如果您喜欢{Linux265},请告诉您身边的朋友,谢谢! 首页 > 资讯 > 如何在 Debian 9上使用 VSFTPD 设置FTP服务器

如何在 Debian 9上使用 VSFTPD 设置FTP服务器

发布时间:2018-12-11

如何在 Debian 9上使用 VSFTPD 设置FTP服务器如何在 Debian 9上使用 VSFTPD 设置FTP服务器

FTP(File Transfer Protocol 文件传输协议)是用于与远程网络之间传输文件的标准网络协议。 要获得更安全,更快速的数据传输,请使用SCP或SFTP。

有许多可用于Linux的开源FTP服务器。 最流行和最广泛使用的是PureFTPd,ProFTPD和vsftpd。

本教程介绍如何在Debian 9上安装和配置vsftpd(非常安全的Ftp守护程序)。vsftpd是一个稳定,安全,快速的FTP服务器。 我们还将向您展示如何配置vsftpd以将用户限制到其主目录,并使用SSL / TLS加密整个传输。

前提条件

您登录的用户必须具有sudo权限才能安装软件包。

在Debian9上安装vsftpd

Debian存储库中提供了vsftpd软件包。 安装非常简单:

sudo apt update
sudo apt install vsftpd

安装过程完成后,vsftpd服务将自动启动。 通过打印服务状态进行验证:

sudo systemctl status vsftpd

输出将如下所示,表明vsftpd服务处于活动状态并正在运行:

● vsftpd.service - vsftpd FTP server
   Loaded: loaded (/lib/systemd/system/vsftpd.service; enabled; vendor preset: enabled)
   Active: active (running) since Mon 2018-12-10 11:42:51 UTC; 53s ago
 Main PID: 1394 (vsftpd)
   CGroup: /system.slice/vsftpd.service
           └─1394 /usr/sbin/vsftpd /etc/vsftpd.conf

配置vsftpd

可以通过修改/etc目录中的vsftpd.conf文件来配置vsftpd服务器。

大多数设置都在配置文件中有详细记录。 有关所有可用选项,请访问官方vsftpd页面。

在以下部分中,我们将介绍配置安全vsftpd安装所需的一些重要设置。

首先打开vsftpd配置文件:

sudo nano /etc/vsftpd.conf

01、FTP访问

找到anonymous_enable和local_enable指令,并验证您的配置是否与以下行匹配:

/etc/vsftpd.conf
anonymous_enable=NO
local_enable=YES

这可确保只有本地用户才能访问FTP服务器。

02、启用上传

取消注释write_enable设置以允许更改文件系统,例如上载和删除文件。

/etc/vsftpd.conf
write_enable=YES

03、 Chroot Jail

要防止FTP用户访问其主目录之外的任何文件,请取消注释chroot设置。

/etc/vsftpd.conf
chroot_local_user=YES

默认情况下,防止安全漏洞,当启用chroot时,如果锁定用户的目录是可写的,vsftp将拒绝上载文件。

使用以下方法之一允许在启用chroot时上载。

  • 方法1. - 允许上载的推荐方法是保持chroot,并配置FTP目录。 在本教程中,我们将在用户主目录中创建一个ftp目录,该目录将用作chroot和用于上载文件的可写上载目录。 /etc/vsftpd.conf
    user_sub_token=$USER
    local_root=/home/$USER/ftp
  • 方法2. - 另一个选项是在vsftpd配置文件中添加以下指令。 如果必须将用户的可写访问权限授予其主目录,请使用此选项。 /etc/vsftpd.conf
    allow_writeable_chroot=YES

04、被动FTP连接

vsftpd可以使用任何端口进行被动FTP连接。 我们将指定端口的最小和最大范围,然后在防火墙中打开范围。

将以下行添加到配置文件中:

/etc/vsftpd.conf
pasv_min_port=30000
pasv_max_port=31000

05、限制用户登录

要仅允许某些用户登录FTP服务器,请在文件末尾添加以下行:

/etc/vsftpd.conf
userlist_enable=YES
userlist_file=/etc/vsftpd.user_list
userlist_deny=NO

启用此选项后,您需要通过将用户名添加到/etc/vsftpd.user_list文件(每行一个用户)来明确指定哪些用户能够登录。

06、使用SSL/TLS保护传输

为了使用SSL / TLS加密FTP传输,您需要拥有SSL证书并配置FTP服务器才能使用它。

您可以使用由受信任的证书颁发机构签名的现有SSL证书,也可以创建自签名证书。

如果您有指向FTP服务器IP地址的域或子域,则可以轻松生成免费的Let's Encrypt SSL证书。

在本教程中,我们将使用openssl命令生成自签名SSL证书。

以下命令将创建一个2048位私钥和自签名证书,有效期为10年。 私钥和证书都将保存在同一个文件中:

sudo openssl req -x509 -nodes -days 3650 -newkey rsa:2048 -keyout /etc/ssl/private/vsftpd.pem -out /etc/ssl/private/vsftpd.pem

现在已创建SSL证书,打开vsftpd配置文件:

sudo nano /etc/vsftpd.conf

找到rsa_cert_file和rsa_private_key_file指令,将它们的值更改为pam文件路径并将ssl_enable指令设置为YES:

/etc/vsftpd.conf
rsa_cert_file=/etc/ssl/private/vsftpd.pem
rsa_private_key_file=/etc/ssl/private/vsftpd.pem
ssl_enable=YES

如果没有另外指定,FTP服务器将仅使用TLS进行安全连接。

重新启动vsftpd服务

完成编辑后,vsftpd配置文件(不包括注释)应如下所示:

/etc/vsftpd.conf
listen=NO
listen_ipv6=YES
anonymous_enable=NO
local_enable=YES
write_enable=YES
dirmessage_enable=YES
use_localtime=YES
xferlog_enable=YES
connect_from_port_20=YES
chroot_local_user=YES
secure_chroot_dir=/var/run/vsftpd/empty
pam_service_name=vsftpd
rsa_cert_file=/etc/ssl/certs/ssl-cert-snakeoil.pem
rsa_private_key_file=/etc/ssl/private/ssl-cert-snakeoil.key
ssl_enable=YES
user_sub_token=$USER
local_root=/home/$USER/ftp
pasv_min_port=30000
pasv_max_port=31000
userlist_enable=YES
userlist_file=/etc/vsftpd.user_list
userlist_deny=NO

保存文件并重新启动vsftpd服务以使更改生效:

sudo systemctl restart vsftpd

打开防火墙

如果您运行的是UFW防火墙,则需要允许FTP通信。

要打开端口21(FTP命令端口),端口20(FTP数据端口)和30000-31000(被动端口范围),请运行以下命令:

sudo ufw allow 20:21/tcp
sudo ufw allow 30000:31000/tcp

为了避免被锁定,我们将打开端口22:

sudo ufw allow OpenSSH

通过禁用和重新启用UFW来重新加载UFW规则:

sudo ufw disable
sudo ufw enable

要验证更改运行:

sudo ufw status
Status: active

To                         Action      From
--                         ------      ----
20:21/tcp                  ALLOW       Anywhere
30000:31000/tcp            ALLOW       Anywhere
OpenSSH                    ALLOW       Anywhere
20:21/tcp (v6)             ALLOW       Anywhere (v6)
30000:31000/tcp (v6)       ALLOW       Anywhere (v6)
OpenSSH (v6)               ALLOW       Anywhere (v6)

创建FTP用户

要测试我们的FTP服务器,我们将创建一个新用户。

  • 如果您已经拥有要授予FTP访问权限的用户,请跳过第1步。
  • 如果在配置文件中设置allow_writeable_chroot = YES,请跳过第3步。

01、创建一个名称为 newftpuser 的用户:

sudo adduser newftpuser

02、将用户添加到允许的FTP用户列表:

echo "newftpuser" | sudo tee -a /etc/vsftpd.user_list

03、创建FTP目录树并设置正确的权限:

sudo mkdir -p /home/newftpuser/ftp/upload
sudo chmod 550 /home/newftpuser/ftp
sudo chmod 750 /home/newftpuser/ftp/upload
sudo chown -R newftpuser: /home/newftpuser/ftp

如上一节所述,用户可以将其文件上传到ftp/upload目录。

此时,您的FTP服务器功能齐全,您应该可以使用任何可以配置为使用TLS加密的FTP客户端(如FileZilla)连接到您的服务器。

禁用Shell访问

默认情况下,在创建用户时,如果未明确指定,则用户将具有对服务器的SSH访问权限。

要禁用shell访问,我们将创建一个新的shell,它只会打印一条消息,告诉用户他们的帐户仅限于FTP访问。

创建/bin/ftponly shell并使其可执行:

echo -e '#!/bin/sh\necho "This account account is limited to FTP access only."' | sudo tee -a  /bin/ftponly
sudo chmod a+x /bin/ftponly

将新shell附加到/etc/shells文件中的有效shell列表:

echo "/bin/ftponly" | sudo tee -a /etc/shells
sudo usermod newftpuser -s /bin/ftponly

使用相同的命令更改要仅提供FTP访问权限的所有用户的shell。

总结

在本教程中,您学习了如何在Debian 9系统上安装和配置安全,快速的FTP服务器。

标签:#Debian,#vsftpd,#ftp

留言(1条)

和Ubuntu中配置差不多!

我要发表看法

我要发表看法

«-必填

«-必填,不公开

«-我信任你,不会填写广告链接

若看不清,请点击更换

«- 点击按钮

一周热门