本文描述了如何在Ubuntu 20.04上安装和配置一个FTP服务器,用来在设备之间共享文件。
FTP(文件传输协议)是一个标准的网络协议,用于在远程网络中传输文件。有几个开源的FTP服务器可用于Linux。最著名和最广泛使用的是PureFTPd、ProFTPD和vsftpd。我们将安装vsftpd(Very Secure Ftp Daemon),一个稳定、安全和快速的FTP服务器。我们还将向你展示如何配置服务器以限制用户进入他们的主目录,并使用SSL/TLS对整个传输进行加密。
尽管FTP是一个非常流行的协议,但为了更安全、更快速的数据传输,你应该使用SCP或SFTP。
$ sudo apt update$ sudo apt install vsftpd
安装过程完成后,ftp服务将自动启动。要验证它,请打印服务状态。
$ sudo systemctl status vsftpd输出结果应显示 vsftpd 服务已激活并运行。
● vsftpd.service - vsftpd FTP server
Loaded: loaded (/lib/systemd/system/vsftpd.service; enabled; vendor preset: enabled)
Active: active (running) since Tue 2021-03-02 15:17:22 UTC; 3s ago
...$ sudo nano /etc/vsftpd.confanonymous_enable=NO
local_enable=YESwrite_enable=YESchroot_local_user=YES默认情况下,出于安全考虑,当 chroot 被启用时,如果用户被锁定的目录是可写的,vsftpd 将拒绝上传文件。
使用下面的解决方案之一,在启用chroot时允许上传。
# 方法1. - 推荐的方案是保持chroot功能的启用并配置FTP目录。在这个例子中,我们将在用户主页中创建一个ftp目录,它将作为chroot和一个用于上传文件的可写上传目录。
user_sub_token=$USER
local_root=/home/$USER/ftp# 方法2. - 另一个选择是启用allow_writeable_chroot指令。
allow_writeable_chroot=YES只有当你必须授予你的用户对其主目录的可写权限时才使用这个选项。
pasv_min_port=30000
pasv_max_port=31000
你可以为被动FTP连接使用任何端口。当启用被动模式时,FTP客户端会在你选择的范围内的一个随机端口上打开与服务器的连接。
userlist_enable=YES
userlist_file=/etc/vsftpd.user_list
userlist_deny=NO当该选项被启用时,你需要明确指定哪些用户可以登录,方法是将用户名添加到/etc/vsftpd.user_list文件(每行一个用户)。
$ sudo openssl req -x509 -nodes -days 3650 -newkey rsa:2048 -keyout /etc/ssl/private/vsftpd.pem -out /etc/ssl/private/vsftpd.pem私钥和证书都将被保存在同一个文件中。
一旦 SSL 证书创建完毕,打开 vsftpd 配置文件。
$ sudo nano /etc/vsftpd.conf找到rsa_cert_file和rsa_private_key_file指令,将它们的值改为pam文件路径,并将ssl_enable指令设为yes。
rsa_cert_file=/etc/ssl/private/vsftpd.pem
rsa_private_key_file=/etc/ssl/private/vsftpd.pem
ssl_enable=YES如果没有另外指定,FTP服务器将只使用TLS来进行安全连接。
listen=NO
listen_ipv6=YES
anonymous_enable=NO
local_enable=YES
write_enable=YES
dirmessage_enable=YES
use_localtime=YES
xferlog_enable=YES
connect_from_port_20=YES
chroot_local_user=YES
secure_chroot_dir=/var/run/vsftpd/empty
pam_service_name=vsftpd
rsa_cert_file=/etc/ssl/private/vsftpd.pem
rsa_private_key_file=/etc/ssl/private/vsftpd.pem
ssl_enable=YES
user_sub_token=$USER
local_root=/home/$USER/ftp
pasv_min_port=30000
pasv_max_port=31000
userlist_enable=YES
userlist_file=/etc/vsftpd.user_list
userlist_deny=NO保存该文件并重新启动 vsftpd 服务以使更改生效。
$ sudo systemctl restart vsftpd$ sudo ufw allow 20:21/tcp$ sudo ufw allow 30000:31000/tcp
为了避免被锁定,确保端口22是开放的。
$ sudo ufw allow OpenSSH通过禁用和重新启用UFW来重新加载UFW规则。
$ sudo ufw disable$ sudo ufw enable
要验证这些变化,请运行
$ sudo ufw statusStatus: active
To Action From
-- ------ ----
20:21/tcp ALLOW Anywhere
30000:31000/tcp ALLOW Anywhere
OpenSSH ALLOW Anywhere
20:21/tcp (v6) ALLOW Anywhere (v6)
30000:31000/tcp (v6) ALLOW Anywhere (v6)
OpenSSH (v6) ALLOW Anywhere (v6)创建一个名为newftpuser的新用户。
$ sudo adduser newftpuser将该用户添加到允许的FTP用户列表中。
$ echo "newftpuser" | sudo tee -a /etc/vsftpd.user_list创建FTP目录树并设置正确的权限。
$ sudo mkdir -p /home/newftpuser/ftp/upload$ sudo chmod 550 /home/newftpuser/ftp$ sudo chmod 750 /home/newftpuser/ftp/upload$ sudo chown -R newftpuser: /home/newftpuser/ftp
正如上一节所讨论的,用户将能够将其文件上传到ftp/upload目录。
在这一点上,你的FTP服务器是完全正常的。你应该能够使用任何能够被配置为使用TLS加密的FTP客户端连接到服务器,例如FileZilla 。
禁用SHELL访问
默认情况下,在创建一个用户时,如果没有明确指定,该用户将拥有对服务器的SSH访问权。要禁止shell访问,创建一个新的shell,它将打印一条信息,告诉用户他们的账户只限于FTP访问。
运行以下命令来创建/bin/ftponly文件并使其可执行。
$ echo -e '#!/bin/sh\necho "This account is limited to FTP access only."' | sudo tee -a /bin/ftponly$ sudo chmod a+x /bin/ftponly
将新的shell添加到/etc/shells文件的有效shell列表中。
$ echo "/bin/ftponly" | sudo tee -a /etc/shells将用户的shell改为/bin/ftponly。
$ sudo usermod newftpuser -s /bin/ftponly你可以使用同样的命令来改变所有你想只给FTP访问权的用户的外壳。
