共计 3549 个字符,预计需要花费 9 分钟才能阅读完成。
如何在 ubuntu 20.04 安装 vsftpd 配置 FTP 文件服务器? 我们如何在 ubuntu 20.04 上安装和配置用于在设备之间共享文件的 FTP 服务器。vsftpd(Very secure ftp daemon): 就是一个非常安全的 ftp 服务程序,它是从 ftp 衍生出来的,提供更高的安全度,但是功能不够 ftp 齐全。我们将安装 VSFTPD(Very Secure Ftp Daemon),这是一个稳定、安全且快速的 FTP 服务器。我们还将向介绍如何配置服务器以限制用户访问他们的主目录并使用 SSL/TLS 加密整个传输。虽然 FTP 是一种非常流行的协议,但为了更安全和更快的数据传输,应该使用 SCP 或 SFTP。
第一、在 Ubuntu 20.04 上安装 vsftpd
vsftpd 包在 Ubuntu 存储库中可用。要安装它,请执行以下命令:
sudo apt update
sudo apt install vsftpd
安装过程完成后,ftp 服务将自动启动。要验证它,查看状态。
sudo systemctl status vsftpd
输出应显示 vsftpd 服务处于活动状态并正在运行:
vsftpd.service – vsftpd FTP server
Loaded: loaded (/lib/systemd/system/vsftpd.service; enabled; vendor preset: enabled)
Active: active (running) since Tue 2021-09-30 18:11:21 UTC; 3s ago
…
第二、配置 vsftpd
vsftpd 服务器配置存储在 /etc/vsftpd.conf 文件中。大多数服务器设置在文件中都有详细记录。有关所有可用选项,请访问 vsftpd 文档页面。在以下部分中,我们将介绍配置安全 vsftpd 安装所需的一些重要设置。
首先打开 vsftpd 配置文件:
sudo nano /etc/vsftpd.conf
1、FTP 访问权限
我们将只允许本地用户访问 ftp 服务器。搜索 anonymous_enable 和 local_enable 指令,验证你的配置是否与下面的行匹配:
anonymous_enable=NO
local_enable=YES
按照上面配置。
2、允许上传
设置 write_enable 指令的注释以允许文件系统更改,例如上传和删除文件:
write_enable=YES
3、配置 Chroot jail
为了防止本地 FTP 用户访问主目录之外的文件,请取消以 chroot_local_user 开头的注释:
chroot_local_user=YES
出于安全考虑,默认情况下,当 chroot 开启时,如果用户锁定的目录是可写的,vsftpd 将拒绝上传文件。
使用下面的解决方案之一,允许上传时,chroot 是启用的:
推荐的选项是启用 chroot 特性并配置 FTP 目录。在这个例子中,我们将在用户的 home 中创建一个 ftp 目录,作为 chroot 和一个可写的上传目录,用于上传文件:
user_sub_token=$USER
local_root=/home/$USER/ftp
4、设置被动 FTP 连接
pasv_min_port=30000
pasv_max_port=31000
我们可以使用任何端口进行被动 FTP 连接。当启用被动模式时,FTP 客户端将在您选择的范围内的任意端口上打开到服务器的连接。
5、限时用户访问
userlist_enable=YES
userlist_file=/etc/vsftpd.user_list
userlist_deny=NO
当启用该选项时,需要通过在 /etc/vsftpd. conf 文件中添加用户名来明确指定哪些用户可以登录 User_list 文件 (每行一个用户)。
6、使用 SSL/TLS 保护传输
要使用 SSL/TLS 加密 FTP 传输,我们需要有一个 SSL 证书并配置 FTP 服务器来使用它。我们可以使用由受信任的证书颁发机构签署的现有 SSL 证书,或创建自签名证书。
我们将生成一个有效期为 10 年的 2048 位私钥和自签名 SSL 证书。
sudo openssl req -x509 -nodes -days 3650 -newkey rsa:2048 -keyout /etc/ssl/private/vsftpd.pem -out /etc/ssl/private/vsftpd.pem
私钥和证书将保存在同一个文件中。SSL 证书创建完成后,打开 vsftpd 配置文件:
sudo nano /etc/vsftpd.conf
找到 rsa_cert_file 和 rsa_private_key_file 指令,将它们的值更改为 pam 文件路径,并将 ssl_enable 指令设置为 YES:
rsa_cert_file=/etc/ssl/private/vsftpd.pem
rsa_private_key_file=/etc/ssl/private/vsftpd.pem
ssl_enable=YES
如果没有指定,FTP 服务器将只使用 TLS 进行安全连接。
7、重启 vsftpd 服务
这些是所有的配置。
listen=NO
listen_ipv6=YES
anonymous_enable=NO
local_enable=YES
write_enable=YES
dirmessage_enable=YES
use_localtime=YES
xferlog_enable=YES
connect_from_port_20=YES
chroot_local_user=YES
secure_chroot_dir=/var/run/vsftpd/empty
pam_service_name=vsftpd
rsa_cert_file=/etc/ssl/private/vsftpd.pem
rsa_private_key_file=/etc/ssl/private/vsftpd.pem
ssl_enable=YES
user_sub_token=$USER
local_root=/home/$USER/ftp
pasv_min_port=30000
pasv_max_port=31000
userlist_enable=YES
userlist_file=/etc/vsftpd.user_list
userlist_deny=NO
我们检查一下,然后重启。
sudo systemctl restart vsftpd
重启生效。
第三、开启防火墙
如果我们服务器有防火墙,需要开启端口。
sudo ufw allow 20:21/tcp
sudo ufw allow 30000:31000/tcp
为了避免被锁定,请确保端口 22 是打开的
sudo ufw allow OpenSSH
通过禁用和重新启用 UFW 重新加载 UFW 规则.
sudo ufw disable
sudo ufw enable
第四、创建 FTP 用户
为了测试 FTP 服务器,我们将创建一个新用户。如果需要授予 FTP 访问权限的用户已经存在,请跳过第一步。如果您在配置文件中设置了 allow_writeable_chroot=YES,请跳过第三步。
1、创建新用户 newftpuser
sudo adduser newftpuser
2、将该用户添加到允许的 FTP 用户列表中
echo “newftpuser” | sudo tee -a /etc/vsftpd.user_list
3、创建 FTP 目录并设置正确的权限
sudo mkdir -p /home/newftpuser/ftp/upload
sudo chmod 550 /home/newftpuser/ftp
sudo chmod 750 /home/newftpuser/ftp/upload
sudo chown -R newftpuser: /home/newftpuser/ftp
第五、禁用 Shell 访问
echo -e ‘#!/bin/sh\necho “This account is limited to FTP access only.”‘ | sudo tee -a /bin/ftponly
sudo chmod a+x /bin/ftponly
默认情况下,在创建用户时,如果没有显式指定,用户将具有对服务器的 SSH 访问权限。要禁用 shell 访问,请创建一个新的 shell,该 shell 将打印一条消息,告诉用户他们的帐户仅限于 FTP 访问。
将新的 shell 添加到 /etc/shell 文件中的有效 shell 列表中:
echo “/bin/ftponly” | sudo tee -a /etc/shells
将 shell 用户改为 /bin/ftponly:
sudo usermod newftpuser -s /bin/ftponly
我们就可以使用相同的命令来更改您想要只授予 FTP 访问权限的所有用户的 shell。
这样,我们就完成在服务器中配置 VSFTPD 以及创建 FTP 用户。
