Како подесити ФТП сервер са ВСФТПД на Убунту 20.04

Овај чланак описује како инсталирати и конфигурисати ФТП сервер на Убунту 20.04 коју користите за дељење датотека између уређаја.

ФТП (Филе Трансфер Протоцол) је стандардни мрежни протокол који се користи за пренос датотека на и са удаљене мреже. За Линук постоји неколико ФТП сервера отвореног кода. Најпознатији и најшире коришћени су ПуреФТПд, ПроФТПД и всфтпд . Инсталираћемо всфтпд (Вери Сецуре Фтп Даемон), стабилан, сигуран и брз ФТП сервер. Такође ћемо вам показати како да конфигуришете сервер да ограничи кориснике на њихов кућни директоријум и шифрира целокупан пренос са ССЛ / ТЛС.

Иако је ФТП веома популаран протокол, за сигурнији и бржи пренос података, требало би да користите СЦП или СФТП .

Инсталирање всфтпд на Убунту 20.04 #

Пакет всфтпд доступан је у Убунту спремиштима. Да бисте га инсталирали, извршите следеће наредбе:

судо апт упдатесудо апт инсталл всфтпд

ФТП услуга ће се аутоматски покренути након завршетка процеса инсталације. Да бисте је верификовали, одштампајте статус услуге:

судо системцтл статус всфтпд

Излаз треба да покаже да је всфтпд услуга активна и да ради:

● всфтпд.услуга - всфтпд ФТП сервер Лоадед: лоадед (/ либ / системд / систем / всфтпд.услуга; омогућено; унапред подешено: добављач активан: активан (активан) од уторка 2021-03-02 15:17:22 УТЦ; Пре 3с… 

Конфигурисање всфтпд #

Конфигурација всфтпд сервера се чува у / етц / всфтпд.цонф датотека.

Већина поставки сервера добро је документована унутар датотеке. За све доступне опције посетите страницу документације всфтпд.

У следећим одељцима ћемо размотрити нека важна подешавања потребна за конфигурисање сигурне всфтпд инсталације.

Почните тако што ћете отворити датотеку за конфигурацију всфтпд:

судо нано / етц / всфтпд.цонф

1. ФТП приступ #

Приступ ФТП серверу дозволићемо само локалним корисницима. Потражите анонимоус_енабле и лоцал_енабле директиве и потврдите да се ваша конфигурација подудара са линијама испод:

/ етц / всфтпд.цонф

анонимоус_енабле = НЕ лоцал_енабле = ДА 

2. Омогућавање отпремања #

Пронађите и некоментирајте врите_енабле директива која дозвољава промене система датотека, као што је отпремање и уклањање датотека:

/ етц / всфтпд.цонф

врите_енабле = ДА 

3. Цхроот затвор #

Да бисте спречили локалне ФТП кориснике да приступају датотекама изван својих кућних директоријума, прекоментарите лне почевши од цхроот_лоцал_усер:

/ етц / всфтпд.цонф

цхроот_лоцал_усер = ДА 

Подразумевано, из безбедносних разлога, када је омогућен цхроот, всфтпд ће одбити да отпрема датотеке ако је у директоријум у којем су корисници закључани могуће писати.

Користите једно од решења у наставку да бисте дозволили отпремање када је омогућен цхроот:

• Метод 1. - Препоручена опција је да функција цхроот остане омогућена и конфигуришете ФТП директоријуме. У овом примеру ћемо створити фтп директоријум унутар корисничке куће, који ће служити као цхроот и за писање уплоадс директоријум за отпремање датотека:

  / етц / всфтпд.цонф

  усер_суб_токен = $ УСЕР лоцал_роот = / хоме / $ УСЕР / фтп

• Метод 2. - Друга опција је омогућавање аллов_вритеабле_цхроот директива:

  / етц / всфтпд.цонф

  аллов_вритеабле_цхроот = ДА

  Користите ову опцију само ако свом кориснику морате одобрити приступ с писања његовом матичном директоријуму.

4. Пасивне ФТП везе #

Подразумевано, всфтпд користи активни режим. Да бисте користили пасивни режим, подесите минимални и максимални опсег портова:

/ етц / всфтпд.цонф

пасв_мин_порт = 30000 пасв_мак_порт = 31000 

Можете користити било који порт за пасивне ФТП везе. Када је пасивни режим омогућен, ФТП клијент отвара везу са сервером на случајном порту у опсегу који сте изабрали.

5. Ограничавање пријаве корисника #

Можете да конфигуришете всфтпд да дозволи пријављивање само одређеним корисницима. Да бисте то урадили, додајте следеће редове на крај датотеке:

/ етц / всфтпд.цонф

усерлист_енабле = ДА усерлист_филе = / етц / всфтпд.усер_лист усерлист_дени = НЕ 

Када је ова опција омогућена, морате изричито навести који се корисници могу пријавити додавањем корисничких имена у / етц / всфтпд.усер_лист датотека (један корисник у реду).

6. Осигурање преноса помоћу ССЛ / ТЛС #

Да бисте шифровали ФТП преносе ССЛ / ТЛС-ом, мораћете да имате ССЛ сертификат и конфигуришете ФТП сервер да га користи.

Можете да користите постојећи ССЛ сертификат који је потписало поуздано тело за издавање сертификата или да креирате самопотписан сертификат.

Ако имате домен или поддомен који упућује на ИП адресу ФТП сервера, можете брзо да генеришете бесплатни Лет'с Енцрипт ССЛ сертификат.

Генерираћемо 2048-битни приватни кључ и самопотписани ССЛ цертификат који ће важити десет година:

судо опенссл рек -к509 -нодес -даис 3650 -невкеи рса: 2048 -кеиоут / етц / ссл / привате / всфтпд.пем -оут / етц / ссл / привате / всфтпд.пем

И приватни кључ и сертификат биће сачувани у истој датотеци.

Једном када се ССЛ сертификат креира, отворите всфтпд конфигурациону датотеку:

судо нано / етц / всфтпд.цонф

Пронађи рса_церт_филе и рса_привате_кеи_филе директиве, промените њихове вредности у пам путању датотеке и подесите ссл_енабле директива да ДА:

/ етц / всфтпд.цонф

рса_церт_филе = / етц / ссл / привате / всфтпд.пем рса_привате_кеи_филе = / етц / ссл / привате / всфтпд.пем ссл_енабле = ДА 

Ако није другачије назначено, ФТП сервер ће користити само ТЛС за успостављање сигурних веза.

Поново покрените услугу всфтпд #

Када завршите са уређивањем, датотека конфигурације всфтпд (без коментара) треба да изгледа отприлике овако:

/ етц / всфтпд.цонф

Листен = НЕ листен_ипв6 = ДА анонимно_енабле = НЕ лоцал_енабле = ДА врите_енабле = ДА дирмессаге_енабле = ДА усе_лоцалтиме = ДА кферлог_енабле = ДА цоннецт_фром_порт_20 = ДА цхроот_лоцал_усер = ДА сецуре_цхроот_дир = / вар / име / вс_фтфт / вар / наме / вс_фтфт / вар / наме / вс_фтфт / вар / име / вс приватно / всфтпд.пем рса_привате_кеи_филе = / етц / ссл / привате / всфтпд.пем ссл_енабле = ДА усер_суб_токен = $ УСЕР лоцал_роот = / хоме / $ УСЕР / фтп пасв_мин_порт = 30000 пасв_мак_порт = 31000 усерлист_енабле = ДА усерлист_филе = / етц / всфтпд.усер_лист усерлист_дени = НЕ 

Сачувајте датотеку и поново покрените услугу всфтпд да би промене ступиле на снагу:

судо системцтл рестарт всфтпд

Отварање заштитног зида #

Ако користите УФВ заштитни зид, мораћете да дозволите ФТП саобраћај.

Отворити порт 21 (ФТП наредбени порт), порт 20 (ФТП порт података) и 30000-31000 (Опсег пасивних портова), покрените следеће команде:

судо уфв дозвољава 20: 21 / тцпсудо уфв дозвољава 30000: 31000 / тцп

Да бисте избегли закључавање, осигурајте прикључак 22 је отворен:

судо уфв дозвољава ОпенССХ

Поново учитајте УФВ правила онемогућавањем и поновним омогућавањем УФВ:

судо уфв онеспособитисудо уфв енабле

Да бисте потврдили покретање промена:

судо уфв статус

Статус: активно За акцију од - ------ ---- 20: 21 / тцп ДОЗВОЛИ било где 30000: 31000 / тцп ДОЗВОЛИ било где ОпенССХ ДОЗВОЛИ било где 20: 21 / тцп (в6) ДОЗВОЛИ било где (в6) 30000: 31000 / тцп (в6) ДОЗВОЛИ било где (в6) ОпенССХ (в6) ДОЗВОЛИ било где (в6) 

Креирање ФТП корисника #

Да бисмо тестирали ФТП сервер, створићемо новог корисника.

• Ако корисник коме желите да одобрите ФТП приступ већ постоји, прескочите 1. корак.
• Ако поставите аллов_вритеабле_цхроот = ДА у својој конфигурационој датотеци прескочите 3. корак.

1. Направите новог корисника са именом невфтпусер:

   судо аддусер невфтпусер

2. Додајте корисника на листу дозвољених ФТП корисника:

   ецхо "невфтпусер" | судо тее -а / етц / всфтпд.усер_лист

3. Направите стабло ФТП директоријума и поставите тачне дозволе:

   судо мкдир -п / хоме / невфтпусер / фтп / уплоадсудо цхмод 550 / хоме / невфтпусер / фтпсудо цхмод 750 / хоме / невфтпусер / фтп / уплоадсудо цховн -Р невфтпусер: / хоме / невфтпусер / фтп

   Као што је речено у претходном одељку, корисник ће моћи да отпреми своје датотеке на фтп / уплоад именик.

У овом тренутку, ваш ФТП сервер је потпуно функционалан. Требали бисте бити у могућности да се повежете са сервером помоћу било ког ФТП клијента који може бити конфигурисан да користи ТЛС шифрирање, као што је ФилеЗилла .

Онемогућавање приступа шкољки #

Подразумевано, приликом креирања корисника, ако није изричито наведено, корисник ће имати ССХ приступ серверу. Да бисте онемогућили приступ љусци, направите нову љуску која ће исписати поруку која говори кориснику да је њихов налог ограничен само на ФТП приступ.

Покрените следеће наредбе да бисте креирали / бин / фтпонли датотеку и учините је извршном:

ецхо -е '#!/ бин / сх \ нецхо "Овај налог је ограничен само на ФТП приступ."'| судо тее -а / бин / фтпонлисудо цхмод а + к / бин / фтпонли

Додајте нову љуску на листу важећих љуски у / итд / шкољке датотека:

ецхо "/ бин / фтпонли" | судо тее -а / итд / шкољке

Промените корисничку љуску у / бин / фтпонли:

судо усермод невфтпусер -с / бин / фтпонли

Можете користити исту команду за промену љуске свих корисника којима желите да дате само ФТП приступ.

Закључак #

Показали смо вам како да инсталирате и конфигуришете сигуран и брз ФТП сервер на вашем Убунту 20.04 систем.

Ако имате питања или повратне информације, слободно оставите коментар.