Как настроить FTP-сервер с помощью VSFTPD в Ubuntu 20.04

Введение

В этой статье описывается, как установить и настроить FTP-сервер в Ubuntu 20.04 LTS Focal Fossa, который вы используете для обмена файлами между вашими устройствами.

FTP (протокол передачи файлов) — это стандартный сетевой протокол, используемый для передачи файлов в удаленную сеть и из нее. Для Linux доступно несколько FTP-серверов с открытым исходным кодом. Наиболее известными и широко используемыми являются PureFTPd, ProFTPD и vsftpd. Мы установим vsftpd (Very Secure Ftp Daemon), стабильный, безопасный и быстрый FTP-сервер. Мы также покажем вам, как настроить сервер для ограничения доступа пользователей к их домашнему каталогу и шифрования всей передачи с помощью SSL/TLS.

Хотя FTP является очень популярным протоколом, для более безопасной и быстрой передачи данных следует использовать SCP или SFTP.

Если вы хотите установить VSFTPD на удаленный сервер, продолжайте читать, в противном случае пропустите первый абзац «Подключение к серверу» и читайте следующий.

Подключение к серверу

Чтобы получить доступ к серверу, вам нужно знать IP-адрес. Вам также потребуется ваше имя пользователя и пароль для аутентификации. Чтобы подключиться к серверу как root, введите следующую команду:

ssh root@IP_DEL_SERVER

Далее вам нужно будет ввести пароль пользователя root.

Если вы не используете пользователя root, вы можете войти под другим именем пользователя с помощью той же команды, а затем изменить root на свое имя пользователя:

ssh nome_utente@IP_DEL_SERVER

Затем вам будет предложено ввести пароль пользователя.

Стандартный порт для подключения по ssh — 22, если ваш сервер использует другой порт, вам нужно будет указать его с помощью параметра -p, затем введите следующую команду:

ssh nome_utente@IP_DEL_SERVER -p PORTA

Установите vsftpd на Ubuntu 20.04

Пакет vsftpd доступен в репозиториях Ubuntu. Чтобы установить его, выполните следующие команды:

sudo apt update

sudo apt install vsftpd

Служба ftp запустится автоматически после завершения процесса установки. Чтобы проверить это, распечатайте статус службы:

sudo systemctl status vsftpd

Вывод должен показать, что служба vsftpd запущена и работает:

● vsftpd.service - vsftpd FTP server
 Loaded: loaded (/lib/systemd/system/vsftpd.service; enabled; vendor preset: enabled)
 Active: active (running) since Mon 2021-03-08 20:07:47 CET; 19s ago
 Main PID: 182697 (vsftpd)
 Tasks: 1 (limit: 2286)
 Memory: 588.0K
 CGroup: /system.slice/vsftpd.service
 └─182697 /usr/sbin/vsftpd /etc/vsftpd.conf

 Mar 08 20:07:47 TEST-SERVER-1 systemd[1]: Starting vsftpd FTP server...
 Mar 08 20:07:47 TEST-SERVER-1 systemd[1]: Started vsftpd FTP server.

Настроить vsftpd

Конфигурация сервера vsftpd хранится в файле /etc/vsftpd.conf.

Большинство настроек сервера хорошо задокументированы в файле. Чтобы узнать обо всех доступных параметрах, посетите страницу документации vsftpd.

В следующих разделах мы рассмотрим некоторые важные параметры, необходимые для настройки безопасной установки vsftpd.

Начните с открытия файла конфигурации vsftpd:

sudo nano /etc/vsftpd.conf

1. FTP-доступ

Мы разрешим доступ к FTP-серверу только для локальных пользователей. Найдите директивы anonymous_enable и local_enable и проверьте конфигурацию следующих строк:

anonymous_enable=NO
 local_enable=YES

2. Включите загрузку

Найдите и раскомментируйте директиву write_enable, чтобы разрешить изменения файловой системы, такие как загрузка и удаление файлов:

write_enable=YES

3. Тюрьма Chroot

Чтобы запретить локальным пользователям FTP доступ к файлам за пределами их домашних каталогов, раскомментируйте строку, начинающуюся с chroot_local_user:

chroot_local_user=YES

По умолчанию, из соображений безопасности, когда chroot включен, vsftpd отказывается загружать файлы, если каталог, в котором заблокированы пользователи, доступен для записи.

Используйте одно из приведенных ниже решений, чтобы разрешить загрузку при включенном chroot:

Способ 1. Рекомендуемый вариант — оставить включенным chroot и настроить FTP-каталоги. В этом примере мы создадим ftp -каталог внутри дома пользователя, который будет служить chroot и доступным для записи каталогом uploads для загрузки файлов:

user_sub_token=$USER
 local_root=/home/$USER/ftp

Способ 2. — Другой вариант — включить директиву allow_writeable_chroot:

allow_writeable_chroot=YES

Используйте эту опцию только в том случае, если вам нужно предоставить пользователю право записи в его домашний каталог.

4. Пассивные FTP-соединения

По умолчанию vsftpd использует активный режим. Чтобы использовать пассивный режим, установите минимальный и максимальный диапазон портов:

pasv_min_port=30000
 pasv_max_port=31000

Любой порт можно использовать для пассивных FTP-соединений. Когда пассивный режим включен, FTP-клиент открывает соединение с сервером на произвольном порту в выбранном вами диапазоне.

5. Ограничение доступа пользователей

Вы можете настроить vsftpd, чтобы разрешить доступ только определенным пользователям. Для этого добавьте в конец файла следующие строки:

userlist_enable=YES
 userlist_file=/etc/vsftpd.user_list
 userlist_deny=NO

Когда эта опция включена, вам необходимо явно указать, какие пользователи могут входить в систему, добавив имена пользователей в файл /etc/vsftpd.user_list (по одному пользователю в строке).

6. Безопасные передачи с помощью SSL/TLS

Для шифрования FTP-передачи с помощью SSL/TLS вам необходимо иметь SSL-сертификат и настроить FTP-сервер для его использования.

Вы можете использовать существующий SSL-сертификат, подписанный доверенным центром сертификации, или создать самозаверяющий сертификат.

Если у вас есть домен или субдомен, указывающий на IP-адрес FTP-сервера, вы можете быстро создать бесплатный SSL-сертификат Let's Encrypt.

Мы создадим 2048-битный закрытый ключ и самозаверяющий SSL-сертификат, который будет действовать в течение десяти лет:

sudo openssl req -x509 -nodes -days 3650 -newkey rsa:2048 -keyout /etc/ssl/private/vsftpd.pem -out /etc/ssl/private/vsftpd.pem

И закрытый ключ, и сертификат будут сохранены в одном файле.

После создания SSL-сертификата откройте файл конфигурации vsftpd:

sudo nano /etc/vsftpd.conf

Найдите директивы rsa_cert_file и rsa_private_key_file, измените их значения в пути к файлу pam и установите для директивы ssl_enable значение YES:

rsa_cert_file=/etc/ssl/private/vsftpd.pem
 rsa_private_key_file=/etc/ssl/private/vsftpd.pem
 ssl_enable=YES

Если не указано иное, FTP-сервер будет использовать только TLS для безопасных подключений.

Перезапустите службу vsftpd.

После того, как вы закончите редактирование, файл конфигурации vsftpd (без комментариев) должен выглядеть так:

listen=NO
 listen_ipv6=YES
 anonymous_enable=NO
 local_enable=YES
 write_enable=YES
 dirmessage_enable=YES
 use_localtime=YES
 xferlog_enable=YES
 connect_from_port_20=YES
 chroot_local_user=YES
 secure_chroot_dir=/var/run/vsftpd/empty
 pam_service_name=vsftpd
 rsa_cert_file=/etc/ssl/private/vsftpd.pem
 rsa_private_key_file=/etc/ssl/private/vsftpd.pem
 ssl_enable=YES
 user_sub_token=$USER
 local_root=/home/$USER/ftp
 pasv_min_port=30000
 pasv_max_port=31000
 userlist_enable=YES
 userlist_file=/etc/vsftpd.user_list
 userlist_deny=NO

Сохраните файл и перезапустите службу vsftpd, чтобы изменения вступили в силу:

sudo systemctl restart vsftpd

Откройте брандмауэр

Если вы используете брандмауэр UFW, вам необходимо разрешить FTP-трафик.

Чтобы открыть порт 21 (командный порт FTP), порт 20 (порт данных FTP) и 30000-31000 (диапазон пассивных портов), выполните следующие команды:

sudo ufw allow 20:21/tcp

sudo ufw allow 30000:31000/tcp

Чтобы не застрять, убедитесь, что дверца 22 открыта:

sudo ufw allow OpenSSH

Перезагрузите правила UFW, отключив и снова включив UFW:

sudo ufw disable

sudo ufw enable

Чтобы проверить изменения, выполните:

sudo ufw status

Status: active

 To Action From
 -- ------ ----
 20:21/tcp ALLOW Anywhere
 30000:31000/tcp ALLOW Anywhere
 OpenSSH ALLOW Anywhere
 20:21/tcp (v6) ALLOW Anywhere (v6)
 30000:31000/tcp (v6) ALLOW Anywhere (v6)
 OpenSSH (v6) ALLOW Anywhere (v6)

Создать FTP-пользователя

Чтобы протестировать FTP-сервер, мы создадим нового пользователя.

• Если пользователь, которому вы хотите предоставить доступ к FTP, уже существует, пропустите первый шаг.
• Если вы установили allow_writeable_chroot=YES в файле конфигурации, пропустите третий шаг.

Создайте нового пользователя с именем newftpuser:

sudo adduser newftpuser

Добавьте пользователя в список разрешенных пользователей FTP:

echo "newftpuser" | sudo tee -a /etc/vsftpd.user_list

Создайте структуру каталогов FTP и установите правильные разрешения:

sudo mkdir -p /home/newftpuser/ftp/upload

sudo chmod 550 /home/newftpuser/ftp

sudo chmod 750 /home/newftpuser/ftp/upload

sudo chown -R newftpuser: /home/newftpuser/ftp

Как обсуждалось в предыдущем разделе, пользователь сможет загружать свои файлы в каталог ftp/upload.

На этом этапе ваш FTP-сервер полностью функционален. Вы должны иметь возможность подключиться к серверу с помощью любого FTP-клиента, который может быть настроен на использование шифрования TLS, например FileZilla.

Отключить доступ к оболочке

По умолчанию при создании пользователя, если явно не указано иное, пользователь будет иметь доступ к серверу по SSH. Чтобы отключить доступ к оболочке, создайте новую оболочку, которая будет печатать сообщение, информирующее пользователя о том, что его учетная запись ограничена только доступом к FTP.

Выполните следующие команды, чтобы создать /bin/ftponly и сделать его исполняемым:

echo -e '#!/bin/sh\necho "This account is limited to FTP access only."' | sudo tee -a /bin/ftponly

sudo chmod a+x /bin/ftponly

Добавьте новую оболочку в список допустимых оболочек в /etc/shells:

echo "/bin/ftponly" | sudo tee -a /etc/shells

Измените пользовательскую оболочку на /bin/ftponly:

sudo usermod newftpuser -s /bin/ftponly

Вы можете использовать ту же команду, чтобы изменить оболочку всех пользователей, которым вы хотите предоставить доступ только к FTP.

Вывод

Мы показали вам, как установить и настроить безопасный и быстрый FTP-сервер в вашей системе Ubuntu 20.04 LTS Focal Fossa.