YES:
rsa_cert_file=/etc/ssl/private/vsftpd.pem
rsa_private_key_file=/etc/ssl/private/vsftpd.pem
ssl_enable=YES
如果没有指定,FTP服务器将只使用TLS进行安全连接。
7、重启vsftpd服务
这些是所有的配置。
listen=NO
listen_ipv6=YES
anonymous_enable=NO
local_enable=YES
write_enable=YES
dirmessage_enable=YES
use_localtime=YES
xferlog_enable=YES
connect_from_port_20=YES
chroot_local_user=YES
secure_chroot_dir=/var/run/vsftpd/empty
pam_service_name=vsftpd
rsa_cert_file=/etc/ssl/private/vsftpd.pem
rsa_private_key_file=/etc/ssl/private/vsftpd.pem
ssl_enable=YES
user_sub_token=$USER
local_root=/home/$USER/ftp
pasv_min_port=30000
pasv_max_port=31000
userlist_enable=YES
userlist_file=/etc/vsftpd.user_list
userlist_deny=NO
我们检查一下,然后重启。
sudo systemctl restart vsftpd
重启生效。
第三、开启防火墙
如果我们服务器有防火墙,需要开启端口。
sudo ufw allow 20:21/tcp
sudo ufw allow 30000:31000/tcp
为了避免被锁定,请确保端口22是打开的
sudo ufw allow OpenSSH
通过禁用和重新启用UFW重新加载UFW规则.
sudo ufw disable
sudo ufw enable
第四、创建FTP用户
为了测试FTP服务器,我们将创建一个新用户。如果需要授予FTP访问权限的用户已经存在,请跳过第一步。如果您在配置文件中设置了allow_writeable_chroot=YES,请跳过第三步。
1、创建新用户newftpuser
sudo adduser newftpuser
2、将该用户添加到允许的FTP用户列表中
echo "newftpuser" | sudo tee -a /etc/vsftpd.user_list
3、创建FTP目录并设置正确的权限
sudo mkdir -p /home/newftpuser/ftp/upload
sudo chmod 550 /home/newftpuser/ftp
sudo chmod 750 /home/newftpuser/ftp/upload
sudo chown -R newftpuser: /home/newftpuser/ftp
第五、禁用Shell访问
echo -e '#!/bin/sh\necho "This account is limited to FTP access only."' | sudo tee -a /bin/ftponly
sudo chmod a+x /bin/ftponly
默认情况下,在创建用户时,如果没有显式指定,用户将具有对服务器的SSH访问权限。要禁用shell访问,请创建一个新的shell,该shell将打印一条消息,告诉用户他们的帐户仅限于FTP访问。
将新的shell添加到/etc/shell文件中的有效shell列表中:
echo "/bin/ftponly" | sudo tee -a /etc/shells
将shell用户改为/bin/ftponly:
sudo usermod newftpuser -s /bin/ftponly
我们就可以使用相同的命令来更改您想要只授予FTP访问权限的所有用户的shell。
这样,我们就完成在服务器中配置VSFTPD 以及创建FTP用户。
评论前必须登录!
注册