如何在Ubuntu 20.04上使用VSFTPD设置FTP服务器
本文介绍如何在Ubuntu 20.04上安装和配置FTP服务器,该FTP服务器用于在设备之间共享文件。
FTP(文件传输协议)是用于在远程网络之间传输文件的标准网络协议。 有几种可用于Linux的开源FTP服务器。 最著名和广泛使用的是PureFTPd,ProFTPD和vsftpd。 我们将安装vsftpd(非常安全的Ftp守护程序),这是一个稳定,安全且快速的FTP服务器。 我们还将向您展示如何配置服务器以将用户限制在其主目录中,并使用SSL / TLS加密整个传输。
尽管FTP是一种非常流行的协议,但是为了获得更安全,更快速的数据传输,您应该使用SCP或SFTP。
在Ubuntu 20.04上安装vsftpd
vsftpd软件包可在Ubuntu存储库中找到。 要安装它,请执行以下命令:
sudo apt update
sudo apt install vsftpd
安装过程完成后,ftp服务将自动启动。 要进行验证,请打印服务状态:
sudo systemctl status vsftpd
输出应显示vsftpd服务处于活动状态并正在运行:
● vsftpd.service - vsftpd FTP server
Loaded: loaded (/lib/systemd/system/vsftpd.service; enabled; vendor preset: enabled)
Active: active (running) since Tue 2021-03-02 15:17:22 UTC; 3s ago
...
配置vsftpd
vsftpd服务器配置存储在 /etc/vsftpd.conf
文件。
文件中充分记录了大多数服务器设置。 有关所有可用选项,请访问vsftpd文档页面。
在以下各节中,我们将介绍配置安全的vsftpd安装所需的一些重要设置。
首先打开vsftpd配置文件:
sudo nano /etc/vsftpd.conf
1. FTP访问
我们只允许本地用户访问FTP服务器。 搜索 anonymous_enable
和 local_enable
指令并验证您的配置是否与以下行匹配:
/etc/vsftpd.conf
anonymous_enable=NO
local_enable=YES
2.启用上传#
找到并取消注释 write_enable
指令以允许文件系统更改,例如上载和删除文件:
/etc/vsftpd.conf
write_enable=YES
3. Chroot监狱#
为了防止本地FTP用户访问其主目录之外的文件,请取消注释开头为lne的文件。 chroot_local_user
:
/etc/vsftpd.conf
chroot_local_user=YES
默认情况下,出于安全原因,启用chroot时,如果用户锁定的目录是可写的,则vsftpd将拒绝上传文件。
启用chroot时,请使用以下解决方案之一允许上传:
方法1 -建议的选项是保持chroot功能启用并配置FTP目录。 在此示例中,我们将创建一个
ftp
用户主目录中的目录,它将用作chroot和可写目录uploads
用于上传文件的目录:/etc/vsftpd.conf
user_sub_token=$USER local_root=/home/$USER/ftp
方法2 -另一个选项是启用
allow_writeable_chroot
指示:/etc/vsftpd.conf
allow_writeable_chroot=YES
仅当必须向用户授予对其主目录的可写访问权限时,才使用此选项。
4.被动FTP连接#
默认情况下,vsftpd使用活动模式。 要使用被动模式,请设置端口的最小和最大范围:
/etc/vsftpd.conf
pasv_min_port=30000
pasv_max_port=31000
您可以使用任何端口进行被动FTP连接。 启用被动模式后,FTP客户端会在您选择的范围内的随机端口上打开到服务器的连接。
5.限制用户登录号
您可以将vsftpd配置为仅允许某些用户登录。为此,请在文件末尾添加以下几行:
/etc/vsftpd.conf
userlist_enable=YES
userlist_file=/etc/vsftpd.user_list
userlist_deny=NO
启用此选项后,您需要通过将用户名添加到来显式指定哪些用户可以登录。 /etc/vsftpd.user_list
文件(每行一个用户)。
6.使用SSL / TLS保护传输安全
要使用SSL / TLS加密FTP传输,您需要具有SSL证书并配置FTP服务器以使用它。
您可以使用由受信任的证书颁发机构签名的现有SSL证书,也可以创建自签名证书。
如果您有一个指向FTP服务器IP地址的域或子域,则可以快速生成一个免费的Let’s Encrypt SSL证书。
我们将生成一个2048位私钥和自签名SSL证书,有效期为十年:
sudo openssl req -x509 -nodes -days 3650 -newkey rsa:2048 -keyout /etc/ssl/private/vsftpd.pem -out /etc/ssl/private/vsftpd.pem
私钥和证书都将保存在同一文件中。
创建SSL证书后,打开vsftpd配置文件:
sudo nano /etc/vsftpd.conf
找出 rsa_cert_file
和 rsa_private_key_file
指令,将其值更改为 pam
文件路径并设置 ssl_enable
指令 YES
:
/etc/vsftpd.conf
rsa_cert_file=/etc/ssl/private/vsftpd.pem
rsa_private_key_file=/etc/ssl/private/vsftpd.pem
ssl_enable=YES
如果未另外指定,则FTP服务器将仅使用TLS建立安全连接。
重新启动vsftpd服务#
完成编辑后,vsftpd配置文件(不包括注释)应如下所示:
/etc/vsftpd.conf
listen=NO
listen_ipv6=YES
anonymous_enable=NO
local_enable=YES
write_enable=YES
dirmessage_enable=YES
use_localtime=YES
xferlog_enable=YES
connect_from_port_20=YES
chroot_local_user=YES
secure_chroot_dir=/var/run/vsftpd/empty
pam_service_name=vsftpd
rsa_cert_file=/etc/ssl/private/vsftpd.pem
rsa_private_key_file=/etc/ssl/private/vsftpd.pem
ssl_enable=YES
user_sub_token=$USER
local_root=/home/$USER/ftp
pasv_min_port=30000
pasv_max_port=31000
userlist_enable=YES
userlist_file=/etc/vsftpd.user_list
userlist_deny=NO
保存文件并重新启动vsftpd服务,以使更改生效:
sudo systemctl restart vsftpd
打开防火墙#
如果您正在运行UFW防火墙,则需要允许FTP通信。
打开端口 21
(FTP命令端口),端口 20
(FTP数据端口),以及 30000-31000
(被动端口范围),运行以下命令:
sudo ufw allow 20:21/tcp
sudo ufw allow 30000:31000/tcp
为避免被锁定,请确保端口 22
开了:
sudo ufw allow OpenSSH
通过禁用和重新启用UFW重新加载UFW规则:
sudo ufw disable
sudo ufw enable
要验证更改运行:
sudo ufw status
Status: active
To Action From
-- ------ ----
20:21/tcp ALLOW Anywhere
30000:31000/tcp ALLOW Anywhere
OpenSSH ALLOW Anywhere
20:21/tcp (v6) ALLOW Anywhere (v6)
30000:31000/tcp (v6) ALLOW Anywhere (v6)
OpenSSH (v6) ALLOW Anywhere (v6)
创建FTP用户#
为了测试FTP服务器,我们将创建一个新用户。
- 如果您要授予FTP访问权限的用户已经存在,请跳过第一步。
- 如果您设定
allow_writeable_chroot=YES
在您的配置文件中,跳过第3步。
创建一个新用户,名为
newftpuser
:sudo adduser newftpuser
将用户添加到允许的FTP用户列表中:
echo "newftpuser" | sudo tee -a /etc/vsftpd.user_list
创建FTP目录树并设置正确的权限:
sudo mkdir -p /home/newftpuser/ftp/upload
sudo chmod 550 /home/newftpuser/ftp
sudo chmod 750 /home/newftpuser/ftp/upload
sudo chown -R newftpuser: /home/newftpuser/ftp
如上一节所述,用户将能够将其文件上传到
ftp/upload
目录。
至此,您的FTP服务器已经可以正常使用了。 您应该能够使用可以配置为使用TLS加密的任何FTP客户端(例如FileZilla)连接到服务器。
禁用Shell访问#
默认情况下,在创建用户时,如果未明确指定,则该用户将具有对服务器的SSH访问权限。 要禁用外壳程序访问,请创建一个新的外壳程序,该外壳程序将显示一条消息,告知用户其帐户仅限于FTP访问。
运行以下命令以创建 /bin/ftponly
文件并使其可执行:
echo -e '#!/bin/shnecho "This account is limited to FTP access only."' | sudo tee -a /bin/ftponly
sudo chmod a+x /bin/ftponly
将新的外壳程序附加到该外壳程序中的有效外壳程序列表中 /etc/shells
文件:
echo "/bin/ftponly" | sudo tee -a /etc/shells
将用户外壳更改为 /bin/ftponly
:
sudo usermod newftpuser -s /bin/ftponly
您可以使用同一命令来更改只希望授予FTP访问权限的所有用户的外壳。
结论 #
我们已经向您展示了如何在Ubuntu 20.04系统上安装和配置安全快速的FTP服务器。
如果您有任何问题或反馈,请随时发表评论。
FTP的Ubuntu的