Linux中國

如何在 Ubuntu 下安裝和配置 FTP 伺服器

推薦閱讀:如何在 CentOS 7 中安裝並保護 FTP 伺服器

在這個教程中,我將向你們展示如何在 Ubuntu 中安裝、配置並保護 FTP 伺服器(VSFTPD 的全稱是 「Very Secure FTP Deamon」),從而擁有強大的安全性,能夠防範 FTP 漏洞。

第一步:在 Ubuntu 中安裝 VSFTPD 伺服器

1、首先,我們需要更新系統安裝包列表,然後像下面這樣安裝 VSFTPD 二進位包:

$ sudo apt-get update
$ sudo apt-get install vsftpd

2、一旦安裝完成,初始情況下服務被禁用。因此,我們需要手動開啟服務,同時,啟動它使得在下次開機時能夠自動開啟服務:

------------- On SystemD ----------# systemctl start vsftpd
# systemctl enable vsftpd
------------- On SysVInit ----------# service vsftpd start
# chkconfig --level 35 vsftpd on

3、接下來,如果你在伺服器上啟用了 UFW 防火牆(默認情況下不啟用),那麼需要打開埠 20 和 21 —— FTP 守護進程正在監聽它們——從而才能允許從遠程機器訪問 FTP 服務,然後,像下面這樣添加新的防火牆規則:

$ sudo ufw allow 20/tcp
$ sudo ufw allow 21/tcp
$ sudo ufw status

第二步:在 Ubuntu 中配置並保護 VSFTPD 伺服器

4、讓我們進行一些配置來設置和保護 FTP 伺服器。首先,我們像下面這樣創建一個原始配置文件 /etc/vsftpd/vsftpd.conf 的備份文件:

$ sudo cp /etc/vsftpd.conf /etc/vsftpd.conf.orig

接下來,打開 vsftpd 配置文件。

$ sudo vi /etc/vsftpd.conf
OR
$ sudo nano /etc/vsftpd.conf

把下面的這些選項添加/改成所展示的值:

anonymous_enable=NO             # 關閉匿名登錄
local_enable=YES        # 允許本地用戶登錄
write_enable=YES        # 啟用可以修改文件的 FTP 命令
local_umask=022             # 本地用戶創建文件的 umask 值
dirmessage_enable=YES           # 當用戶第一次進入新目錄時顯示提示消息
xferlog_enable=YES      # 一個存有詳細的上傳和下載信息的日誌文件
connect_from_port_20=YES        # 在伺服器上針對 PORT 類型的連接使用埠 20(FTP 數據)
xferlog_std_format=YES          # 保持標準日誌文件格式
listen=NO               # 阻止 vsftpd 在獨立模式下運行
listen_ipv6=YES             # vsftpd 將監聽 ipv6 而不是 IPv4,你可以根據你的網路情況設置
pam_service_name=vsftpd         # vsftpd 將使用的 PAM 驗證設備的名字
userlist_enable=YES             # 允許 vsftpd 載入用戶名字列表
tcp_wrappers=YES        # 打開 tcp 包裝器

5、現在,配置 VSFTPD ,基於用戶列表文件 /etc/vsftpd.userlist 來允許或拒絕用戶訪問 FTP。

注意,在默認情況下,如果通過 userlist_enable=YES 啟用了用戶列表,且設置 userlist_deny=YES 時,那麼,用戶列表文件 /etc/vsftpd.userlist 中的用戶是不能登錄訪問的。

但是,選項 userlist_deny=NO 則反轉了默認設置,這種情況下只有用戶名被明確列出在 /etc/vsftpd.userlist 中的用戶才允許登錄到 FTP 伺服器。

userlist_enable=YES                   # vsftpd 將會從所給的用戶列表文件中載入用戶名字列表
userlist_file=/etc/vsftpd.userlist    # 存儲用戶名字的列表
userlist_deny=NO

重要的是,當用戶登錄 FTP 伺服器以後,他們將進入 chrooted 環境,即當在 FTP 會話時,其 root 目錄將是其 home 目錄。

接下來,我們來看一看兩種可能的途徑來設置 chrooted(本地 root)目錄,正如下面所展示的。

6、這時,讓我們添加/修改/取消這兩個選項來將 FTP 用戶限制在其 home 目錄

chroot_local_user=YES
allow_writeable_chroot=YES

選項 chroot_local_user=YES 意味著本地用戶將進入 chroot 環境,當登錄以後默認情況下是其 home 目錄。

並且我們要知道,默認情況下,出於安全原因,VSFTPD 不允許 chroot 目錄具有可寫許可權。然而,我們可以通過選項 allow_writeable_chroot=YES 來改變這個設置

保存文件然後關閉。現在我們需要重啟 VSFTPD 服務從而使上面的這些更改生效:

------------- On SystemD ----------# systemctl restart vsftpd
------------- On SysVInit ----------# service vsftpd restart

第三步:在 Ubuntu 上測試 VsFTP 伺服器

7、現在,我們通過使用下面展示的 useradd 命令創建一個 FTP 用戶來測試 FTP 伺服器:

$ sudo useradd -m -c "Aaron Kili, Contributor" -s /bin/bash aaronkilik
$ sudo passwd aaronkilik

然後,我們需要像下面這樣使用 echo 命令和 tee 命令來明確地列出文件 /etc/vsftpd.userlist 中的用戶 aaronkilik:

$ echo "aaronkilik" | sudo tee -a /etc/vsftpd.userlist
$ cat /etc/vsftpd.userlist

8、現在,是時候來測試上面的配置是否具有我們想要的功能了。我們首先測試匿名登錄;我們可以從下面的輸出中很清楚的看到,在這個 FTP 伺服器中是不允許匿名登錄的:

# ftp 192.168.56.102
Connected to 192.168.56.102  (192.168.56.102).
220 Welcome to TecMint.com FTP service.
Name (192.168.56.102:aaronkilik) : anonymous
530 Permission denied.
Login failed.
ftp> bye
221 Goodbye.

9、接下來,我們將測試,如果用戶的名字沒有在文件 /etc/vsftpd.userlist 中,是否能夠登錄。從下面的輸出中,我們看到,這是不可以的:

# ftp 192.168.56.102
Connected to 192.168.56.102  (192.168.56.102).
220 Welcome to TecMint.com FTP service.
Name (192.168.56.10:root) : user1
530 Permission denied.
Login failed.
ftp> bye
221 Goodbye.

10、現在,我們將進行最後一項測試,來確定列在文件 /etc/vsftpd.userlist 文件中的用戶登錄以後,是否實際處於 home 目錄。從下面的輸出中可知,是這樣的:

# ftp 192.168.56.102
Connected to 192.168.56.102  (192.168.56.102).
220 Welcome to TecMint.com FTP service.
Name (192.168.56.102:aaronkilik) : aaronkilik
331 Please specify the password.
Password:
230 Login successful.
Remote system type is UNIX.
Using binary mode to transfer files.
ftp> ls

Verify FTP Login in Ubuntu

在 Ubuntu 中確認 FTP 登錄

警告:設置選項 allow_writeable_chroot=YES 是很危險的,特別是如果用戶具有上傳許可權,或者可以 shell 訪問的時候,很可能會出現安全問題。只有當你確切的知道你在做什麼的時候,才可以使用這個選項。

我們需要注意,這些安全問題不僅會影響到 VSFTPD,也會影響讓本地用戶進入 chroot 環境的 FTP daemon。

因為這些原因,在下一步中,我將闡述一個更安全的方法,來幫助用戶設置一個非可寫本地 root 目錄。

第四步:在 Ubuntu 中配置 FTP 用戶的 Home 目錄

11、現在,再次打開 VSFTPD 配置文件。

$ sudo vi /etc/vsftpd.conf
OR
$ sudo nano /etc/vsftpd.conf

然後像下面這樣用 # 把不安全選項注釋了:

#allow_writeable_chroot=YES

接下來,為用戶創建一個替代的本地 root 目錄(aaronkilik,你的可能和這不一樣),然後設置目錄許可權,取消其他所有用戶對此目錄的寫入許可權:

$ sudo mkdir /home/aaronkilik/ftp
$ sudo chown nobody:nogroup /home/aaronkilik/ftp
$ sudo chmod a-w /home/aaronkilik/ftp

12、然後,在本地 root 目錄下創建一個具有合適許可權的目錄,用戶將在這兒存儲文件:

$ sudo mkdir /home/aaronkilik/ftp/files
$ sudo chown -R aaronkilk:aaronkilik /home/aaronkilik/ftp/files
$ sudo chmod -R 0770 /home/aaronkilik/ftp/files/

之後,將 VSFTPD 配置文件中的下面這些選項添加/修改為相應的值:

user_sub_token=$USER          # 在本地 root 目錄中插入用戶名
local_root=/home/$USER/ftp    # 定義各個用戶的本地 root 目錄

保存文件並關閉。然後重啟 VSFTPD 服務來使上面的設置生效:

------------- On SystemD ----------# systemctl restart vsftpd
------------- On SysVInit ----------# service vsftpd restart

13、現在,讓我們來最後檢查一下,確保用戶的本地 root 目錄是我們在他的 Home 目錄中創建的 FTP 目錄。

# ftp 192.168.56.102
Connected to 192.168.56.102  (192.168.56.102).
220 Welcome to TecMint.com FTP service.
Name (192.168.56.10:aaronkilik) : aaronkilik
331 Please specify the password.
Password:
230 Login successful.
Remote system type is UNIX.
Using binary mode to transfer files.
ftp> ls

FTP User Home Directory Login

FTP 用戶 Home 目錄登錄

就是這樣的!記得通過下面的評論欄來分享你關於這篇指導的想法,或者你也可以提供關於這一話題的任何重要信息。

最後但不是不重要,請不要錯過我的下一篇文章,在下一篇文章中,我將闡述如何使用 SSL/TLS 來保護連接到 Ubuntu 16.04/16.10 的 FTP 伺服器,在那之前,請始終關注我們。

作者簡介:

Aaron Kili 是 Linux 和 F.O.S.S 愛好者,即將成為 Linux SysAdmin 和網路開發人員,目前是 TecMint 的內容創作者,他喜歡在電腦上工作,並堅信分享知識。

via: http://www.tecmint.com/install-ftp-server-in-ubuntu/

作者:Aaron Kili 譯者:ucasFL 校對:wxy

本文由 LCTT 原創編譯,Linux中國 榮譽推出


本文轉載來自 Linux 中國: https://github.com/Linux-CN/archive

對這篇文章感覺如何?

太棒了
0
不錯
0
愛死了
0
不太好
0
感覺很糟
0
雨落清風。心向陽

    You may also like

    Leave a reply

    您的郵箱地址不會被公開。 必填項已用 * 標註

    此站點使用Akismet來減少垃圾評論。了解我們如何處理您的評論數據

    More in:Linux中國