如何在CentOS 8上使用VSFTPD设置FTP服务器

FTP(文件传输协议)是一种客户端-服务器网络协议,允许用户在远程计算机之间传输文件。

有许多可用于Linux的开源FTP服务器。 最受欢迎和最常用的服务器是 PureFTPdProFTPDvsftpd

在本教程中,我们将在CentOS 8上安装vsftpd(非常安全的Ftp守护程序)。这是一个稳定,安全且快速的FTP服务器。 我们还将向您展示如何配置vsftpd以将用户限制在其主目录中,并使用SSL / TLS加密数据传输。

在CentOS 8上安装vsftpd

vsftpd软件包在默认的CentOS存储库中可用。 要安装它,请以root或具有sudo特权的用户身份运行以下命令:

sudo dnf install vsftpd

安装软件包后,启动vsftpd守护程序并使其在启动时自动启动:

sudo systemctl enable vsftpd --now

验证服务状态:

sudo systemctl status vsftpd

输出将类似于以下内容,表明vsftpd服务处于活动状态并正在运行:

● vsftpd.service - Vsftpd ftp daemon
   Loaded: loaded (/usr/lib/systemd/system/vsftpd.service; enabled; vendor preset: disabled)
   Active: active (running) since Mon 2020-03-30 15:16:51 EDT; 10s ago
  Process: 2880 ExecStart=/usr/sbin/vsftpd /etc/vsftpd/vsftpd.conf (code=exited, status=0/SUCCESS)
  ...

配置vsftpd

vsftpd服务器设置存储在 /etc/vsftpd/vsftpd.conf 配置文件。 大多数设置在文件中都有详细记录。 有关所有可用选项,请访问 官方vsftpd 页。

在以下各节中,我们将介绍配置安全的vsftpd安装所需的一些重要设置。

首先打开vsftpd配置文件:

sudo nano /etc/vsftpd/vsftpd.conf

1. FTP访问

我们只允许本地用户访问FTP服务器,找到 anonymous_enablelocal_enable 指令,并确保您的配置与以下行匹配:

/etc/vsftpd/vsftpd.conf

anonymous_enable=NO
local_enable=YES

2.启用上传

取消注释 write_enable 设置以允许更改文件系统,例如上载和删除文件。

/etc/vsftpd/vsftpd.conf

write_enable=YES

3. Chroot监狱

通过取消注释,防止FTP用户访问其主目录之外的任何文件。 chroot 指示。

/etc/vsftpd/vsftpd.conf

chroot_local_user=YES

默认情况下,启用chroot时,如果用户锁定的目录可写,则vsftpd将拒绝上传文件。 这是为了防止安全漏洞。

启用chroot时,请使用以下方法之一允许上传。

方法1 –建议的允许上传的方法是保持chroot启用并配置FTP目录。 在本教程中,我们将创建一个 ftp 用户主目录中的目录,它将用作chroot和可写目录 uploads 用于上传文件的目录。

/etc/vsftpd/vsftpd.conf

user_sub_token=$USER
local_root=/home/$USER/ftp

方法2 –另一个选项是在vsftpd配置文件中添加以下指令。 如果必须将用户的可写访问权限授予其主目录,请使用此选项。

/etc/vsftpd/vsftpd.conf

allow_writeable_chroot=YES

4.被动FTP连接

vsftpd可以使用任何端口进行被动FTP连接。 我们将指定端口的最小和最大范围,然后在防火墙中打开该范围。

将以下行添加到配置文件:

/etc/vsftpd/vsftpd.conf

pasv_min_port=30000
pasv_max_port=31000

5.限制用户登录

要仅允许某些用户登录FTP服务器,请在 userlist_enable=YES 线:

/etc/vsftpd/vsftpd.conf

userlist_file=/etc/vsftpd/user_list
userlist_deny=NO

复制

启用此选项后,您需要通过将用户名添加到来显式指定哪些用户可以登录。 /etc/vsftpd/user_list 文件(每行一个用户)。

6.使用SSL / TLS保护传输安全

为了使用SSL / TLS加密FTP传输,您需要具有SSL证书并配置FTP服务器以使用它。

您可以使用由受信任的证书颁发机构签名的现有SSL证书,也可以创建自签名证书。

如果您的域或子域指向FTP服务器的IP地址,则可以轻松生成免费的“让我们加密SSL”证书。

在本教程中,我们将使用生成自签名SSL证书。 openssl 工具。

以下命令将创建一个有效期为10年的2048位私钥和自签名证书。 私钥和证书都将保存在同一文件中:

sudo openssl req -x509 -nodes -days 3650 -newkey rsa:2048 -keyout /etc/vsftpd/vsftpd.pem -out /etc/vsftpd/vsftpd.pem

创建SSL证书后,打开vsftpd配置文件:

sudo nano /etc/vsftpd/vsftpd.conf

找出 rsa_cert_filersa_private_key_file 指令,将其值更改为 pam 文件路径并设置 ssl_enable 指令 YES

/etc/vsftpd/vsftpd.conf

rsa_cert_file=/etc/vsftpd/vsftpd.pem
rsa_private_key_file=/etc/vsftpd/vsftpd.pem
ssl_enable=YES

如果没有另外指定,则FTP服务器将仅使用TLS建立安全连接。

重新启动vsftpd服务

完成编辑后,vsftpd配置文件(不包括注释)应如下所示:

/etc/vsftpd/vsftpd.conf

anonymous_enable=NO
local_enable=YES
write_enable=YES
local_umask=022
dirmessage_enable=YES
xferlog_enable=YES
connect_from_port_20=YES
xferlog_std_format=YES
chroot_local_user=YES
listen=NO
listen_ipv6=YES
pam_service_name=vsftpd
userlist_enable=YES
userlist_file=/etc/vsftpd/user_list
userlist_deny=NO
tcp_wrappers=YES
user_sub_token=$USER
local_root=/home/$USER/ftp
pasv_min_port=30000
pasv_max_port=31000
rsa_cert_file=/etc/vsftpd/vsftpd.pem
rsa_private_key_file=/etc/vsftpd/vsftpd.pem
ssl_enable=YES

保存文件并重新启动vsftpd服务,以使更改生效:

sudo systemctl restart vsftpd

打开防火墙

如何在centos-8上配置和管理防火墙如果您正在运行,则需要允许FTP流量。

打开端口 21 (FTP命令端口),端口 20 (FTP数据端口)和 30000-31000 (被动端口范围),在防火墙上输入以下命令:

sudo firewall-cmd --permanent --add-port=20-21/tcpsudo firewall-cmd --permanent --add-port=30000-31000/tcp

通过输入以下命令重新加载防火墙规则:

firewall-cmd --reload

创建一个FTP用户

为了测试FTP服务器,我们将创建一个新用户。

  • 如果您已经有要授予FTP访问权限的用户,请跳过第一步。
  • 如果您设定 allow_writeable_chroot=YES 在您的配置文件中,跳过第3步。
  1. 创建一个新用户,名为 newftpuser
   sudo adduser newftpuser

接下来,您需要设置用户密码:

   sudo passwd newftpuser
  1. 将用户添加到允许的FTP用户列表中:
   echo "newftpuser" | sudo tee -a /etc/vsftpd/user_list
  1. 创建FTP目录树并设置正确的权限:
   sudo mkdir -p /home/newftpuser/ftp/uploadsudo chmod 550 /home/newftpuser/ftpsudo chmod 750 /home/newftpuser/ftp/uploadsudo chown -R newftpuser: /home/newftpuser/ftp

如上一节所述,用户将能够将其文件上传到 ftp/upload 目录。

至此,您的FTP服务器已完全正常运行,您应该能够使用任何可配置为使用TLS加密的FTP客户端连接到服务器,例如 FileZilla

禁用外壳访问

默认情况下,在创建用户时,如果未明确指定,则该用户将具有对服务器的SSH访问权限。

要禁用外壳程序访问,我们将创建一个新的外壳程序,该外壳程序将仅打印一条消息,告诉用户其帐户仅限于FTP访问。

运行以下命令以创建 /bin/ftponly 外壳并使其可执行:

echo -e '#!/bin/shnecho "This account is limited to FTP access only."' | sudo tee -a  /bin/ftponlysudo chmod a+x /bin/ftponly

将新外壳程序附加到 /etc/shells 文件:

echo "/bin/ftponly" | sudo tee -a /etc/shells

将用户外壳更改为 /bin/ftponly

sudo usermod newftpuser -s /bin/ftponly

使用相同的命令来更改仅希望授予FTP访问权限的其他用户的外壳程序。

结论

我们已经向您展示了如何在CentOS 8上安装和配置安全快速的FTP服务器。

为了更安全,更快地传输数据,您应该使用SCP或SFTP。

如果您有任何疑问或反馈,请随时发表评论。

Sidebar