当前位置:首页 >> 技术问题

如何在Ubuntu 20.04安装VSFTPD配置FTP文件服务器?

如何在ubuntu 20.04安装vsftpd配置FTP文件服务器?我们如何在 ubuntu 20.04 上安装和配置用于在设备之间共享文件的 FTP 服务器。vsftpd(Very secure ftp daemon):就是一个非常安全的ftp服务程序,它是从ftp衍生出来的,提供更高的安全度,但是功能不够ftp齐全。我们将安装 VSFTPD(Very Secure Ftp Daemon),这是一个稳定、安全且快速的 FTP 服务器。 我们还将向介绍如何配置服务器以限制用户访问他们的主目录并使用 SSL/TLS 加密整个传输。 虽然 FTP 是一种非常流行的协议,但为了更安全和更快的数据传输,应该使用 SCP 或 SFTP 。

第一、在 Ubuntu 20.04 上安装 vsftpd

vsftpd 包在 Ubuntu 存储库中可用。 要安装它,请执行以下命令:

sudo apt update

sudo apt install vsftpd

安装过程完成后,ftp 服务将自动启动。 要验证它,查看状态。

sudo systemctl status vsftpd

输出应显示 vsftpd 服务处于活动状态并正在运行:

vsftpd.service – vsftpd FTP server

Loaded: loaded (/lib/systemd/system/vsftpd.service; enabled; vendor preset: enabled)

Active: active (running) since Tue 2021-09-30 18:11:21 UTC; 3s ago

第二、配置 vsftpd

vsftpd 服务器配置存储在 /etc/vsftpd.conf 文件中。大多数服务器设置在文件中都有详细记录。 有关所有可用选项,请访问 vsftpd 文档页面。在以下部分中,我们将介绍配置安全 vsftpd 安装所需的一些重要设置。

首先打开 vsftpd 配置文件:

sudo nano /etc/vsftpd.conf

1、FTP访问权限

我们将只允许本地用户访问ftp服务器。搜索anonymous_enable和local_enable指令,验证你的配置是否与下面的行匹配:

anonymous_enable=NO

local_enable=YES

按照上面配置。

2、允许上传

设置write_enable指令的注释以允许文件系统更改,例如上传和删除文件:

write_enable=YES

3、配置Chroot jail

为了防止本地FTP用户访问主目录之外的文件,请取消以chroot_local_user开头的注释:

chroot_local_user=YES

出于安全考虑,默认情况下,当chroot开启时,如果用户锁定的目录是可写的,vsftpd将拒绝上传文件。

使用下面的解决方案之一,允许上传时,chroot是启用的:

推荐的选项是启用chroot特性并配置FTP目录。在这个例子中,我们将在用户的home中创建一个ftp目录,作为chroot和一个可写的上传目录,用于上传文件:

user_sub_token=$USER

local_root=/home/$USER/ftp

4、设置被动FTP连接

pasv_min_port=30000

pasv_max_port=31000

我们可以使用任何端口进行被动FTP连接。当启用被动模式时,FTP客户端将在您选择的范围内的任意端口上打开到服务器的连接。

5、限时用户访问

userlist_enable=YES

userlist_file=/etc/vsftpd.user_list

userlist_deny=NO

当启用该选项时,需要通过在/etc/vsftpd. conf文件中添加用户名来明确指定哪些用户可以登录User_list文件(每行一个用户)。

6、使用SSL/TLS保护传输

要使用SSL/TLS加密FTP传输,我们需要有一个SSL证书并配置FTP服务器来使用它。我们可以使用由受信任的证书颁发机构签署的现有SSL证书,或创建自签名证书。

我们将生成一个有效期为10年的2048位私钥和自签名SSL证书。

sudo openssl req -x509 -nodes -days 3650 -newkey rsa:2048 -keyout /etc/ssl/private/vsftpd.pem -out /etc/ssl/private/vsftpd.pem

私钥和证书将保存在同一个文件中。SSL证书创建完成后,打开vsftpd配置文件:

sudo nano /etc/vsftpd.conf

找到rsa_cert_file和rsa_private_key_file指令,将它们的值更改为pam文件路径,并将ssl_enable指令设置为YES:

rsa_cert_file=/etc/ssl/private/vsftpd.pem

rsa_private_key_file=/etc/ssl/private/vsftpd.pem

ssl_enable=YES

如果没有指定,FTP服务器将只使用TLS进行安全连接。

7、重启vsftpd服务

这些是所有的配置。

listen=NO

listen_ipv6=YES

anonymous_enable=NO

local_enable=YES

write_enable=YES

dirmessage_enable=YES

use_localtime=YES

xferlog_enable=YES

connect_from_port_20=YES

chroot_local_user=YES

secure_chroot_dir=/var/run/vsftpd/empty

pam_service_name=vsftpd

rsa_cert_file=/etc/ssl/private/vsftpd.pem

rsa_private_key_file=/etc/ssl/private/vsftpd.pem

ssl_enable=YES

user_sub_token=$USER

local_root=/home/$USER/ftp

pasv_min_port=30000

pasv_max_port=31000

userlist_enable=YES

userlist_file=/etc/vsftpd.user_list

userlist_deny=NO

我们检查一下,然后重启。

sudo systemctl restart vsftpd

重启生效。

第三、开启防火墙

如果我们服务器有防火墙,需要开启端口。

sudo ufw allow 20:21/tcp

sudo ufw allow 30000:31000/tcp

为了避免被锁定,请确保端口22是打开的

sudo ufw allow OpenSSH

通过禁用和重新启用UFW重新加载UFW规则.

sudo ufw disable

sudo ufw enable

第四、创建FTP用户

为了测试FTP服务器,我们将创建一个新用户。如果需要授予FTP访问权限的用户已经存在,请跳过第一步。如果您在配置文件中设置了allow_writeable_chroot=YES,请跳过第三步。

1、创建新用户newftpuser

sudo adduser newftpuser

2、将该用户添加到允许的FTP用户列表中

echo “newftpuser” | sudo tee -a /etc/vsftpd.user_list

3、创建FTP目录并设置正确的权限

sudo mkdir -p /home/newftpuser/ftp/upload

sudo chmod 550 /home/newftpuser/ftp

sudo chmod 750 /home/newftpuser/ftp/upload

sudo chown -R newftpuser: /home/newftpuser/ftp

第五、禁用Shell访问

echo -e ‘#!/bin/sh echo “This account is limited to FTP access only.”‘ | sudo tee -a /bin/ftponly

sudo chmod a+x /bin/ftponly

默认情况下,在创建用户时,如果没有显式指定,用户将具有对服务器的SSH访问权限。要禁用shell访问,请创建一个新的shell,该shell将打印一条消息,告诉用户他们的帐户仅限于FTP访问。

将新的shell添加到/etc/shell文件中的有效shell列表中:

echo “/bin/ftponly” | sudo tee -a /etc/shells

将shell用户改为/bin/ftponly:

sudo usermod newftpuser -s /bin/ftponly

我们就可以使用相同的命令来更改您想要只授予FTP访问权限的所有用户的shell。

这样,我们就完成在服务器中配置VSFTPD 以及创建FTP用户。

  • 关注微信

猜你喜欢