强调一点最关键的:cuteftp里的设置一定要看
|
1 2 3 4 5 6 7 8 9 10 11 |
listen=NO listen_ipv6=YES write_enable=YES use_localtime=YES pam_service_name=vsftpd ssl_enable=NO pasv_enable=Yes pasv_min_port=10000 pasv_max_port=11000 user_sub_token=$USER local_root=/home/$USER/ftp |
上面是最简的/etc/vsftpd.conf文件
转载自:如何在Ubuntu 18.04上使用VSFTPD设置FTP服务器
FTP(文件传输协议)是一种标准的网络协议,用于在远程网络之间传输文件。为了更安全,更快地传输数据,请使用 SCP 或 SFTP 。
有许多可用于Linux的开源FTP服务器。最受欢迎和使用最广泛的是 PureFTPd , ProFTPD 和 vsftpd 。在本教程中,我们将安装vsftpd(非常安全的Ftp守护程序)。它是稳定,安全和快速的FTP服务器。我们还将向您展示如何配置vsftpd以限制用户访问其主目录,并使用SSL/TLS加密整个传输。
尽管本教程是为Ubuntu 18.04编写的,但同样的说明适用于Ubuntu 16.04和任何基于Debian的发行版,包括Debian,Linux Mint和Elementary OS。
先决条件
在继续学习本教程之前,请确保您以个具有sudo特权的用户身份登录。
在Ubuntu 18.04上安装vsftpd
vsftpd软件包可在Ubuntu存储库中找到。要安装它,只需运行以下命令:
|
1 |
sudo apt update sudo apt install vsftpd |
Copy
vsftpd服务将在安装过程完成后自动启动。通过打印服务状态进行验证:
|
1 |
sudo systemctl status vsftpd |
Copy
输出如下所示,表明vsftpd服务处于活动状态并正在运行:
|
1 2 3 4 5 6 7 |
* vsftpd.service - vsftpd FTP server Loaded: loaded (/lib/systemd/system/vsftpd.service; enabled; vendor preset: enabled) Active: active (running) since Mon 2018-10-15 03:38:52 PDT; 10min ago Main PID: 2616 (vsftpd) Tasks: 1 (limit: 2319) CGroup: /system.slice/vsftpd.service `-2616 /usr/sbin/vsftpd /etc/vsftpd.conf |
Copy
配置vsftpd
可以通过编辑/etc/vsftpd.conf文件来配置vsftpd服务器。大多数设置在配置文件中都有详细记录。有关所有可用选项,请访问官方vsftpd 页面。
在以下各节中,我们将介绍配置安全的vsftpd安装所需的一些重要设置。
首先打开vsftpd配置文件:
|
1 |
sudo nano /etc/vsftpd.conf |
Copy
1.FTP访问
我们仅允许本地用户访问FTP服务器,找到anonymous_enable和local_enable指令,并验证您的配置是否与以下行匹配:
/etc/vsftpd.conf
|
1 2 |
anonymous_enable=NO local_enable=YES |
Copy
2.启用上传
取消注释write_enable设置以允许对文件系统进行更改,例如上载和删除文件。
/etc/vsftpd.conf
|
1 |
write_enable=YES |
Copy
3.chroot
为防止FTP用户访问其主目录之外的任何文件,请取消注释chroot设置。
/etc/vsftpd.conf
|
1 |
chroot_local_user=YES |
Copy
默认情况下,为了防止安全漏洞,启用chroot后,如果用户锁定的目录可写,则vsftpd将拒绝上传文件。
启用chroot时,请使用以下方法之一允许上传。
方法1. -推荐的允许上传的方法是保持chroot的状态,并配置FTP目录。在本教程中,我们将在用户主目录内创建一个ftp目录,该目录将用作chroot和一个可写的uploads目录,用于上传文件。 /etc/vsftpd.conf
|
1 2 |
user_sub_token=$USER local_root=/home/$USER/ftp |
Copy
方法2. -另一个选项是在vsftpd配置文件中添加以下指令。如果必须将用户的可写访问权限授予其主目录,请使用此选项。 /etc/vsftpd.conf
|
1 |
allow_writeable_chroot=YES |
Copy
4。被动FTP连接
vsftpd可以使用任何端口进行被动FTP连接。我们将指定端口的最小和最大范围,然后在防火墙中打开该范围。
将以下行添加到配置文件:
/etc/vsftpd.conf
|
1 2 |
pasv_min_port=30000 pasv_max_port=31000 |
Copy
5.限制用户登录
要仅允许某些用户登录FTP服务器,请在文件末尾添加以下几行:
/etc/vsftpd.conf
|
1 2 3 |
userlist_enable=YES userlist_file=/etc/vsftpd.user_list userlist_deny=NO |
Copy
启用此选项后,您需要通过将用户名添加到/etc/vsftpd.user_list文件(每行一个用户)来明确指定哪些用户可以登录。
6.使用SSL / TLS保护传输
要使用SSL / TLS加密FTP传输,您需要具有SSL证书并配置FTP服务器以使用它。
您可以使用由受信任的证书颁发机构签名的现有SSL证书,也可以创建自签名证书。
如果您有指向FTP服务器IP地址的域或子域,则可以轻松生成免费的 Let’s Encrypt SSL证书。
我们将使用openssl命令生成个自签名SSL证书。
以下命令将创建一个有效期为10年的2048位私钥和自签名证书。私钥和证书都将保存在同一文件中:
|
1 |
sudo openssl req -x509 -nodes -days 3650 -newkey rsa:2048 -keyout /etc/ssl/private/vsftpd.pem -out /etc/ssl/private/vsftpd.pem |
Copy
创建SSL证书后,打开vsftpd配置文件:
|
1 |
sudo nano /etc/vsftpd.conf |
Copy
查找rsa_cert_file和rsa_private_key_file指令,将它们的值更改为pam文件路径,并将ssl_enable指令设置为YES:
/etc/vsftpd.conf
|
1 2 3 |
rsa_cert_file=/etc/ssl/private/vsftpd.pem rsa_private_key_file=/etc/ssl/private/vsftpd.pem ssl_enable=YES |
Copy
如果没有另外指定,则FTP服务器将仅使用TLS建立安全连接。
重新启动vsftpd服务
完成编辑后,vsftpd配置文件(不包括注释)应如下所示:
/etc/vsftpd.conf
|
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 |
listen=NO listen_ipv6=YES anonymous_enable=NO local_enable=YES write_enable=YES dirmessage_enable=YES use_localtime=YES xferlog_enable=YES connect_from_port_20=YES chroot_local_user=YES secure_chroot_dir=/var/run/vsftpd/empty pam_service_name=vsftpd rsa_cert_file=/etc/ssl/private/vsftpd.pem rsa_private_key_file=/etc/ssl/private/vsftpd.pem ssl_enable=YES user_sub_token=$USER local_root=/home/$USER/ftp pasv_min_port=30000 pasv_max_port=31000 userlist_enable=YES userlist_file=/etc/vsftpd.user_list userlist_deny=NO |
Copy
保存文件,然后重新启动vsftpd服务,以使更改生效:
|
1 |
sudo systemctl restart vsftpd |
Copy
打开防火墙
如果您正在运行 UFW防火墙,则需要允许FTP通信。
要打开端口21(FTP命令端口),端口20(FTP数据端口)和30000-31000(被动端口范围),请运行以下命令:
|
1 2 |
sudo ufw allow 20:21/tcp sudo ufw allow 30000:31000/tcp |
Copy
为避免被锁定,请打开端口22:
|
1 |
sudo ufw allow OpenSSH |
Copy
通过禁用和重新启用UFW重新加载UFW规则:
|
1 2 |
sudo ufw disable sudo ufw enable |
Copy
要验证更改,请运行:
|
1 |
sudo ufw status |
Copy
|
1 2 3 4 5 6 7 8 9 10 |
Status: active To Action From -- ------ ---- 20:21/tcp ALLOW Anywhere 30000:31000/tcp ALLOW Anywhere OpenSSH ALLOW Anywhere 20:21/tcp (v6) ALLOW Anywhere (v6) 30000:31000/tcp (v6) ALLOW Anywhere (v6) OpenSSH (v6) ALLOW Anywhere (v6) |
Copy
创建FTP用户
要测试我们的FTP服务器,我们将创建一个新用户。
- 如果您已经有要授予FTP访问权限的用户,请跳过第一步。
- 如果在配置文件中设置了
allow_writeable_chroot=YES,请跳过第三步。
创建一个名为newftpuser的新用户:
|
1 |
sudo adduser newftpuser |
Copy
将用户添加到允许的FTP用户列表:
|
1 |
echo "newftpuser" | sudo tee -a /etc/vsftpd.user_list |
Copy
创建FTP目录树并设置正确的权限:
|
1 2 3 4 |
sudo mkdir -p /home/newftpuser/ftp/upload sudo chmod 550 /home/newftpuser/ftp sudo chmod 750 /home/newftpuser/ftp/upload sudo chown -R newftpuser: /home/newftpuser/ftp |
Copy
如上一节所述,用户将能够将其文件上传到ftp/upload目录。
至此,您的FTP服务器已正常运行,您应该能够使用可以配置为使用TLS加密的任何FTP客户端(例如 FileZilla )连接到服务器。
禁用shell程序访问权限
默认情况下,在创建用户时,如果未明确指定,则该用户将具有对服务器的SSH访问权限。
要禁用外壳程序访问,我们将创建一个新的外壳程序,该外壳程序将仅打印一条消息,告知用户其帐户仅限于FTP访问。
创建/bin/ftponly shell并使其可执行:
|
1 2 |
echo -e '#!/bin/sh\necho "This account is limited to FTP access only."' | sudo tee -a /bin/ftponly sudo chmod a+x /bin/ftponly |
Copy
将新外壳追加到/etc/shells文件中的有效外壳列表中:
|
1 |
echo "/bin/ftponly" | sudo tee -a /etc/shells |
Copy
将用户外壳更改为/bin/ftponly:
|
1 |
sudo usermod newftpuser -s /bin/ftponly |
Copy
使用相同的命令来更改仅希望授予FTP访问权限的所有用户的外壳。
结论
在本教程中,您学习了如何在Ubuntu 18.04系统上安装和配置安全快速的FTP服务器。
