Простой FTP-сервер на базе Ubuntu (vsftpd). Установка и настройка FTP-сервера в Linux Ubuntu ftp сервер с доменной авторизацией
Протокол передачи файлов (FTP) - это TCP протокол для передачи файлов между компьютерами. В прошлом он использовался также для загрузки [файлов в интернете], но, поскольку этот метод не использует шифрование, пользовательские данные как и содержимое файлов передаются в открытую и легко перехватываются. Поэтому, если вы здесь ищете способ безопасно передавать и загружать файлы, лучше обратитесь к статье по OpenSSH в разделе Удаленное администрирование .
FTP работает на основе модели клиент/сервер. Серверный компонент называется сервисом FTP . Он постоянно слушает FTP запросы от удаленных клиентов. При получении запроса он управляет входом и установкой соединения. На протяжении сессии он выполняет любые команды, переданные FTP клиентом.
vsftpd - установка FTP сервера
vsftpd - это сервис FTP , доступный в Ubuntu. Его легко устанавливать, настраивать и поддерживать. Для установки vsftpd вы можете выполнить следующую команду:
Sudo apt install vsftpd
Для запуска сервиса требуется добавить его в автозагрузку. Начиная с версии Ubuntu 15.04 используется Systemd , поэтому для добавления vsftpd в автозапуск надо ввести следующие команды:
Sudo systemctl start vsftpd sudo systemctl enable vsftpd
В Ubuntu Server может использоваться файервол ufw . Тогда вам потребуется разрешить порты 20 и 21
Sudo ufw allow 20/tcp sudo ufw allow 21/tcp
Конфигурационный файл содержит много параметров настройки. Информация по каждому параметру доступна в этом же файле. В качестве альтернативы вы можете посмотреть системное руководство по команде
Man 5 vsftpd.conf
для уточнения деталей по каждому параметру.
Доступ к FTP серверу может быть организован двумя способами:
В анонимном режиме удаленный клиент может получить доступ к FTP серверу, используя учетную запись пользователя по умолчанию с именем «anonymous» или «ftp» и передав адрес email в качестве пароля. В авторизованном режиме пользователь должен иметь учетное имя и пароль. Этот последний вариант крайне небезопасный и не должен использоваться за исключением специальных обстоятельств. Если вы хотите передавать файлы безопасно, смотрите SFTP в разделе по OpenSSH серверу. Пользовательский доступ к каталогам и файлам FTP сервера зависит от прав доступа пользователя, указанного при входе. Как правило, сервис FTP скрывает корневой каталог FTP сервера, подменяя его на домашний каталог FTP . Это скрывает корень файловой системы от удаленных сессий.
Настройка анонимного доступа по FTP
Настройка vsftpd по умолчанию не разрешает анонимную загрузку. Если вы хотите разрешить анонимную загрузку, измените в /etc/vsftpd.conf следующее:
Anonymous_enable=YES
В процессе установки создается пользователь ftp с домашним каталогом /srv/ftp. Это каталог по умолчанию для FTP .
Если вы желаете поменять его расположение, например, на /srv/files/ftp, просто создайте новый каталог и измените домашний каталог пользователя ftp:
Sudo mkdir /srv/files/ftp sudo usermod -d /srv/files/ftp ftp
После изменений перезапустите vsftpd:
Под конец скопируйте все файлы и каталоги, которые вы хотите сделать доступными для анонимного FTP в /srv/files/ftp (или /srv/ftp, если вы хотите оставить настройки по умолчанию).
По умолчанию анонимный пользователь не имеет возможности загружать файлы на FTP сервер. Для изменения этой настройки уберите комментарий на следующей строке и перезапустите vsftpd:
Anon_upload_enable=YES
Разрешение анонимному пользователю загружать файлы может оказаться серьезной угрозой безопасности. Лучше не разрешать анонимную загрузку файлов на сервера с прямым доступом из интернета.
Настройка авторизованного доступа по FTP
Прежде чем вносить какие-либо изменения в конфигурационный файл, рекомендуется скопировать образец для возможности отката изменений без переустановки пакета sudo cp /etc/vsftpd.conf /etc/vsftpd.conf.orig
Для аутентификации локальных пользователей надо раскоментировать строчку
Local_enable=YES
По умолчанию vsftpd настроен на аутентификацию системных пользователей с возможностью получать файлы. Если вы хотите пользователям разрешить загружать файлы, измените в /etc/vsftpd.conf:
Write_enable=YES
после чего перезагрузите vsftpd:
Sudo service vsftpd restart
Теперь при входе системных пользователей по FTP они будут попадать в свои домашние каталоги, где они смогут скачивать, загружать [файлы], создавать каталоги и т.д.
Защита FTP
Ограничение пользователей
В /etc/vsftpd.conf существуют опции, помогающие сделать vsftpd более безопасным. Например, данная опция позволяет поместить локального пользователя в chroot() «заточение», выше которого (по дереву каталогов) он не сможет подняться.
Chroot_local_user=YES
Вы также можете определить список пользователей, имеющих доступ только в домашний каталог:
Chroot_list_enable=YES chroot_list_file=/etc/vsftpd.chroot_list
После снятия комментариев с этих опций, создайте /etc/vsftpd.chroot_list, содержащий список пользователей по одному на строку. Затем перезапустите vsftpd:
Sudo service vsftpd restart
Если вы сняли комментарии со всех трёх строчек, то пользователи из списка не будут ограничены своими домашними каталогами, в отличии от пользователей не вошедших в список
Аналогично файл /etc/ftpusers содержит список пользователей, которым запрещен доступ по FTP . По умолчанию он включает root, daemon, nobody и т.п. Для запрета доступа по FTP для дополнительных пользователей, просто добавьте их в этот список.
Если при попытке подключения вы видите ошибку :
Ответ: 500 OOPS: vsftpd: refusing to run with writable root inside chroot()
то это значит, что локальный пользователь имеет доступ на запись в домашний каталог, чего быть не должно. Способов решения этой ошибки несколько:
Запретить запись в домашний каталог локальному пользователю (подходит не всем и не всегда)
Прописать /home каталогом, куда будут попадать локальные пользователи после входа на FTP сервер. Тогда каждый из них будет иметь возможность писать только в свой домашний каталог
Шифрование
FTP может быть зашифрованным при использовании FTPS . В отличие от SFTP , FTPS - это FTP поверх SSL . SFTP - это сессия, подобная FTP , по зашифрованному SSH соединению. Основное отличие заключается в том, что пользователи SFTP должны иметь учетную запись с собственным окружением (shell account) вместо оболочки nologin. Предоставление всем пользователям доступа к оболочке может оказаться не лучшим решением для некоторых систем, таких как web сервер общего доступа. Однако есть возможность ограничить такие учетные записи только SFTP и запретить взаимодействие с оболочкой. Смотрите раздел по OpenSSH для дополнительной информации.
Для настройки FTPS, добавьте в конец файла /etc/vsftpd.conf следующее:
Ssl_enable=Yes
Также обратите внимание на опции сертификата и ключа:
Rsa_cert_file=/etc/ssl/certs/ssl-cert-snakeoil.pem rsa_private_key_file=/etc/ssl/private/ssl-cert-snakeoil.key
По умолчанию эти опции установлены в значения, предоставленные пакетом ssl-cert . Для рабочей среды они должны быть заменены на сертификат и ключ, созданные для определенного компьютера. Для дополнительной информации смотрите раздел Сертификаты .
Теперь перегрузите vsftpd и неанонимные пользователи будут использовать FTPS:
Sudo service restart vsftpd
Чтобы позволить пользователям с оболочкой /usr/sbin/nologin получить доступ к FTP , но не предоставлять shell доступ, отредактируйте /etc/shells, добавив к оболочке nologin:
# /etc/shells: valid login shells /bin/csh /bin/sh /usr/bin/es /usr/bin/ksh /bin/ksh /usr/bin/rc /usr/bin/tcsh /bin/tcsh /usr/bin/esh /bin/dash /bin/bash /bin/rbash /usr/bin/screen /usr/sbin/nologin
Это необходимо, поскольку по умолчанию vsftpd использует авторизацию PAM, а файл настроек /etc/pam.d/vsftpd содержит:
Auth required pam_shells.so
Модуль PAM shells ограничивает доступ к оболочкам, перечисленным в файле /etc/shells.
Наиболее популярные клиенты FTP могут быть настроены на использование FTPS. FTP клиент командной строки lftp также имеет возможность использовать FTPS.
Н а этом уроке мы покажем вам установку и настройку VSFTPD на в . VSFTPD является аббревиатурой от очень безопасного протокола передачи файлов Daemon. Это бесплатный и с открытым исходным кодом, быстрый, стабильный, легкий и очень безопасный FTP – сервер для операционных систем Unix и Linux, установленных в соответствии с GNU General Public License. VSFTPD является одним из наиболее часто используемых FTP – серверов для Linux и используется в качестве FTP – сервера по умолчанию в некоторых из самых больших дистрибутивах, таких как , Fedora, Ubuntu, NimbleX, Slackware и RHEL.
Для того чтобы установить VSFTPD на вашем сервере Ubuntu 16.04, вы должны войти через SSH как пользователь root
Ssh root@IP_address
Прежде всего, убедитесь, что все установленные пакеты находятся в актуальном состоянии
Apt-get update && apt-get upgrade
Все, что вам нужно сделать, чтобы установить VSFTPD на вашем Ubuntu 16.04 VPS, это выполнить следующую команду в вашем терминале Linux
Apt-get -y install vsftpd
После того, как он будет успешно установлен, мы должны внести некоторые изменения в его конфигурацию. Откройте файл /etc/vsftpd.conf, найдите и измените следующие строки:
Vim /etc/vsftpd.conf # Контроль анонимного вход, разрешен или нет. anonymous_enable=NO # Локальные пользователи для входа в систему local_enable=YES # Набор "write_enable", для того, чтобы разрешить изменения в файловой системы write_enable=YES # включить отправку в ASCII (для предотвращения загрузки скриптов и т. д. от взлома), # без риска Осн размера и скачивания в формате ASCII. ASCII должен быть # на клиенте в любом случае.. ascii_upload_enable=YES ascii_download_enable=YES # Можно задать корневой каталог для пользователей FTP. Если не указано, домашний каталог пользователя равен корневому каталогу FTP local_root=public_html
Сохраните файл конфигурации и перезапустите FTP-сервер для того, чтобы изменения вступили в силу
Systemctl restart vsftpd
Установите VSFTPD на автоматический запуск при загрузке системы
Systemctl enable vsftpd
Вы можете найти список всех опций в файле конфигурации на http://vsftpd.beasts.org/vsftpd_conf.html
Корневые логин по умолчанию отключен в VSFTPD по соображениям безопасности. Для того, чтобы получить доступ к своему FTP-сервер, вам придется создать нового пользователя системы
Adduser FTPUSER
Где FTPUSER это имя пользователя, которого вы хотите создать. Вам будет предложено ввести новый пароль для нового пользователя и несколько дополнительных сведений, таких как полное имя пользователя, номер телефона, и т.д.. Пожалуйста, обратите внимание, что очень важно всегда использовать для учетных записей. Лучше всего использовать комбинацию букв и цифр и не менее 10 символов.
Теперь, как только ваш FTP-сервер и установлен и настроен, и создается новый пользователь FTP, вы можете получить доступ к FTP-серверу с помощью вновь созданного пользователя с помощью терминала, веб-браузер или с помощью клиента FTP, такие как FileZilla.
Это возможность передавать файлы с помощью file transfer protocol. Он используется для удобного обмена файлами по проводной и беспроводной местной сети. Этим локальный сервер может быть полезен как в работе, так и в домашних условиях. С использованием Ubuntu, FTP-сервер ещё более удобен, поскольку требует минимум сил и ресурсов для настройки и использования.
На базе Ubuntu можно установить ftp-сервер.
Протокол обмена файлами сегодня особенно часто используют для передачи собственных ресурсов на серверы в интернете, а также между доверенными компьютерами. Хорошо известные клиенты FTP для Windows, например, FileZilla, нацелены на взаимодействие двух компьютеров , обмен данными между которыми максимально прост и управляем.
Протокол строится на базе клиент-серверной логики. Это означает наличие двух технических сторон - клиента (чьи нужды обслуживаются) и сервера (который и обслуживает нужды). Подключение к серверу может выполняться как с помощью открытой аутентификации (логин и пароль), так и анонимно (если поддерживается). Несмотря на это, протокол ФТП слаб в отношении защиты, особенно по стандартам сегодняшнего дня. Однако в Ubuntu установка FTP может включать некоторые дополнительные стандарты защиты.
Переходим к практике. Демон Profpd
Для того чтобы установка FTP-сервера Ubuntu прошла удачно, мы используем так называемый «демон». Это программа, которая позволяет выполнять рутинные задачи, будучи запущенной в фоне. Демон, который нужен для FTP на Ubuntu - Proftpd. Его установка выполняется простой командой в Терминале :
«sudo apt-get install proftpd».
Когда установка будет завершена, потребуется обновить конфигурацию сервера и изменить базовые настройки. Это поможет конфигурировать процесс входа на сервер. Все нужные изменения требуется вносить в файле «/etc/proftpd/proftpd.conf». Его можно сразу открыть при помощи редактора nano.
Итак, настройка FTP-сервера Ubuntu началась. Прежде всего, изменим 2 нужных параметра.
В самый конец файла необходимо добавить строку:
«AuthUserFile /etc/proftpd/ftpd.passwd»
Именно в этом документе, который мы предложим вам добавить позднее, будут хранится основные параметры входа. Убираем символ комментария со строки «DefaultRoot» - «#». Теперь перейдём к правке файла «/etc/shells». В него нужно добавить строку «/bin/false». C помощью этих команд вы сможете добавлять новых пользователей в существующую группу:
«addgroup имя_пользователя группа», если вставить «имя_пользователя» = «ftp» и «группа» = «www-data», то становится возможным работать с файлами в «собственности» сервера.
Кроме того, установка FTP-сервера Ubuntu предусматривает команду «change owner»: «chown -R ftp:www-data». С её помощью можно сделать владельцем файлов пользователя «ftp». Группе пользователей «www-data» будет предоставлен групповой доступ к документам. Когда все настройки будут завершены, просто перезагрузите сервер:
«sudo /etc/init.d/proftpd restart»
Теперь нужно настраивать виртуальные учётные записи пользователей. Это необходимо делать по такой схеме:
«ftpasswd -passwd -file=/etc/proftpd/ftpd.passwd -name=(имя пользователя) -shell=/bin/false -home=/var/www/html -uid=(ID пользователя, можно узнать по команде «id ftp») -gid=(ID группы, допустим для группы «www-data» – 33)
«sudo nano /etc/dhcp3/dhcpd.conf»
В него нужно записать следующее:
«#Имя домена (внутренного).
option domain-name “имя_домена”;
#DNS сервер на подключаемом ПК.
option domain-name-servers IP_адрес;
#С этой строки нужно убрать комментарий «#».
authoritative;
#Желаемые данные подсети для сервера.
subnet 192.168.0.0 netmask 255.255.255.0 {
#Диапазон выдачи адресов.
range IP_адрес IP_адрес;
#Роутер с выходом в интернет. option routers IP_адрес;
#Загружаемый при начальной загрузке в сети файл.
filename = “tftp/pxelinux.0”;
}»
Теперь осталось только перезагрузить DHCP-сервер:
«sudo /etc/init.d/dhcp3-server restart».
Как видите, настройка FTP-сервера Ubuntu не требует особых технических навыков. Кроме того, она довольно проста в исполнении для каждого, кто работал в Linux.
В завершение
В этой статье мы подробно и детально рассмотрели, как установить FTP-сервер на Ubuntu, а также уделили внимание настройке TFTP-сервера. Эти инструменты - прекрасный образец того, насколько Убунту гибка и функциональна. Если у вас всё же появились вопросы по её использованию и настройке - не стесняйтесь задавать их в комментариях к этой статье. А также читайте другие материалы на страницах нашего сайта.
В этом руководстве расскажем, как установить FTP сервер на VPS с ОС Ubuntu. Будем использовать сервер vsftpd , который считается самым быстрым и безопасным FTP сервером для UNIX-систем.
FTP или F ile T ransfer P rotocol – протокол приема и передачи файлов в сети. Используя модель клиент/сервер и безопасность SSL/TLS, FTP позволяет пользователям обмениваться файлами с удаленными компьютерами безопасно, эффективно и надежно, передавая данных по протоколу TCP/IP.
FTP работает подобно HTTP или SMTP, с единственным отличием, что он ответственен за безопасную передачу данных от отправителя к получателю, а не веб-страницы с сервера к пользователю или электронного письма через интернет. В этом руководстве рассмотрено создание FTP сервера на ОС Ubuntu версии 16.04.
Примечание: Текущее руководство основывается на версии ОС Ubuntu 16.04. Но вы можете применить те же шаги по созданию FTP сервера на Ubuntu 14.04.
Прежде всего, давайте сделаем обновление всех пакетов перед началом установки демона vsftpd. Для этого выполним команду:
Sudo apt-get update
Дождитесь завершения всех процессов и вы увидите подтверждающее сообщение:
Затем установим демон vsftpd следующей командой:
Sudo apt-get install vsftpd
Вы получите уведомление требующее подтверждения, нажмите Y и Enter для продолжения установки.
По завершению установки, сделаем бэкап оригинального файла конфигурации, чтобы начать с чистого файла настроек:
Sudo cp /etc/vsftpd.conf /etc/vsftpd.conf.original
Теперь мы можем переходить к следующему шагу и настраивать фаервол.
Шаг 2 – Разрешение FTP трафика на фаерволе
Чтобы позволить серверу FTP, развёрнутому на ОС Ubuntu взаимодействовать с внешним миром, нужно настроить путь через фаервол. Для начала посмотрим включён ли фаервол. Запустите следующую команду для определения статуса:
Sudo ufw status
Если вы увидите такое сообщение:
Ufw: command not found
Это значит, что фаервол не установлен и можно перходить к следующему шагу.
Если же на выходе будут показаны правила или сообщение о том, что фаервол активен, нужно определить, как он будет обрабатывать FTP-трафик. Давайте сделаем следующее, откроем порты 20 и 21 для трафика FTP; порты 40000-50000 будут зарезервированы, как диапазон пассивных портов, который в конечном итоге будет установлен в файле конфигурации; порт 990 будет использоваться, когда TLS будет включен. Выполним следующие команды:
Sudo ufw allow 20/tcp sudo ufw allow 21/tcp sudo ufw allow 990/tcp sudo ufw allow 40000:50000/tcp
Теперь посмотрим на статус:
Результат будет выглядеть где-то так:
Output Status : active To Action From -- -- -- -- -- -- 990 / tcp ALLOW Anywhere 20 / tcp ALLOW Anywhere 21 / tcp ALLOW Anywhere 40000 : 50000 / tcp ALLOW Anywhere 20 / tcp (v6 ) ALLOW Anywhere (v6 ) 21 / tcp (v6 ) ALLOW Anywhere (v6 ) 990 / tcp (v6 ) ALLOW Anywhere (v6 ) 40000 : 50000 / tcp (v6 ) ALLOW Anywhere (v6 )Теперь, все необходимые порты открыты и доступны для нас и мы можем переходит к следующему шагу.
Шаг 3 – Создание каталога пользователя
На третьем шаге создания Ubuntu FTP сервера, нужно выбрать пользователя, который будет подключатся по FTP. Для этого создадим нового пользователя, выполнив такую команду:
sudo adduser alexЗаполните пароль и другие детали, когда запросит. В идеале, с точки зрения безопасности, FTP должен быть ограничен одним специальным каталогом. Vsftpd использует chroot для создания этой защиты. Со включённым chroot, локальный пользователь ограничивается его домашним каталогом (по умолчанию). Однако, может оказаться, что из-за защиты vsftpd, пользователь не сможет ничего создавать в каталоге. Мы не убираем права на запись в домашнем каталоге, вместо этого мы сделаем каталог ftp, который будет вести себя как chroot вместе с сохранением способности к записи, что будет позволять хранить файлы. Используйте такую команду для создания каталога FTP:
sudo mkdir / home / alex / ftpУстановите права владения:
sudo chown nobody : nogroup / home / alex / ftpНаконец, удалите права на запись:
sudo chmod a - w / home / alex / ftpТеперь, используя следующую команду проверьте права доступа:
sudo ls - la / home / alex / ftpНа выходе мы увидим приблизительно это:
total 8 dr - xr - xr - x 2 nobody nogroup 4096 Jun 29 11 : 32 . drwxr - xr - x 3 alex alex 4096 Jun 29 11 : 32 . .На следующем этапе мы создадим файл, содержащий каталоги и права доступа к ним:
sudo mkdir / home / alex / ftp / files sudo chown alex : alex / home / alex / ftp / filesИ наконец, добавим в каталог тестовый файл, который мы будет использовать во время тестирования чего-либо:
echo "vsftpd sample file" | sudo tee / home / alex / ftp / files / sample . txtШаг 4 – Настройка vsftpd
Чтобы продолжить устанавливать FTP сервер на Ubuntu VPS, нам нужно настроить vsftpd и наш FTP-доступ. В этом руководстве мы разрешим одному пользователю подключаться по FTP, используя локальную консоль. Необходимая для этого двух этапная настройка уже установлена в конфигурационном файле (vsftpd.conf ). Вначале проверьте, чтобы настройки в файле совпадали с указанными ниже, :
sudo nano / etc / vsftpd . conf . . . # Allow anonymous FTP? (Disabled by default). anonymous_enable = NO # # Uncomment this to allow local users to log in. local_enable = YES . . .В этом же файле, продолжим удаляя # включаем write_enable :
. . . write_enable = YES . . .Chroot также раскоментируем, чтобы убедиться, что пользователь, подключившийся по FTP имеет доступ к файлам внутри разрешённой директории:
. . . chroot_local_user = YES . . .Несколько новых значений будут также нужны для добавления вручную. Вы можете просто вставить их в конец файла. Вначале, user_sub_token добавим к пути каталога local_root. Это позволит конфигурации работать с текущим пользователем и любым другим пользователем, который будет добавлен позже:
user_sub_token = $ USER local_root = / home / $ USER / ftpЧтобы быть уверенным, что доступно достаточное количество соединений, мы ограничим количество портов, используемое в конфигурационном файле:
pasv_min_port = 40000 pasv_max_port = 50000В этом руководстве мы планируем дать доступ индивидуальной основе, поэтому давайте установим настройки так, чтобы дать доступ только тем пользователям, которые непосредственно добавлены в список:
userlist_enable = YES userlist_file = / etc / vsftpd . userlist userlist_deny = NOФлаг userlist_deny отвечает за переключение логики, когда он установлен в “NO”, только те пользователи, которые есть в списке имеет доступ. По завершению нажмите CTRL+X и подтвердите сохранения изменений в файле.
В завершение, продолжим создание и добавление нашего пользователя в файл:
echo "alex" | sudo tee - a / etc / vsftpd . userlistПроверим, что пользователь действительно активен запуском команды:
cat / etc / vsftpd . userlistВывод должен быть “alex ”, как показано на скриншоте:
Перезапустите демона, используя следующую команду, чтобы запустить изменения настроек:
sudo systemctl restart vsftpdШаг 5 – Делаем защищенный FTP
По умолчанию, FTP не делает никакого шифрование данных, поэтому мы будем использовать TLS/SSL, чтобы позаботиться о безопасности. В качестве первого шага нам нужно создать SSL сертификат и использовать его для защиты Ubuntu FTP сервера. Для начала выполним следующую команду:
Sudo openssl req -x509 -nodes -days 365 -newkey rsa:2048 -keyout /etc/ssl/private/vsftpd.pem -out /etc/ssl/private/vsftpd.pem
Флаг –days делает сертификат действующим в течение года и мы включаем 2048-битный приватный ключ RSA в этой же команде. Когда запросит нужные данные введите их в предоставленном поле.
После создания сертификата ещё раз откройте конфигурационный файл:
Sudo nano /etc/vsftpd.conf
В конце файла есть строка с “_rsa ”. Закомментируйте эти две строки:
# rsa_cert_file=/etc/ssl/certs/ssl-cert-snakeoil.pem # rsa_private_key_file=/etc/ssl/private/ssl-cert-snakeoil.key
Вместо этого мы направим конфиг файл на сертификат, который мы создали. Добавьте такие строки:
Rsa_cert_file=/etc/ssl/private/vsftpd.pem rsa_private_key_file=/etc/ssl/private/vsftpd.pem
Теперь мы включим SSL и убедимся, что только пользователи со включённым SSL могут с нами связываться. Измените значение ssl_enable на YES :
ssl_enable = YESТеперь добавьте следующие строки для продолжения создания защиты (это запретить какие-либо анонимные соединения с использованием SSL):
Allow_anon_ssl=NO force_local_data_ssl=YES force_local_logins_ssl=YES
Настройте TLS используя:
Ssl_tlsv1=YES ssl_sslv2=NO ssl_sslv3=NO
Здесь мы добавим ещё 2 опции. Во-первых, повторное использование SSL не будет необходимым, потому что это может привести к разрывам у большого количества клиентов. Во-вторых, мы будем использовать высокозащищенный код шифрования, что будет означать, что длина ключа соответствует (или больше, чем) 128 бит.
Require_ssl_reuse=NO ssl_ciphers=HIGH
Сделаем ещё раз перезапуск, для вступления изменений в силу:
Sudo systemctl restart vsftpd
Прекрасно! Вот вы и настроили FTP сервер на вашем Ubuntu VPS для работы с протоколом SSL/TLS.
Шаг 6 – Проверка подключения, используя FileZilla
Сегодня FTP клиенты поддерживают настройку шифрования TLS, поэтому это прекрасная возможность проверить, работает ли наш Ubuntu FTP сервер как следует. Чтобы проверить соединение, будем использовать . Для начала запустите FileZilla, нажатием на иконку Site Manager .
Нажмите на кнопку New Site в появившемся окне начните заполнять данные о Ubuntu FTP сервере.
Заполните необходимые поля информацией о недавно созданном Ubuntu FTP сервере. Так как мы настроили его с использованием TLS, мы может отметить настройку шифрования в “explicit FTP over TLS” положение. Окончательное окно настроек выглядит так:
Как только настроите, нажимайте Connect и появится окошко с запросом для введения пароля пользователя FTP.
В заключение вам нужно будет подтвердить SSL сертификат на вашем FTP сервере на Ubuntu VPS.
После подтверждения, корневой root-каталог с тестовым файлом появятся на вашем экране.
Это всё! Теперь вы можете производить любую передачу файлов с вашего компьютера на Ubuntu FTP сервер и обратно.
Заключение
В этом руководстве мы прошли шаг за шагом путь создания для локального пользователя безопасного способа передачи файлов через FTP с SSL/TLS на Ubuntu FTP сервере. Также мы протестировали соединения, используя FileZilla, чтобы убедиться, что всё работает.
File Transfer Protocol (FTP) is a TCP protocol for downloading files between computers. In the past, it has also been used for uploading but, as that method does not use encryption, user credentials as well as data transferred in the clear and are easily intercepted. So if you are here looking for a way to upload and download files securely, see the section on OpenSSH in Remote Administration instead.
FTP works on a client/server model. The server component is called an FTP daemon . It continuously listens for FTP requests from remote clients. When a request is received, it manages the login and sets up the connection. For the duration of the session it executes any of commands sent by the FTP client.
Access to an FTP server can be managed in two ways:
In the Anonymous mode, remote clients can access the FTP server by using the default user account called "anonymous" or "ftp" and sending an email address as the password. In the Authenticated mode a user must have an account and a password. This latter choice is very insecure and should not be used except in special circumstances. If you are looking to transfer files securely see SFTP in the section on OpenSSH-Server. User access to the FTP server directories and files is dependent on the permissions defined for the account used at login. As a general rule, the FTP daemon will hide the root directory of the FTP server and change it to the FTP Home directory. This hides the rest of the file system from remote sessions.
vsftpd - FTP Server Installation
vsftpd is an FTP daemon available in Ubuntu. It is easy to install, set up, and maintain. To install vsftpd you can run the following command:
sudo apt install vsftpd
Anonymous FTP Configuration
By default vsftpd is not configured to allow anonymous download. If you wish to enable anonymous download edit /etc/vsftpd.conf by changing:
anonymous_enable=Yes
During installation a ftp user is created with a home directory of /srv/ftp . This is the default FTP directory.
If you wish to change this location, to /srv/files/ftp for example, simply create a directory in another location and change the ftp user"s home directory:
sudo mkdir /srv/files/ftp sudo usermod -d /srv/files/ftp ftp
After making the change restart vsftpd :
Finally, copy any files and directories you would like to make available through anonymous FTP to /srv/files/ftp , or /srv/ftp if you wish to use the default.
User Authenticated FTP Configuration
By default vsftpd is configured to authenticate system users and allow them to download files. If you want users to be able to upload files, edit /etc/vsftpd.conf :
write_enable=YES
Now restart vsftpd :
sudo systemctl restart vsftpd.service
Now when system users login to FTP they will start in their home directories where they can download, upload, create directories, etc.
Similarly, by default, anonymous users are not allowed to upload files to FTP server. To change this setting, you should uncomment the following line, and restart vsftpd :
anon_upload_enable=YES
Enabling anonymous FTP upload can be an extreme security risk. It is best to not enable anonymous upload on servers accessed directly from the Internet.
The configuration file consists of many configuration parameters. The information about each parameter is available in the configuration file. Alternatively, you can refer to the man page, man 5 vsftpd.conf for details of each parameter.
Securing FTP
There are options in /etc/vsftpd.conf to help make vsftpd more secure. For example users can be limited to their home directories by uncommenting:
chroot_local_user=YES
You can also limit a specific list of users to just their home directories:
chroot_list_enable=YES chroot_list_file=/etc/vsftpd.chroot_list
After uncommenting the above options, create a /etc/vsftpd.chroot_list containing a list of users one per line. Then restart vsftpd :
sudo systemctl restart vsftpd.service
Also, the /etc/ftpusers file is a list of users that are disallowed FTP access. The default list includes root, daemon, nobody, etc. To disable FTP access for additional users simply add them to the list.
FTP can also be encrypted using FTPS . Different from SFTP , FTPS is FTP over Secure Socket Layer (SSL). SFTP is a FTP like session over an encrypted SSH connection. A major difference is that users of SFTP need to have a shell account on the system, instead of a nologin shell. Providing all users with a shell may not be ideal for some environments, such as a shared web host. However, it is possible to restrict such accounts to only SFTP and disable shell interaction. See the section on OpenSSH-Server for more.
To configure FTPS , edit /etc/vsftpd.conf and at the bottom add:
Also, notice the certificate and key related options:
rsa_cert_file=/etc/ssl/certs/ssl-cert-snakeoil.pem rsa_private_key_file=/etc/ssl/private/ssl-cert-snakeoil.key
By default these options are set to the certificate and key provided by the ssl-cert package. In a production environment these should be replaced with a certificate and key generated for the specific host. For more information on certificates see Certificates .
Now restart vsftpd , and non-anonymous users will be forced to use FTPS :
sudo systemctl restart vsftpd.service
To allow users with a shell of /usr/sbin/nologin access to FTP, but have no shell access, edit /etc/shells adding the nologin shell:
# /etc/shells: valid login shells /bin/csh /bin/sh /usr/bin/es /usr/bin/ksh /bin/ksh /usr/bin/rc /usr/bin/tcsh /bin/tcsh /usr/bin/esh /bin/dash /bin/bash /bin/rbash /usr/bin/screen /usr/sbin/nologin
This is necessary because, by default vsftpd uses PAM for authentication, and the /etc/pam.d/vsftpd configuration file contains:
auth required pam_shells.so
The shells PAM module restricts access to shells listed in the /etc/shells file.
Most popular FTP clients can be configured to connect using FTPS. The lftp command line FTP client has the ability to use FTPS as well.