- Как настроить FTP-сервер с VSFTPD на CentOS 7
- Подготовка
- Установка vsftpd на CentOS 7
- Настройка vsftpd
- 1. Доступ по FTP
- 2. Включение загрузки
- 3. Chroot Jail
- 4. Пассивные FTP-соединения
- 5. Ограничение входа пользователя
- 6. Защита передачи с помощью SSL / TLS
- Перезапустите службу vsftpd
- Открытие брандмауэра
- Создание пользователя FTP
- Отключение доступа к оболочке
- Выводы
- Настройка FTP-сервера vsFTPd на CentOS 7
- Установка и базовая настройка vsFTPd
- vsFTPd через TLS
Как настроить FTP-сервер с VSFTPD на CentOS 7
FTP (протокол передачи файлов) — это стандартный сетевой протокол клиент-сервер, который позволяет пользователям передавать файлы в удаленную сеть и из нее.
Для Linux доступно несколько FTP-серверов с открытым исходным кодом. Наиболее популярными и широко используемыми являются PureFTPd , ProFTPD и vsftpd .
В этом руководстве мы будем устанавливать vsftpd (Very Secure Ftp Daemon) на CentOS 7. Это стабильный, безопасный и быстрый FTP-сервер. Мы также покажем вам, как настроить vsftpd, чтобы ограничить пользователей их домашним каталогом и зашифровать всю передачу с помощью SSL / TLS.
Для более безопасной и быстрой передачи данных используйте SCP или SFTP .
Подготовка
Прежде чем продолжить это руководство, убедитесь, что вы вошли в систему как пользователь с привилегиями sudo .
Установка vsftpd на CentOS 7
Пакет vsftpd доступен в репозиториях CentOS по умолчанию. Чтобы установить его, выполните следующую команду:
После установки пакета запустите демон vsftpd и включите его автоматический запуск во время загрузки:
sudo systemctl start vsftpd
sudo systemctl enable vsftpd
Вы можете проверить, что служба vsftpd запущена, распечатав ее статус:
sudo systemctl status vsftpd
Результат будет выглядеть примерно так, как показано ниже, показывая, что служба vsftpd активна и работает:
● vsftpd.service - Vsftpd ftp daemon Loaded: loaded (/usr/lib/systemd/system/vsftpd.service; enabled; vendor preset: disabled) Active: active (running) since Thu 2018-11-22 09:42:37 UTC; 6s ago Main PID: 29612 (vsftpd) CGroup: /system.slice/vsftpd.service └─29612 /usr/sbin/vsftpd /etc/vsftpd/vsftpd.conf
Настройка vsftpd
Настройка службы vsftpd включает редактирование файла конфигурации /etc/vsftpd/vsftpd.conf . Большинство настроек хорошо документированы в файле конфигурации. Чтобы узнать обо всех доступных вариантах, посетите официальную страницу vsftpd .
В следующих разделах мы рассмотрим некоторые важные настройки, необходимые для настройки безопасной установки vsftpd.
Начните с открытия файла конфигурации vsftpd:
sudo nano /etc/vsftpd/vsftpd.conf
1. Доступ по FTP
Мы разрешим доступ к FTP-серверу только локальным пользователям, найдем директивы anonymous_enable и local_enable и проверим соответствие вашей конфигурации приведенным ниже строкам:
anonymous_enable=NO local_enable=YES
2. Включение загрузки
write_enable параметр write_enable чтобы разрешить изменения файловой системы, такие как загрузка и удаление файлов.
3. Chroot Jail
Предотвратите доступ пользователей FTP к любым файлам за пределами их домашних каталогов, раскомментировав директиву chroot .
По умолчанию, когда включен chroot, vsftpd откажется загружать файлы, если каталог, в котором заблокированы пользователи, доступен для записи. Это сделано для предотвращения уязвимости системы безопасности.
Используйте один из приведенных ниже методов, чтобы разрешить загрузку при включенном chroot.
- Метод 1. — Рекомендуемый метод разрешить загрузку — оставить chroot включенным и настроить каталоги FTP. В этом руководстве мы создадим каталог ftp внутри дома пользователя, который будет служить uploads каталогом и каталогом загрузки с возможностью записи для загрузки файлов.
user_sub_token = $USER local_root = /home/$USER/ftp
allow_writeable_chroot = YES
4. Пассивные FTP-соединения
vsftpd может использовать любой порт для пассивных FTP-соединений. Мы укажем минимальный и максимальный диапазон портов, а затем откроем диапазон в нашем брандмауэре.
Добавьте в файл конфигурации следующие строки:
pasv_min_port=30000 pasv_max_port=31000
5. Ограничение входа пользователя
Чтобы разрешить только определенным пользователям входить на FTP-сервер, добавьте следующие строки после строки userlist_enable=YES :
userlist_file=/etc/vsftpd/user_list userlist_deny=NO
Когда этот параметр включен, вам необходимо явно указать, какие пользователи могут входить в систему, добавив имена пользователей в файл /etc/vsftpd/user_list (по одному пользователю на строку).
6. Защита передачи с помощью SSL / TLS
Чтобы зашифровать FTP-передачу с помощью SSL / TLS, вам потребуется сертификат SSL и настроить FTP-сервер для его использования.
Вы можете использовать существующий сертификат SSL, подписанный доверенным центром сертификации, или создать самозаверяющий сертификат.
Если у вас есть домен или поддомен, указывающий на IP-адрес FTP-сервера, вы можете легко создать бесплатный SSL-сертификат Let’s Encrypt .
В этом руководстве мы создадим самозаверяющий сертификат SSL с помощью команды openssl .
Следующая команда создаст 2048-битный закрытый ключ и самозаверяющий сертификат, действительный в течение 10 лет. И закрытый ключ, и сертификат будут сохранены в одном файле:
sudo openssl req -x509 -nodes -days 3650 -newkey rsa:2048 -keyout /etc/vsftpd/vsftpd.pem -out /etc/vsftpd/vsftpd.pem
После создания SSL-сертификата откройте файл конфигурации vsftpd:
sudo nano /etc/vsftpd/vsftpd.conf
Найти rsa_cert_file и rsa_private_key_file директивы, изменить их значения на pam путь к файлу и установите ssl_enable директиву YES :
rsa_cert_file=/etc/vsftpd/vsftpd.pem rsa_private_key_file=/etc/vsftpd/vsftpd.pem ssl_enable=YES
Если не указано иное, FTP-сервер будет использовать только TLS для безопасных соединений.
Перезапустите службу vsftpd
После того, как вы закончите редактирование, конфигурационный файл vsftpd (без комментариев) должен выглядеть примерно так:
anonymous_enable=NO local_enable=YES write_enable=YES local_umask=022 dirmessage_enable=YES xferlog_enable=YES connect_from_port_20=YES xferlog_std_format=YES chroot_local_user=YES listen=NO listen_ipv6=YES pam_service_name=vsftpd userlist_enable=YES userlist_file=/etc/vsftpd/user_list userlist_deny=NO tcp_wrappers=YES user_sub_token=$USER local_root=/home/$USER/ftp pasv_min_port=30000 pasv_max_port=31000 rsa_cert_file=/etc/vsftpd/vsftpd.pem rsa_private_key_file=/etc/vsftpd/vsftpd.pem ssl_enable=YES
Сохраните файл и перезапустите службу vsftpd, чтобы изменения вступили в силу:
sudo systemctl restart vsftpd
Открытие брандмауэра
Если вы используете брандмауэр, вам необходимо разрешить FTP-трафик.
Чтобы открыть порт 21 (командный порт FTP), порт 20 (порт данных FTP) и 30000-31000 (диапазон пассивных портов), 30000-31000 следующие команды:
sudo firewall-cmd --permanent --add-port=20-21/tcp
sudo firewall-cmd --permanent --add-port=30000-31000/tcp
Перезагрузите правила брандмауэра, набрав:
Создание пользователя FTP
Чтобы протестировать наш FTP-сервер, мы создадим нового пользователя.
- Если у вас уже есть пользователь, которому вы хотите предоставить доступ по FTP, пропустите 1-й шаг.
- Если вы установили allow_writeable_chroot=YES в вашем файле конфигурации, пропустите 3-й шаг.
echo "newftpuser" | sudo tee -a /etc/vsftpd/user_list
sudo mkdir -p /home/newftpuser/ftp/upload
sudo chmod 550 /home/newftpuser/ftp
sudo chmod 750 /home/newftpuser/ftp/upload
sudo chown -R newftpuser: /home/newftpuser/ftp
На этом этапе ваш FTP-сервер полностью функционален, и вы должны иметь возможность подключиться к своему серверу с помощью любого FTP-клиента, который может быть настроен для использования шифрования TLS, например FileZilla .
Отключение доступа к оболочке
По умолчанию при создании пользователя, если это не указано явно, у пользователя будет SSH-доступ к серверу.
Чтобы отключить доступ к оболочке, мы создадим новую оболочку, которая просто напечатает сообщение, сообщающее пользователю, что его учетная запись ограничена только доступом по FTP.
Выполните следующие команды, чтобы создать оболочку /bin/ftponly и сделать ее исполняемой:
echo -e '#!/bin/shnecho "This account is limited to FTP access only."' | sudo tee -a /bin/ftponly
sudo chmod a+x /bin/ftponly
Добавьте новую оболочку в список допустимых оболочек в /etc/shells :
echo "/bin/ftponly" | sudo tee -a /etc/shells
Измените оболочку пользователя на /bin/ftponly :
sudo usermod newftpuser -s /bin/ftponly
Используйте ту же команду, чтобы изменить оболочку для других пользователей, которым вы хотите предоставить только доступ по FTP.
Выводы
В этом руководстве вы узнали, как установить и настроить безопасный и быстрый FTP-сервер в вашей системе CentOS 7.
Если у вас есть какие-либо вопросы или отзывы, не стесняйтесь оставлять комментарии.
Настройка FTP-сервера vsFTPd на CentOS 7
Обновлено: 20.05.2023 Опубликовано: 27.03.2017
Термины по теме: FTP, CentOS На текущий момент есть две удачные реализации FTP-сервера для Linux: vsFTPd и proFTPd. В данной инструкции речь пойдет о первом, так как его актуальная версия более свежая, в то время, как последняя версия proFTPd выпущена в 2013 году.
Установка и базовая настройка vsFTPd
anonymous_enable=NO
chroot_local_user=YES allow_writeable_chroot=YES
pasv_min_port=40900
pasv_max_port=40999
* первые две строчки мы редактируем: anonymous_enable разрешает подключение анонимных пользователей, поэтому мы отключаем такую возможность; chroot_local_user запрещает выход за пределы домашней директории пользователя. Третью, четвертую и пятую строки мы дописываем — allow_writeable_chroot разрешает подключения пользователю, у которого есть права на запись в корневую директорию; это диапазон динамических портов, которые будут использоваться vsFTPd. Данный диапазон важно указывать, если используется брандмауэр. Сам диапазон можно задать любой из незарегистрированных портов. Отключаем SELinux следующими командами:
* первая команда отключит SELinux, вторая — отключит его автозапуск после перезагрузки. Добавляем правила в брандмауэр для корректной работы FTP-сервера:
По умолчанию, к vsFTPd нельзя подключиться с использованием учетной записи root. Поэтому нужно использовать другую пользовательскую запись или создать новую следующей командой:
* ftpuser — имя учетной записи; /var/www — домашняя директория; /sbin/nologin запрещает локальный вход в систему. Задаем пароль новому пользователю:
vsFTPd через TLS
TLS позволяет настроить безопасный FTP, передача данных через который осуществляется по зашифрованному каналу. Для начала создаем сертификат:
openssl req -new -x509 -days 1461 -nodes -out /etc/vsftpd/vsftpd.pem -keyout /etc/vsftpd/vsftpd.key -subj «/C=RU/ST=SPb/L=SPb/O=Global Security/OU=IT Department/CN=test.dmosk.local/CN=test»
* в данном примере мы создаем самоподписный сертификат на 4 года для URL test.dmosk.local или test. В итоге, мы получим 2 ключа — открытый PEM и закрытый KEY.
** самоподписанный сертификат лучше использовать для тестовой настройки. Для продуктивной среды лучше купить сертификат или получить бесплатный от Let’s Encrypt. Открываем на редактирование конфигурационный файл vsFTPd:
ssl_enable=YES
allow_anon_ssl=NO
force_local_data_ssl=NO
force_local_logins_ssl=NO
ssl_tlsv1=YES
ssl_sslv2=NO
ssl_sslv3=NO
rsa_cert_file=/etc/vsftpd/vsftpd.pem
rsa_private_key_file=/etc/vsftpd/vsftpd.key
- ssl_enable разрешает использование шифрования.
- allow_anon_ssl разрешает использовать SSL анонимным пользователям.
- force_local_data_ssl требует использования шифрования, и если установить.
- YES, клиенты без шифрования не смогут подключиться.
- force_local_logins_ssl также требует подключение по SSL.
- ssl_tlsv1 — использовать TLS версии 1.
- ssl_sslv2 — использовать SSL версии 2.
- ssl_sslv3 — использовать SSL версии 3.
- rsa_cert_file — путь к сертификату с открытым ключом.
- rsa_private_key_file — путь к сертификату с закрытым ключом.