Введение
В этом руководстве объясняется, как установить и настроить FTP-сервер на Raspberry Pi, который вы используете для обмена файлами между вашими устройствами. Мы будем использовать vsftpd, стабильный, безопасный и быстрый FTP-сервер. Мы также покажем вам, как настроить vsftpd, чтобы ограничить пользователей их домашним каталогом и зашифровать всю передачу с помощью SSL/TLS.
Для этого проекта на вашем Raspberry Pi должен быть установлен Raspbian. Для запуска FTP-сервера не требуется графический интерфейс, поэтому мы рекомендуем использовать образ Raspbian Lite и включить SSH.
Установите vsftpd на Raspberry Pi
Пакет vsftpd доступен в стандартных репозиториях Raspbian. Чтобы установить его, выполните следующие команды:
sudo apt updatesudo apt install vsftpdСлужба ftp запустится автоматически после завершения процесса установки. Чтобы проверить это, распечатайте статус службы:
sudo systemctl status vsftpdВывод будет выглядеть примерно так, как показано ниже, показывая, что служба vsftpd запущена и работает:
● vsftpd.service - vsftpd FTP server
Loaded: loaded (/lib/systemd/system/vsftpd.service; enabled; vendor preset: enabled)
Active: active (running) since Wed 21 Oct 2020 16:55:23 GMT; 8s ago...Настроить vsftpd
Датчики сервера vsftpd можно настроить, отредактировав файл /etc/vsftpd.conf.
Большинство настроек хорошо задокументированы в файле конфигурации. Чтобы узнать обо всех доступных параметрах, посетите официальную страницу vsftpd.
Начните с открытия файла конфигурации vsftpd:
sudo nano /etc/vsftpd.conf1. FTP-доступ
Чтобы убедиться, что только локальные пользователи могут получить доступ к FTP-серверу, найдите директивы anonymous_enable и local_enable и проверьте соответствие конфигурации в строках ниже:
anonymous_enable=NO
local_enable=YES
2. Включите загрузку
Найдите и раскомментируйте директиву write_enable, чтобы разрешить изменения файловой системы, такие как загрузка и удаление файлов.
write_enable=YES
3. Тюрьма Чрут
Чтобы запретить пользователям FTP доступ к файлам за пределами их домашних каталогов, раскомментируйте директиву chroot.
chroot_local_user=YES
Когда функция chroot активна, vsftpd откажется загружать файлы, если каталог, в котором заблокированы пользователи, доступен для записи.
Используйте одно из следующих решений, чтобы сделать среду chroot доступной для записи:
Способ 1. Рекомендуемый вариант разрешения загрузки — оставить включенным chroot и настроить FTP-каталоги. В этом примере мы создадим каталог ftp внутри дома пользователя, который будет служить chroot и доступным для записи каталогом для uploads файлов.
user_sub_token=$USER
local_root=/home/$USER/ftpСпособ 2. Другой вариант — добавить следующую директиву в файл конфигурации vsftpd. Используйте эту опцию, если вам нужно предоставить пользователю доступ на запись к его домашнему каталогу./etc/vsftpd.conf
allow_writeable_chroot=YES4. Пассивные FTP-соединения
По умолчанию vsftpd использует активный режим. Чтобы использовать пассивный режим, установите минимальный и максимальный диапазон портов:
pasv_min_port=30000
pasv_max_port=31000
vsftpd может использовать любой порт для пассивных FTP-подключений. Когда пассивный режим включен, FTP-клиент открывает соединение с сервером на произвольном порту в выбранном вами диапазоне.
5. Ограничьте доступ пользователей
Вы можете настроить vsftpd, чтобы разрешить доступ только определенным пользователям. Для этого добавьте в конец файла следующие строки:
userlist_enable=YES
userlist_file=/etc/vsftpd.user_list
userlist_deny=NO
Когда эта функция включена, вам необходимо явно указать, какие пользователи могут входить в систему, добавив имена пользователей в файл /etc/vsftpd.user_list (по одному пользователю в строке).
6. Безопасные передачи с помощью SSL/TLS
Для шифрования FTP-передачи с помощью SSL/TLS вам необходимо иметь SSL-сертификат и настроить FTP-сервер для его использования.
Вы можете использовать существующий SSL-сертификат, подписанный доверенным центром сертификации, или создать самозаверяющий сертификат.
Если у вас есть домен или субдомен, указывающий на IP-адрес FTP-сервера, вы можете легко создать бесплатный SSL-сертификат Let's Encrypt.
В этом руководстве мы создадим самозаверяющий SSL-сертификат с помощью команды openssl.
Выполните следующую команду, чтобы создать 2048-битный закрытый ключ и самозаверяющий сертификат, действительный в течение 10 лет. И закрытый ключ, и сертификат будут сохранены в одном файле:
sudo openssl req -x509 -nodes -days 3650 -newkey rsa:2048 -keyout /etc/ssl/private/vsftpd.pem -out /etc/ssl/private/vsftpd.pemПосле создания файлов откройте файл конфигурации:
sudo nano /etc/vsftpd.confНайдите директивы rsa_cert_file и rsa_private_key_file, измените их значения в пути к файлу pam и установите для директивы ssl_enable значение YES:
rsa_cert_file=/etc/ssl/private/vsftpd.pem
rsa_private_key_file=/etc/ssl/private/vsftpd.pem
ssl_enable=YES
Если не указано иное, FTP-сервер будет использовать только TLS для безопасных подключений.
Перезапустите службу vsftpd.
После того, как вы закончите настройку сервера, файл конфигурации vsftpd (без комментариев) должен выглядеть следующим образом:
listen=NO
listen_ipv6=YES
anonymous_enable=NO
local_enable=YES
write_enable=YES
dirmessage_enable=YES
use_localtime=YES
xferlog_enable=YES
connect_from_port_20=YES
chroot_local_user=YES
allow_writeable_chroot=YES
pasv_min_port=30000
pasv_max_port=31000
userlist_enable=YES
userlist_file=/etc/vsftpd.user_list
userlist_deny=NO
secure_chroot_dir=/var/run/vsftpd/empty
pam_service_name=vsftpd
rsa_cert_file=/etc/ssl/private/vsftpd.pem
rsa_private_key_file=/etc/ssl/private/vsftpd.pem
ssl_enable=YES
Сохраните файл и перезапустите службу vsftpd, чтобы изменения вступили в силу:
sudo systemctl restart vsftpdОткройте брандмауэр
Если вы используете брандмауэр UFW, вам необходимо разрешить FTP-трафик.
Чтобы открыть порт 21 (FTP-порт), порт 20 (FTP-порт) и 30000-31000 (диапазон пассивных портов), выполните следующие команды:
sudo ufw allow 20:21/tcpsudo ufw allow 30000:31000/tcpПерезагрузите правила UFW, отключив и снова включив UFW:
sudo ufw disablesudo ufw enableСоздать FTP-пользователя
Чтобы протестировать FTP-сервер, мы создадим нового пользователя.
- Если у вас уже есть пользователь, которому вы хотите предоставить FTP-доступ, пропустите первый шаг.
- Если вы установили
allow_writeable_chroot=YESв файле конфигурации, пропустите третий шаг.
Создайте нового пользователя с именем newftpuser:
sudo adduser newftpuserПри появлении запроса установите пароль пользователя.
Добавьте пользователя в список разрешенных пользователей FTP:
echo "newftpuser" | sudo tee -a /etc/vsftpd.user_listСоздайте структуру каталогов FTP и установите правильные разрешения:
sudo mkdir -p /home/newftpuser/ftp/uploadsudo chmod 550 /home/newftpuser/ftpsudo chmod 750 /home/newftpuser/ftp/uploadsudo chown -R newftpuser: /home/newftpuser/ftpКак обсуждалось в предыдущем разделе, пользователь сможет загружать файлы в каталог ftp/upload.
На этом этапе ваш FTP-сервер полностью функционален, и вы сможете подключиться к нему с помощью любого FTP-клиента, такого как FileZilla.
Отключить доступ к оболочке
По умолчанию при создании пользователя, если это не указано явно, пользователь будет иметь SSH-доступ к устройству. Чтобы отключить доступ к оболочке, создайте новую оболочку, которая будет просто печатать сообщение, информирующее пользователя о том, что его учетная запись ограничена только доступом к FTP.
Создадим оболочку /bin/ftponly и сделаем ее исполняемой:
echo -e '#!/bin/sh\necho "This account is limited to FTP access only."' | sudo tee -a /bin/ftponlysudo chmod a+x /bin/ftponlyДобавьте новую оболочку в список допустимых оболочек в /etc/shells:
echo "/bin/ftponly" | sudo tee -a /etc/shellsИзмените пользовательскую оболочку на /bin/ftponly:
sudo usermod newftpuser -s /bin/ftponlyИспользуйте ту же команду, чтобы изменить оболочку всех пользователей, которым вы хотите предоставить доступ только к FTP.
Вывод
Мы показали вам, как установить и настроить безопасный и быстрый FTP-сервер в вашей системе Raspberry Pi.
