Как настроить FTP-сервер VSFTPD на CentOS 7

Как настроить FTP-сервер VSFTPD на CentOS 7

How to Setup FTP Server with VSFTPD on CentOS 7

21 Декабря 2019 | CentOS

В этом руководстве мы будем устанавливать vsftpd (Very Secure Ftp Daemon) на CentOS 7. Это стабильный, безопасный и быстрый FTP-сервер. Мы также покажем вам, как настроить vsftpd, чтобы ограничить пользователей их домашним каталогом и зашифровать всю передачу с помощью SSL / TLS.

Как настроить FTP-сервер VSFTPD на CentOS 7

FTP (File Transfer Protocol) - это стандартный клиент-серверный сетевой протокол, который позволяет пользователям передавать файлы в удаленную сеть и из нее.

Для Linux доступно несколько FTP-серверов с открытым исходным кодом. Наиболее популярными и широко используемыми являются PureFTPd , ProFTPD и vsftpd .

Для более безопасной и быстрой передачи данных используйте SCP или SFTP .

Прежде чем продолжить этот урок, убедитесь, что вы вошли в систему как пользователь с привилегиями sudo .

Пакет vsftpd доступен в репозиториях CentOS по умолчанию. Чтобы установить его, введите следующую команду:

sudo yum install vsftpd

После установки пакета запустите демон vsftpd и включите его автоматический запуск во время загрузки:

sudo systemctl start vsftpd
sudo systemctl enable vsftpd

Вы можете убедиться, что служба vsftpd запущена, напечатав ее статус:

sudo systemctl status vsftpd

Вывод будет выглядеть примерно так, как показано ниже, показывая, что служба vsftpd активна и работает:

● vsftpd.service - Vsftpd ftp daemon
   Loaded: loaded (/usr/lib/systemd/system/vsftpd.service; enabled; vendor preset: disabled)
   Active: active (running) since Thu 2018-11-22 09:42:37 UTC; 6s ago
 Main PID: 29612 (vsftpd)
   CGroup: /system.slice/vsftpd.service
           └─29612 /usr/sbin/vsftpd /etc/vsftpd/vsftpd.conf

Настройка службы vsftpd включает в себя редактирование /etc/vsftpd/vsftpd.conf файла конфигурации. Большинство настроек хорошо задокументированы в файле конфигурации. Для всех доступных вариантов посетите официальную страницу vsftpd .

В следующих разделах мы рассмотрим некоторые важные параметры, необходимые для настройки безопасной установки vsftpd.

Начните с открытия файла конфигурации vsftpd:

sudo nano /etc/vsftpd/vsftpd.conf

Мы разрешим доступ к FTP - серверу только локальным пользователям, найти anonymous_enable и local_enable директиву и подтвердить свой матч конфигурации линий ниже:

/etc/vsftpd/vsftpd.conf
anonymous_enable=NO
local_enable=YES

Раскомментируйте write_enable параметр, чтобы разрешить изменения в файловой системе, такие как загрузка и удаление файлов.

/etc/vsftpd/vsftpd.conf
write_enable=YES

Запретить пользователям FTP доступ к любым файлам за пределами их домашних каталогов, раскомментировав chrootдирективу.


/etc/vsftpd/vsftpd.conf
chroot_local_user=YES

По умолчанию, когда chroot включен, vsftpd откажется загружать файлы, если каталог, в котором заблокированы пользователи, доступен для записи. Это сделано для предотвращения уязвимости в безопасности.

Используйте один из методов ниже, чтобы разрешить загрузку, когда включен chroot.


Способ 1. - Рекомендуемый способ разрешить загрузку - оставить chroot включенным и настроить каталоги FTP. В этом уроке мы создадим ftpкаталог внутри домашнего пользователя, который будет служить chroot и записываемым uploadsкаталогом для загрузки файлов.

/etc/vsftpd/vsftpd.conf

user_sub_token=$USER
local_root=/home/$USER/ftp

Способ 2. - Другой вариант - добавить следующую директиву в файл конфигурации vsftpd. Используйте эту опцию, если вам необходимо предоставить доступ на запись для вашего пользователя к его домашнему каталогу.

/etc/vsftpd/vsftpd.conf
allow_writeable_chroot=YES

vsftpd может использовать любой порт для пассивных FTP-соединений. Мы укажем минимальный и максимальный диапазон портов, а затем откроем диапазон в нашем брандмауэре.

Добавьте следующие строки в файл конфигурации:

/etc/vsftpd/vsftpd.conf
pasv_min_port=30000
pasv_max_port=31000

Чтобы разрешить только определенным пользователям входить на FTP-сервер, добавьте следующие строки после userlist_enable=YESстроки:


/etc/vsftpd/vsftpd.conf
userlist_file=/etc/vsftpd/user_list
userlist_deny=NO

Когда эта опция включена, вам нужно явно указать, какие пользователи могут войти, добавив имена пользователей в /etc/vsftpd/user_list файл (по одному пользователю в строке).

Чтобы зашифровать передачи FTP с помощью SSL / TLS, вам необходимо иметь сертификат SSL и настроить сервер FTP для его использования.

Вы можете использовать существующий сертификат SSL, подписанный доверенным центром сертификации, или создать самозаверяющий сертификат.

Если у вас есть домен или поддомен, указывающий на IP-адрес FTP-сервера, вы можете легко создать бесплатный SSL-сертификат Let's Encrypt .

В этом руководстве мы создадим самозаверяющий сертификат SSL с помощью opensslк оманды.

Следующая команда создаст 2048-битный закрытый ключ и самозаверяющий сертификат, действительный в течение 10 лет. И закрытый ключ, и сертификат будут сохранены в одном файле:


sudo openssl req -x509 -nodes -days 3650 -newkey rsa:2048 -keyout /etc/vsftpd/vsftpd.pem -out /etc/vsftpd/vsftpd.pem


После создания SSL-сертификата откройте файл конфигурации vsftpd:


sudo nano /etc/vsftpd/vsftpd.conf


Найдите директивы rsa_cert_fileand rsa_private_key_file, измените их значения на pam путь к файлу и установите ssl_enable директиву YES:


/etc/vsftpd/vsftpd.conf
rsa_cert_file=/etc/vsftpd/vsftpd.pem
rsa_private_key_file=/etc/vsftpd/vsftpd.pem
ssl_enable=YES

Если не указано иное, FTP-сервер будет использовать только TLS для создания безопасных соединений.

Как только вы закончите редактирование, файл конфигурации vsftpd (исключая комментарии) должен выглядеть примерно так:

/etc/vsftpd/vsftpd.conf
anonymous_enable=NO
local_enable=YES
write_enable=YES
local_umask=022
dirmessage_enable=YES
xferlog_enable=YES
connect_from_port_20=YES
xferlog_std_format=YES
chroot_local_user=YES
listen=NO
listen_ipv6=YES
pam_service_name=vsftpd
userlist_enable=YES
userlist_file=/etc/vsftpd/user_list
userlist_deny=NO
tcp_wrappers=YES
user_sub_token=$USER
local_root=/home/$USER/ftp
pasv_min_port=30000
pasv_max_port=31000
rsa_cert_file=/etc/vsftpd/vsftpd.pem
rsa_private_key_file=/etc/vsftpd/vsftpd.pem
ssl_enable=YES

Сохраните файл и перезапустите службу vsftpd, чтобы изменения вступили в силу:


sudo systemctl restart vsftpd

Если вы используете брандмауэр, вам нужно разрешить FTP-трафик.

Чтобы открыть порт 21(командный порт FTP), порт 20( порт данных FTP) и 30000-31000(диапазон пассивных портов), введите следующие команды:


sudo firewall-cmd --permanent --add-port=20-21/tcp
sudo firewall-cmd --permanent --add-port=30000-31000/tcp


Перезагрузите правила брандмауэра, набрав:


firewall-cmd --reload

Чтобы протестировать наш FTP-сервер, мы создадим нового пользователя.

  • Если у вас уже есть пользователь, которому вы хотите предоставить доступ по FTP, пропустите первый шаг.
  • Если вы установили allow_writeable_chroot=YESв своем файле конфигурации пропустите 3-й шаг.
  1. Создайте нового пользователя с именем newftpuser:

    sudo adduser newftpuser
    

    Далее вам нужно установить пароль пользователя :

    sudo passwd newftpuser
    
  2. Добавьте пользователя в список разрешенных пользователей FTP:

    echo "newftpuser" | sudo tee -a /etc/vsftpd/user_list
    
  3. Создайте дерево каталогов FTP и установите правильные разрешения :

    sudo mkdir -p /home/newftpuser/ftp/upload
    sudo chmod 550 /home/newftpuser/ftp
    sudo chmod 750 /home/newftpuser/ftp/upload
    sudo chown -R newftpuser: /home/newftpuser/ftp
    

    Как обсуждалось в предыдущем разделе, пользователь сможет загружать свои файлы в ftp/upload каталог.

На этом этапе ваш FTP-сервер полностью функционален, и вы сможете подключиться к вашему серверу с помощью любого FTP-клиента, который можно настроить на использование шифрования TLS, например FileZilla .

По умолчанию при создании пользователя, если он не указан явно, у пользователя будет SSH-доступ к серверу.

Чтобы отключить доступ к оболочке, мы создадим новую оболочку, которая просто напечатает сообщение, сообщающее пользователю, что его учетная запись ограничена только доступом по FTP.

Выполните следующие команды, чтобы создать /bin/ftponly оболочку и сделать ее исполняемой:


echo -e '#!/bin/sh\necho "This account is limited to FTP access only."' | sudo tee -a  /bin/ftponly
sudo chmod a+x /bin/ftponly


Добавьте новую оболочку в список допустимых оболочек в /etc/shells файле:


echo "/bin/ftponly" | sudo tee -a /etc/shells


Измените пользовательскую оболочку на /bin/ftponly:


sudo usermod newftpuser -s /bin/ftponly


Используйте ту же команду, чтобы изменить оболочку для других пользователей, которым вы хотите предоставить только доступ по FTP.

Из этого руководства вы узнали, как установить и настроить безопасный и быстрый FTP-сервер в вашей системе CentOS 7.


    Комментарии

    Если у вас есть вопросы, не стесняйтесь оставлять комментарии ниже.

Загрузка комментариев...