Установка и настройка FTP-сервера в Linux. Установка и настройка FTP сервера Linux Установка и настройка ftp на ubuntu 16.04
FTP (File Transfer Protocol) – протокол передачи файлов. Протокол FTP позволяет передавать и скачивать файлы с сервера. На сегодняшний день данный протокол не является особо популярным, так как он не поддерживает шифрование данных. Вместо FTP используют протокол SFTP (передача данных по SSH), а также протокол SCP . В этой статье рассмотрена настройка обычного FTP-сервера на базе Ubuntu.
Протокол FTP работает в режиме клиент-сервер. Сервер постоянно слушает запросы от удаленных клиентов на 21 порту. При получении запроса он управляет входом и устанавливает соединение. На протяжении сессии сервер выполняет любые команды, переданные клиентом FTP. В качестве протокола транспортного уровня используется TCP. Для передачи данных FTP использует два типа соединения:
- Управляющее соединение (порт 21)
- Соединение данных (в активном режиме порт 20, в пассивном любой порт больше 1024)
Разделение на управляющее соединение и соединение для передачи данных является эффективным. Это позволяет передавать команды и файлы независимо друг от друга.
FTP поддерживает два типа аутентификации:
- Анонимный (логин ftp или anonymous, пароль – электронная почта)
- Авторизованный (логин и пароль у каждого пользователя свой)
При работе по протоколу FTP между клиентом и сервером может быть установлено два режима: активный и пассивный. Управляющее соединение одинаково для Активного и Пассивного режима. Клиент инициирует TCP-соединение с динамического порта (1024 – 65535) к порту номер 21 на FTP-сервере, после чего происходит аутентификация. Дальнейшие действия зависят от того какой режим выбран.
В активном режиме, после аутентификации, клиент сообщает серверу также номер своего порта (из динамического диапазона 1024 – 65535) для того, чтобы сервер мог подключиться к клиенту для установки соединения передачи данных. FTP-сервер подключается к заданному номеру порта клиента используя со своей стороны номер TCP-порта 20 для передачи данных.
В пассивном режиме, после аутентификации, сервер сообщает клиенту номер TCP-порта (из динамического диапазона 1024 – 65535), к которому можно подключиться для установки соединения передачи данных.
Таким образом, в активном режиме инициатором соединения является сервер, так как он подключается к клиенту. В пассивном режиме инициатор соединения – клиент.
Активный режим “вреден” для клиента в том плане, что когда к нему по случайному порту подключается сервер, такое соединение будет скорее всего блокировано брандмауэром на стороне клиента. Таким образом, необходимо открывать порты на стороне клиента, что приводит к “дырам” в безопасности. С другой стороны, для сервера такой режим будет полезен, так как для передачи данных используется общеизвестный порт 20.
Пассивный режим “вреден” в свою очередь для сервера, но “выгоден” для клиента. Клиент будет делать оба соединения к серверу, но одно из них будет к случайному высокому порту, такое соединение будет блокировать брандмауэром на стороне сервера.
Пассивный режим используется, как правило, когда между клиентом и сервером находится межсетевой экран.
Наиболее популярные команды FTP:
| Команда | Описание |
| USER | Указать имя пользователя |
| PASS | Указать пароль |
| LIST | Просмотр содержимого каталога |
| CWD | Смена текущего каталога |
| RETR | Передать файл с сервера на клиент |
| STOP | Передать файл с клиента на сервер |
| TYPE | Установить режим передачи |
| DELE | Удалить файл |
| MDK | Создать каталог |
| RMD | Удалить каталог |
| PASV | Использовать пассивный режим |
| QUIT | Выход и разрыв соединения |
FTP имеет три режима передачи:
- Поточный – непрерывная передача данных в виде потока (без обработки, обработка выполняется TCP)
- Блочный – FTP делит данные на блоки (заголовок, поле данных, размер файла в байтах) и передает их TCP
- Режим сжатия единым алгоритмом
FTP-сервер – “библиотека” файлов на хостинге, используется для хранения файлов разных форматов. Самые популярные ftp-сервера это vsftpd и proftpd. FTP-сервера нужны для того, чтобы размещать на них для публичного и приватного скачивания больших объемов данных. Часто сервера используются для анонимного (гостевого) доступа к размещенным в открытом виде дистрибутивов ПО, музыки и фото. Доступ для анонимов позволяет, как правило, только просматривать каталоги и скачивать необходимую информацию, но на некоторых серверах наоборот – есть спецкаталоги, куда любой пользователь может загрузить файл для совместного пользования.
При неанонимном доступе возможностей больше, но они ограничены тем каталогом, куда предоставлен доступ.
Перейдем к настройке сервера. Работать будем с такой схемой.
Доступ к FTP-серверу будут иметь как администратор, так и пользователь. Администратор и пользователь имеют авторизованный доступ. При этом необходимо настроить права доступа таким образом, чтобы администратор имел неограниченный доступ, а пользователь имел доступ только к своей домашней директории. Также необходимо настроить анонимный доступ.
В Ubuntu для DHCP сервера доступен демон vsftpd. Устанавливаем DHCP-сервер, это выполняется командой:
testServer$ sudo apt-get install vsftpd
По умолчанию, анонимная загрузка запрещена. Необходимо изменить конфигурацию в файле /etc/vsftpd.conf.
testServer$ sudo nano /etc/vsftpd.conf
Находим там строку “anonymous_enable” и присваиваем ей значение “Yes”. Данная строка отвечает за доступ к FTP-серверу для анонимных пользователей.
Также необходимо раскоментировать две строки: “write_enable” и “chroot_local_user”. Первая строка отвечает за возможность записи на сервер, вторая строка блокирует возможность локальных пользователей подниматься на каталог выше, чем их домашняя папка.
В конце файла конфигурации добавляем две настройки:
Данные настройки устанавливают домашние папки для анонимных и локальных пользователей.
Сохраняем конфигурацию файла сочетанием клавиш Ctrl + X (при предложении заменить текущий файл выбираем Yes). Далее необходимо перезагрузить сервер FTP командой
testServer$ sudo service vsftpd restart
Следующий этап – это создание пользователей.
Создаем суперпользователя командой:
testServer$ sudo adduser superuser
Задаем ему пароль:
testServer$ sudo passwd superuser
Даем ему неограниченные права:
testServer$ sudo adduser superuser sudo
Создаем обычного пользователя:
testServer$ sudo adduser user
Задаем ему пароль:
testServer$ sudo passwd user
Enter new UNIX password: 12345
Создаем группу пользователей для управления папками:
testServer$ sudo addgroup groupl
testServer$ sudo nano /etc/group
Находим строчку “groupl” с помощью Ctrl + W.
В эту строчку добавляем наших пользователей superuser и user.
Создаем папки для пользователей:
testServer$ sudo mkdir /srv/ftp/upload
testServer$ sudo mkdir /srv/ftp/superuser
testServer$ sudo mkdir /srv/ftp/user
Задаем права доступа для папок:
testServer$ sudo chmod 700 /srv/ftp/superuser
testServer$ sudo chmod 770 /srv/ftp/user
testServer$ sudo chmod 575 /srv/ftp/upload
Меняем владельцов папок:
testServer$ sudo chown superuser: /srv/ftp/superuser
testServer$ sudo chown user:groupl /srv/ftp/user
testServer$ sudo chown:groupl /srv/ftp/upload
Таким образом, у нас получается следующая картина:
- К папке superuser имеет доступ только пользователь superuser, он же является владельцем этой папки
- К папке user имеет доступ как user, так и superuser. Это из-за того, что мы выставили права 77 0. Вторая семерка устанавливает полные права для группы пользователей groupl, в которую мы добавили superuser.
- К папке upload полный доступ имеют как user, так и superuser. Для всех остальных установлены только права на чтение и выполнение 5 75 . 5 = 101 (в двоичной системе). 101 ~ r-x. То есть остальные пользователи (а к ним относится анонимный) не могут ничего записывать в папке upload.
Проверяем права доступа и владельцев командой:
testServer$ ls -l /srv/ftp
Для того, чтобы проверить доступ к FTP-серверу, необходимо в любом браузере в адресной строке набрать:
ftp://172.16.1.2
В данном случае мы попадаем как анонимный пользователь, так как не вводим имя и пароль.
Видим три папки superuser/, upload/, user/.
Так как мы зашли под анонимным пользователем доступ есть только к папке upload/.
Для того, чтобы войти под именем суперпользователя вводим:
ftp://[email protected]
Вводим имя пользователя: superuser , пароль: 12345 . Под superuser’ом мы получаем доступ ко всем папкам.
Проверим напоследок обычного пользователя. Чтобы не вводить имя и пароль каждый раз при входе, можно в адресной строке написать следующее:
ftp://user:[email protected]
Под user’ом мы можем попадать только в папки upload/ и user/ . К папке superuser/ доступ закрыт.
Поддержите проект
Друзья, сайт Netcloud каждый день развивается благодаря вашей поддержке. Мы планируем запустить новые рубрики статей, а также некоторые полезные сервисы.
У вас есть возможность поддержать проект и внести любую сумму, которую посчитаете нужной.
Время от времени у каждого системного администратора возникает потребность в FTP-сервере, чаще всего это связано с необходимостью обеспечить обмен информацией в автоматическом режиме между приложениями, например, при автообмене распределенной информационной базы 1С, или для доступа к файлам на веб-сервере. Сегодня мы расскажем, как меньше чем за полчаса создать такой сервер на платформе Ubuntu.
Но сначала немного теории. Протокол FTP (File Transfer Protocol) предназначен, как следует из названия, для передачи файлов и появился в 1971 году, но несмотря на свой преклонный возраст продолжает широко использоваться до сих пор. Хотя сегодня его использование носит чаще технический характер, для доступа конечных пользователей к данным обычно используют браузер и протокол HTTP. К достоинствам FTP можно отнести возможность докачки файла при обрыве связи и возможность одинаково легко как считывать файлы, так и записывать их. Но есть и недостатки, самый серьезный - низкая безопасность, поэтому этому вопросу следует уделить самое пристальное внимание.
FTP, как и PPTP, использует разные соединения для передачи команд и передачи данных. При инициации соединения клиент передает управляющие команды на порт 21 сервера, который в свою очередь устанавливает исходящее соединение для передачи данных на 20 порту, порт со стороны клиента определяется в результате согласования. Однако при нахождении клиента за NAT соединение подобным образом установить не удастся, поэтому был разработан дополнительный режим FTP passive mode (пассивный режим), когда соединение для передачи данных устанавливает не сервер, а клиент, однако с параметрами, указанными сервером. Эти моменты следует учитывать при форвардинге FTP и при настройке сетевого фильтра.
Для нашего сервера мы будем использовать vsftpd - простой, быстрый и безопасный FTP сервер. Так как он будет обслуживать как внешнюю, так и внутреннюю сети, то имеет смысл добавить эту роль нашему . Установка сервера предельно проста:
Apt-get install vsftpd
Настройка сервера производится через конфигурационный файл /etc/vsftpd.conf он имеет простую структуру, хорошо откомментирован и позволяет настроить сервер без какой-либо инструкции при наличии минимальных знаний. Рассмотрим его основные параметры.
Сервер может быть запущен постоянно, как служба или стартовать при необходимости, нам больше подходит первый вариант:
Listen=YES
Данная опция имеет взаимоисключающую запись, которую следует привести к виду:
Listen_ipv6=NO
Разрешим вход только локальным пользователям:
Anonymous_enable=NO
local_enable=YES
Разрешим пользователям записывать файлы и укажем серверу автоматически выставлять нужные права (755 на папки и 644 на файлы):
Write_enable=YES
local_umask=022
Если требуется установить иной набор прав: 775 и 664, то umask должен быть равен 002.
По умолчанию сервер использует время GMT, чтобы файлам устанавливалось время вашего часового пояса, используйте опцию:
Use_localtime=YES
Включим лог загружаемых и скачиваемых файлов:
Xferlog_enable=YES
Разрешим серверу устанавливать соединения для передачи данных на порт 20 (активный режим):
Connect_from_port_20=YES
Следующие опции задают место и формат хранения логов:
Xferlog_file=/var/log/vsftpd.log
xferlog_std_format=YES
Зададим таймауты сессии:
Idle_session_timeout=600
data_connection_timeout=120
Также в целях безопасности изолируем пользователя в его домашнем каталоге и сразу разрешим запись в его корень:
Chroot_local_user=YES
allow_writeable_chroot=YES
Для коррекной работы с текстовыми данными можно включить поддержку ASCII, это позволит при передаче текстового файла с Windows системы в UNIX (Linux) корректно заменить символы переноса строки с CR+LF на LF для корректного отображение содержимого и выполнить обратное преобразование при передаче его назад.
Ascii_upload_enable=YES
ascii_download_enable=YES
Можно включить только одну опцию, для закачки или скачивания. Обратите внимание, что при передаче бинарного файла в режиме ASCII последний может быть поврежден.
Достаточно интересная опция:
Ls_recurse_enable=YES
Она позволяет рекурсивный просмотр каталогов, с одной стороны это удобно, с другой способно вызвать большую нагрузку на сервер, если, например, получить листинг директории, содержащей большое количество файлов и каталогов.
Все остальные опции оставляем по умолчанию, хотя можете отредактировать приветствие сервера, написав там все что вам нравится:
Ftpd_banner=Welcome to Roga i Kopyta LLC FTP
В конце конфигурационного файла зададим настройки для пассивного режима, рекомендуется явно задать порты, чтобы была возможность указать их при форвардинге, если сервер стоит за NAT или в правилах брандмауера:
Pasv_enable=YES
pasv_min_port=62000
pasv_max_port=62999
Перезапускаем сервер (это нужно делать всякий раз после внесения изменений в конфигурацию):
Service vsftpd restart
и пробуем подключиться любым FTP-клиентом используя учетные данные существующего пользователя. Мы должны попасть в его домашнюю директорию и быть изолированы в ней.
В случае появления ошибки, связанной с некорректной работой vsftpd и системы безопасности seccomp:
500 OOPS: prctl PR_SET_SECCOMP failed
добавьте в файл недокументированную опцию:
Seccomp_sandbox=NO
Однако помните, что FTP - небезопасный протокол, поэтому пускать на сервер любого локального пользователя, как это сделано сейчас, не самый лучший вариант. Чтобы избежать такой ситуации vsftpd имеет встроенный механизм контроля пользователей. Добавим в конфигурационный файл опцию:
Userlist_enable=YES
и создадим файл списка пользователей:
Touch /etc/vsftpd.user_list
По умолчанию vsftpd запрещает доступ к серверу пользователям, указанным в данном списке еще до ввода пароля, т.е. реализует принцип разрешено всем, кому не запрещено. Но гораздо лучше будет реализовать иной подход: запрещено всем, кому не разрешено. Т.е. разрешать доступ только указанным пользователям. Для этого добавим опцию:
Userlist_deny=NO
Теперь доступ к FTP-серверу будут иметь только явно указанные пользователи, их следует указывать в vsftpd.user_list по одному в строку, например:
Ivanov
petrov
Если не указано иное, то подключившись по FTP пользователи попадают в свой домашний каталог. Это не всегда удобно, часто нужно перенаправлять их в иную директорию. Если это общая для всех папка, скажем /var/ftp, то можно задать опцию:
Local_root=/var/ftp
Которая перенаправит всех пользователей в указанный каталог и изолирует их там.
Это самая простая ситуация, реальные задачи обычно сложнее, допустим нам надо установить пользователю Иванову в качестве корневой директории /var/www/example1.com , а Петрову /var/www/example2.com , чтобы каждый из них работал со своей папкой. Для этих целей можно использовать еще одну возможность vsftpd - пользовательские настройки, которые перекрывают настройки основного конфигурационного файла.
Для этого добавим опцию:
User_config_dir=/etc/vsftpd_user_conf
Затем создадим саму директорию
Mkdir /etc/vsftpd_user_conf
Чтобы задать пользователю собственные настройки в данной директории следует создать файл с именем пользовтаеля и добавить в него необходимые опции. Изменения применяются без перезапуска FTP-сервера при следующем подключении клиента.
Создадим файл с настройками для Иванова:
Tocuh /etc/vsftpd_user_conf/ivanov
и внесем в него опцию:
Local_root=/var/www/example1.com
При следующем подключении корневая директория пользователя изменится на указанную. Также в этом файле мы можем задавать любые персональные опции, например, другой umask или права на доступ к файлам. Однако мы не можем использовать здесь глобальные настройки: опции подключения, логгирования, аутентификации, они будут просто игнорироваться.
Если вам нужно скрыть реальных владельцев файлов и папок, то можно использовать опцию:
Hide_ids=YES
В этом случае вместо реальных владельцев и групп будет указано ftp:ftp, это может быть полезным в случае публичного сервера или наличия в списке пользователей посторонних лиц, которым вы не хотите раскрывать реальные имена пользователей вашей системы.
Как видим, мы действительно создали рабочий FTP-сервер менее чем за полчаса.
В настоящей статье мы рассмотрим установку и настройку FTP сервера vsftpd на веб-сервер под управлением операционной системы Ubuntu Server 18.04.
FTP (File Transfer Protocol) - это протокол передачи файлов по сети. Порты по умолчанию: 21/TCP для команд, 20/TCP для данных. Порты для пассивного подключения настраиваются дополнительно в конфигурационном файле.
Установка
Для начала обновим индексы пакетов программ:
sudo apt update
Теперь устанавливаем сам FTP сервер:
sudo apt install vsftpd
Настройка
Открываем конфигурационный файл для редактирования:
sudo nano /etc/vsftpd.conf
Опуская комментарии его содержание должно быть следующим:
listen=YES
local_enable=YES
chroot_local_user=YES
check_shell=NO
write_enable=YES
xferlog_enable=YES
chown_uploads=YES
chown_username=nobody
anonymous_enable=NO
pasv_enable=YES
pasv_min_port=60000
pasv_max_port=60100
Конфигурационный файл
Перезапускаем FTP сервер:
sudo service vsftpd restart
Создаем пользователя FTP:
sudo adduser ftpuser
Создаем каталог для монтирования каталога сайта в домашний каталог нашего пользователя:
sudo mkdir /home/ftpuser/site
Монтируем:
sudo mount --bind /var/www /home/ftpuser/site
Монтирование каталогов
Теперь в /home/ftpuser/site будут отображаться файлы, которые лежат в /var/www. Обратите внимание на то, что монтирование сохраняется до перезагрузки сервера. После перезагрузки команду нужно будет повторить.
sudo chown www-data:ftpuser /var/www/ -R
sudo find /var/www -type d -exec chmod 775 {} \;
sudo find /var/www -type f -exec chmod 664 {} \;
Для того что бы пользователь мог подключаться по FTP нужно включить запрет на запись в корень домашнего каталога:
sudo chmod a-w /home/ftpuser/
Теперь нам необходимо настроить брандмауэр для подключения:
sudo ufw allow in 20/tcp
sudo ufw allow in 21/tcp
sudo ufw allow in 60000:60100/tcp
Проверяем правила:
sudo ufw status
Проверка правил
Все. Пробуем подключиться по FTP.
Подключение по FTP
Как видим подключение работает. В смонтированном каталоге файлы нашего тестового сайта.
Выводы
Установка FTP сервера на веб-сервер завершена. Теперь можно загружать файлы сайта на сервер и делать резервные копии. Если остались вопросы по данной теме, пишите в комментариях.
F TP (протокол передачи файлов) – это стандартный сетевой протокол, используемый для передачи файлов в удаленную сеть и из нее. Для более безопасной и быстрой передачи данных используйте SCP.
Для Linux доступно множество FTP-серверов с открытым исходным кодом. Самыми популярными и широко используемыми являются PureFTPd, ProFTPD и vsftpd. В этой статье мы будем устанавливать vsftpd. Это стабильный, безопасный и быстрый FTP-сервер. Мы также покажем вам, как настроить vsftpd для ограничения доступа пользователей к их домашнему каталогу и шифрования всей передачи с помощью SSL/TLS.
Хотя эта статья написана для Ubuntu 18.04, такие же инструкции применяются к Ubuntu 16.04 и любому дистрибутиву на базе Debian, включая Debian, Linux Mint и Elementary OS.
Предпосылки
Установка vsftpd на Ubuntu 18.04
Пакет vsftpd доступен в репозиториях . Чтобы установить его, просто выполните следующие команды:
Sudo apt update sudo apt install vsftpd
Служба vsftpd автоматически запустится после завершения процесса установки. Проверьте его, распечатав статус службы:
Sudo systemctl status vsftpd
Результат будет выглядеть примерно так, показывая, что служба vsftpd активна и работает:
* vsftpd.service - vsftpd FTP server Loaded: loaded (/lib/systemd/system/vsftpd.service; enabled; vendor preset: enabled) Active: active (running) since Mon 2018-10-15 03:38:52 PDT; 10min ago Main PID: 2616 (vsftpd) Tasks: 1 (limit: 2319) CGroup: /system.slice/vsftpd.service `-2616 /usr/sbin/vsftpd /etc/vsftpd.conf
Настройка vsftpd
Сервер vsftpd можно настроить, отредактировав файл /etc/vsftpd.conf. Большинство настроек задокументированы внутри файла конфигурации. Для всех доступных вариантов посетите официальную страницу vsftpd.
В следующих разделах мы рассмотрим некоторые важные настройки, необходимые для настройки безопасной установки vsftpd.
Начните с открытия файла конфигурации vsftpd:
Sudo nano /etc/vsftpd.conf
1. Доступ к FTP
Мы разрешаем доступ к FTP-серверу только локальным пользователям, находим директивы anonymous_enable и local_enable и проверяем соответствие вашей конфигурации следующим строкам:
/etc/vsftpd.conf
Anonymous_enable=NO local_enable=YES
2. Включение загрузки
Раскомментируйте настройку write_enable, чтобы разрешить изменения в файловой системе, такие как загрузка и удаление файлов.
/etc/vsftpd.conf
Write_enable=YES
3. Chroot
Чтобы пользователи FTP не могли получить доступ к каким-либо файлам вне своих домашних каталогов, раскомментируйте настройку chroot.
/etc/vsftpd.conf
Chroot_local_user=YES
По умолчанию для предотвращения уязвимости безопасности, когда chroot включен, vsftp откажется загружать файлы, если каталог, в котором пользователи заблокированы, доступен для записи.
- Метод 1.
– Рекомендуемый способ разрешить загрузку – включить chroot и настроить FTP-каталоги. В этой статье мы создадим каталог ftp внутри home пользователя, который будет служить chroot и записываем каталог uploads для загрузки файлов.
/etc/vsftpd.conf
User_sub_token=$USER local_root=/home/$USER/ftp
- Метод 2.
Еще один вариант – добавить следующую директиву в файл конфигурации vsftpd. Используйте этот параметр, если вы должны предоставить доступ к записи для своего пользователя в свой домашний каталог.
/etc/vsftpd.conf
Allow_writeable_chroot=YES
4. Пассивные FTP-соединения
vsftpd может использовать любой порт для пассивных FTP-соединений. Мы укажем минимальный и максимальный диапазон портов, а затем откроем диапазон в нашем брандмауэре.
Добавьте в файл конфигурации следующие строки:
/etc/vsftpd.conf
Pasv_min_port=30000 pasv_max_port=31000
5. Ограничение входа пользователя
Чтобы разрешить только определенным пользователям входить на FTP-сервер, добавьте следующие строки в конец файла:
/etc/vsftpd.conf
Userlist_enable=YES userlist_file=/etc/vsftpd.user_list userlist_deny=NO
Когда эта опция включена, вам необходимо явно указать, какие пользователи могут войти, добавив имена пользователей в файл /etc/vsftpd.user_list (по одному пользователю в строке).
6. Обеспечение передачи с помощью SSL/TLS
Чтобы шифровать FTP-передачи с помощью SSL/TLS, вам необходимо иметь сертификат SSL и настроить FTP-сервер для его использования.
Вы можете использовать , подписанный доверенным центром сертификации, или создать самоподписанный сертификат.
Если у вас есть домен или поддомен, указывающий на IP-адрес FTP-сервера, вы можете легко создать бесплатный сертификат SSL для шифрования.
В этой статье мы сгенерируем самоподписанный сертификат SSL с помощью команды openssl.
Следующая команда создаст 2048-битный закрытый ключ и самоподписанный сертификат, действительный в течение 10 лет. Как закрытый ключ, так и сертификат будут сохранены в одном файле:
Sudo openssl req -x509 -nodes -days 3650 -newkey rsa:2048 -keyout /etc/ssl/private/vsftpd.pem -out /etc/ssl/private/vsftpd.pem
Теперь, когда создан SSL-сертификат, откройте файл конфигурации vsftpd:
Sudo nano /etc/vsftpd.conf
Найдите директивы rsa_cert_fileи rsa_private_key_file, измените их значение pam в пути к файлу и установите директиву ssl_enable на YES:
/etc/vsftpd.conf
Rsa_cert_file=/etc/ssl/private/vsftpd.pem rsa_private_key_file=/etc/ssl/private/vsftpd.pem ssl_enable=YES
Если не указано иное, FTP-сервер будет использовать только TLS для обеспечения безопасных подключений.
Перезапустите службу vsftpd
После того, как вы закончите редактирование, файл конфигурации vsftpd (исключая комментарии) должен выглядеть примерно так:
/etc/vsftpd.conf
Listen=NO listen_ipv6=YES anonymous_enable=NO local_enable=YES write_enable=YES dirmessage_enable=YES use_localtime=YES xferlog_enable=YES connect_from_port_20=YES chroot_local_user=YES secure_chroot_dir=/var/run/vsftpd/empty pam_service_name=vsftpd rsa_cert_file=/etc/ssl/private/vsftpd.pem rsa_private_key_file=/etc/ssl/private/vsftpd.pem ssl_enable=YES user_sub_token=$USER local_root=/home/$USER/ftp pasv_min_port=30000 pasv_max_port=31000 userlist_enable=YES userlist_file=/etc/vsftpd.user_list userlist_deny=NO
Сохраните файл и перезапустите службу vsftpd, чтобы изменения вступили в силу:
Sudo systemctl restart vsftpd
Открытие брандмауэра
Если вы используете брандмауэр UFW, вам необходимо разрешить FTP-трафик.
Чтобы открыть порт 21(порт команд FTP), порт 20(порт данных FTP) и 30000-31000(диапазон пассивных портов), выполните следующие команды:
Sudo ufw allow 20:21/tcp sudo ufw allow 30000:31000/tcp
Чтобы избежать блокировки, мы откроем порт 22:
Sudo ufw allow OpenSSH
Перезагрузите правила UFW, отключив и снова включив UFW:
Sudo ufw disablesudo ufw enable
Чтобы проверить выполнение изменений:
Sudo ufw status Status: active To Action From -- ------ ---- 20:21/tcp ALLOW Anywhere 30000:31000/tcp ALLOW Anywhere OpenSSH ALLOW Anywhere 20:21/tcp (v6) ALLOW Anywhere (v6) 30000:31000/tcp (v6) ALLOW Anywhere (v6) OpenSSH (v6) ALLOW Anywhere (v6)
Создание пользователя FTP
Чтобы протестировать наш FTP-сервер, мы создадим нового пользователя.
- Если у вас уже есть пользователь, которому вы хотите предоставить FTP-доступ, пропустите 1-й шаг.
- Если вы установили allow_writeable_chroot=YES в своем файле конфигурации, пропустите 3-й шаг.
- Создайте нового пользователя с именем newftpuser: sudo adduser newftpuser
- Добавьте пользователя в список разрешенных пользователей FTP: echo "newftpuser" | sudo tee -a /etc/vsftpd.user_list
- Создайте дерево каталогов FTP и установите правильные разрешения: sudo mkdir -p /home/newftpuser/ftp/uploadsudo chmod 550 /home/newftpuser/ftpsudo chmod 750 /home/newftpuser/ftp/uploadsudo chown -R newftpuser: /home/newftpuser/ftp
Как обсуждалось в предыдущем разделе, пользователь сможет загружать свои файлы в каталог ftp/upload.
На данный момент ваш FTP-сервер полностью работоспособен, и вы должны иметь возможность подключаться к вашему серверу с любым , который может быть настроен на использование шифрования TLS, например FileZilla.
Отключение доступа к оболочке
По умолчанию при создании пользователя, если явно не указано, у пользователя будет доступ к серверу SSH.
Чтобы отключить доступ к оболочке, мы создадим новую оболочку, которая просто напечатает сообщение, сообщающее пользователю, что их учетная запись ограничивается только доступом к FTP.
Создайте оболочку /bin/ftponly и сделайте ее исполняемой:
Echo -e "#!/bin/sh\necho "This account account is limited to FTP access only."" | sudo tee -a /bin/ftponlysudo chmod a+x /bin/ftponly
Добавьте новую оболочку в список допустимых оболочек в файл /etc/shells
Echo "/bin/ftponly" | sudo tee -a /etc/shells
Измените оболочку пользователя на /bin/ftponly:
Sudo usermod newftpuser -s /bin/ftponly
Заключение
В этой статье вы узнали, как установить и настроить безопасный и быстрый FTP-сервер в вашей системе Ubuntu 18.04.
File Transfer Protocol (FTP) is a TCP protocol for downloading files between computers. In the past, it has also been used for uploading but, as that method does not use encryption, user credentials as well as data transferred in the clear and are easily intercepted. So if you are here looking for a way to upload and download files securely, see the section on OpenSSH in Remote Administration instead.
FTP works on a client/server model. The server component is called an FTP daemon . It continuously listens for FTP requests from remote clients. When a request is received, it manages the login and sets up the connection. For the duration of the session it executes any of commands sent by the FTP client.
Access to an FTP server can be managed in two ways:
In the Anonymous mode, remote clients can access the FTP server by using the default user account called "anonymous" or "ftp" and sending an email address as the password. In the Authenticated mode a user must have an account and a password. This latter choice is very insecure and should not be used except in special circumstances. If you are looking to transfer files securely see SFTP in the section on OpenSSH-Server. User access to the FTP server directories and files is dependent on the permissions defined for the account used at login. As a general rule, the FTP daemon will hide the root directory of the FTP server and change it to the FTP Home directory. This hides the rest of the file system from remote sessions.
vsftpd - FTP Server Installation
vsftpd is an FTP daemon available in Ubuntu. It is easy to install, set up, and maintain. To install vsftpd you can run the following command:
sudo apt install vsftpd
Anonymous FTP Configuration
By default vsftpd is not configured to allow anonymous download. If you wish to enable anonymous download edit /etc/vsftpd.conf by changing:
anonymous_enable=Yes
During installation a ftp user is created with a home directory of /srv/ftp . This is the default FTP directory.
If you wish to change this location, to /srv/files/ftp for example, simply create a directory in another location and change the ftp user"s home directory:
sudo mkdir /srv/files/ftp sudo usermod -d /srv/files/ftp ftp
After making the change restart vsftpd :
Finally, copy any files and directories you would like to make available through anonymous FTP to /srv/files/ftp , or /srv/ftp if you wish to use the default.
User Authenticated FTP Configuration
By default vsftpd is configured to authenticate system users and allow them to download files. If you want users to be able to upload files, edit /etc/vsftpd.conf :
write_enable=YES
Now restart vsftpd :
sudo systemctl restart vsftpd.service
Now when system users login to FTP they will start in their home directories where they can download, upload, create directories, etc.
Similarly, by default, anonymous users are not allowed to upload files to FTP server. To change this setting, you should uncomment the following line, and restart vsftpd :
anon_upload_enable=YES
Enabling anonymous FTP upload can be an extreme security risk. It is best to not enable anonymous upload on servers accessed directly from the Internet.
The configuration file consists of many configuration parameters. The information about each parameter is available in the configuration file. Alternatively, you can refer to the man page, man 5 vsftpd.conf for details of each parameter.
Securing FTP
There are options in /etc/vsftpd.conf to help make vsftpd more secure. For example users can be limited to their home directories by uncommenting:
chroot_local_user=YES
You can also limit a specific list of users to just their home directories:
chroot_list_enable=YES chroot_list_file=/etc/vsftpd.chroot_list
After uncommenting the above options, create a /etc/vsftpd.chroot_list containing a list of users one per line. Then restart vsftpd :
sudo systemctl restart vsftpd.service
Also, the /etc/ftpusers file is a list of users that are disallowed FTP access. The default list includes root, daemon, nobody, etc. To disable FTP access for additional users simply add them to the list.
FTP can also be encrypted using FTPS . Different from SFTP , FTPS is FTP over Secure Socket Layer (SSL). SFTP is a FTP like session over an encrypted SSH connection. A major difference is that users of SFTP need to have a shell account on the system, instead of a nologin shell. Providing all users with a shell may not be ideal for some environments, such as a shared web host. However, it is possible to restrict such accounts to only SFTP and disable shell interaction. See the section on OpenSSH-Server for more.
To configure FTPS , edit /etc/vsftpd.conf and at the bottom add:
Also, notice the certificate and key related options:
rsa_cert_file=/etc/ssl/certs/ssl-cert-snakeoil.pem rsa_private_key_file=/etc/ssl/private/ssl-cert-snakeoil.key
By default these options are set to the certificate and key provided by the ssl-cert package. In a production environment these should be replaced with a certificate and key generated for the specific host. For more information on certificates see Certificates .
Now restart vsftpd , and non-anonymous users will be forced to use FTPS :
sudo systemctl restart vsftpd.service
To allow users with a shell of /usr/sbin/nologin access to FTP, but have no shell access, edit /etc/shells adding the nologin shell:
# /etc/shells: valid login shells /bin/csh /bin/sh /usr/bin/es /usr/bin/ksh /bin/ksh /usr/bin/rc /usr/bin/tcsh /bin/tcsh /usr/bin/esh /bin/dash /bin/bash /bin/rbash /usr/bin/screen /usr/sbin/nologin
This is necessary because, by default vsftpd uses PAM for authentication, and the /etc/pam.d/vsftpd configuration file contains:
auth required pam_shells.so
The shells PAM module restricts access to shells listed in the /etc/shells file.
Most popular FTP clients can be configured to connect using FTPS. The lftp command line FTP client has the ability to use FTPS as well.