ubuntu 下的ftp詳細配置

時間 2019-11-13

標籤 ubuntu ftp 詳細配置欄目 Ubuntu 简体版

原文原文鏈接

FTP（文件傳輸協議）是一個較老且最經常使用的標準網絡協議，用於在兩臺計算機之間經過網絡上傳/下載文件。然而， FTP 最初的時候並不安全，由於它僅經過用戶憑證（用戶名和密碼）傳輸數據，沒有進行加密。linux

警告：若是你打算使用 FTP，須要考慮經過 SSL/TLS配置 FTP 鏈接。不然，使用安全 FTP，好比 SFTP 會更好一些。shell

在這個教程中，我將向大家展現如何在 Ubuntu 中安裝、配置並保護 FTP 服務器（VSFTPD 的全稱是「Very Secure FTP Deamon」），從而擁有強大的安全性，可以防範 FTP 漏洞。安全

第一步：在 Ubuntu 中安裝 VSFTPD 服務器bash

首先，咱們須要更新系統安裝包列表，而後像下面這樣安裝 VSFTPD 二進制包：服務器

$ sudo apt-get update
$ sudo apt-get install vsftpd

一旦安裝完成，初始狀況下服務被禁用。所以，咱們須要手動開啓服務，同時，啓動它使得在下次開機時可以自動開啓服務：網絡

------------- On SystemD -------------
# systemctl start vsftpd
# systemctl enable vsftpd
------------- On SysVInit -------------
# service vsftpd start
# chkconfig --level 35 vsftpd on

接下來，若是你在服務器上啓用了 UFW 防火牆（默認狀況下不啓用），那麼須要打開端口 20 和 21 —— FTP 守護進程正在監聽它們——從而才能容許從遠程機器訪問 FTP 服務，而後，像下面這樣添加新的防火牆規則：app

$ sudo ufw allow 20/tcp
$ sudo ufw allow 21/tcp
$ sudo ufw status

第二步：在 Ubuntu 中配置並保護 VSFTPD 服務器tcp

讓咱們進行一些配置來設置和保護 FTP 服務器。首先，咱們像下面這樣建立一個原始配置文件 /etc/vsftpd/vsftpd.conf 的備份文件：測試

$ sudo cp /etc/vsftpd.conf /etc/vsftpd.conf.orig

接下來，打開 vsftpd 配置文件。加密

$ sudo vi /etc/vsftpd.conf
OR
$ sudo nano /etc/vsftpd.conf

把下面的這些選項添加/改爲所展現的值：

anonymous_enable=NO             # 關閉匿名登陸
local_enable=YES        # 容許本地用戶登陸
write_enable=YES        # 啓用能夠修改文件的 FTP 命令
local_umask=022             # 本地用戶建立文件的 umask 值
dirmessage_enable=YES           # 當用戶第一次進入新目錄時顯示提示消息
xferlog_enable=YES      # 一個存有詳細的上傳和下載信息的日誌文件
connect_from_port_20=YES        # 在服務器上針對 PORT 類型的鏈接使用端口 20（FTP 數據）
xferlog_std_format=YES          # 保持標準日誌文件格式
listen=NO               # 阻止 vsftpd 在獨立模式下運行
listen_ipv6=YES             # vsftpd 將監聽 ipv6 而不是 IPv4，你能夠根據你的網絡狀況設置
pam_service_name=vsftpd         # vsftpd 將使用的 PAM 驗證設備的名字
userlist_enable=YES             # 容許 vsftpd 加載用戶名字列表
tcp_wrappers=YES        # 打開 tcp 包裝器

如今，配置 VSFTPD ，基於用戶列表文件/etc/vsftpd.userlist 來容許或拒絕用戶訪問 FTP。

注意，在默認狀況下，若是經過userlist_enable=YES 啓用了用戶列表，且設置userlist_deny=YES 時，那麼，用戶列表文件/etc/vsftpd.userlist 中的用戶是不能登陸訪問的。

可是，選項userlist_deny=NO 則反轉了默認設置，這種狀況下只有用戶名被明確列出在/etc/vsftpd.userlist 中的用戶才容許登陸到 FTP 服務器。

userlist_enable=YES                   # vsftpd 將會從所給的用戶列表文件中加載用戶名字列表
userlist_file=/etc/vsftpd.userlist    # 存儲用戶名字的列表
userlist_deny=NO

重要的是，當用戶登陸 FTP 服務器之後，他們將進入 chrooted 環境，即當在 FTP 會話時，其 root 目錄將是其 home 目錄。

接下來，咱們來看一看兩種可能的途徑來設置 chrooted（本地 root）目錄，正以下面所展現的。

這時，讓咱們添加/修改/取消這兩個選項來將 FTP 用戶限制在其 home 目錄

chroot_local_user=YES
allow_writeable_chroot=YES

選項chroot_local_user=YES 意味着本地用戶將進入 chroot 環境，當登陸之後默認狀況下是其 home 目錄。

而且咱們要知道，默認狀況下，出於安全緣由，VSFTPD 不容許 chroot 目錄具備可寫權限。然而，咱們能夠經過選項 allow_writeable_chroot=YES 來改變這個設置

保存文件而後關閉。如今咱們須要重啓 VSFTPD 服務從而使上面的這些更改生效：

------------- On SystemD -------------
# systemctl restart vsftpd
------------- On SysVInit -------------
# service vsftpd restart

第三步：在 Ubuntu 上測試 VsFTP 服務器

如今，咱們經過使用下面展現的 useradd 命令建立一個 FTP 用戶來測試 FTP 服務器：

$ sudo useradd -m -c "Aaron Kili, Contributor" -s /bin/bash aaronkilik
$ sudo passwd aaronkilik

而後，咱們須要像下面這樣使用 echo 命令和 tee 命令來明確地列出文件/etc/vsftpd.userlist 中的用戶 aaronkilik：

$ echo "aaronkilik" | sudo tee -a /etc/vsftpd.userlist
$ cat /etc/vsftpd.userlist

如今，是時候來測試上面的配置是否具備咱們想要的功能了。咱們首先測試匿名登陸；咱們能夠從下面的輸出中很清楚的看到，在這個 FTP 服務器中是不容許匿名登陸的：

# ftp 192.168.56.102
Connected to 192.168.56.102  (192.168.56.102).
220 Welcome to TecMint.com FTP service.
Name (192.168.56.102:aaronkilik) : anonymous
530 Permission denied.
Login failed.
ftp> bye
221 Goodbye.

接下來，咱們將測試，若是用戶的名字沒有在文件/etc/vsftpd.userlist 中，是否可以登陸。從下面的輸出中，咱們看到，這是不能夠的：

# ftp 192.168.56.102
Connected to 192.168.56.102  (192.168.56.102).
220 Welcome to TecMint.com FTP service.
Name (192.168.56.10:root) : user1
530 Permission denied.
Login failed.
ftp> bye
221 Goodbye.

如今，咱們將進行最後一項測試，來肯定列在文件/etc/vsftpd.userlist 文件中的用戶登陸之後，是否實際處於 home 目錄。從下面的輸出中可知，是這樣的：

# ftp 192.168.56.102
Connected to 192.168.56.102  (192.168.56.102).
220 Welcome to TecMint.com FTP service.
Name (192.168.56.102:aaronkilik) : aaronkilik
331 Please specify the password.
Password:
230 Login successful.
Remote system type is UNIX.
Using binary mode to transfer files.
ftp> ls

在 Ubuntu 中確認 FTP 登陸

警告：設置選項allow_writeable_chroot=YES 是很危險的，特別是若是用戶具備上傳權限，或者能夠 shell 訪問的時候，極可能會出現安全問題。只有當你確切的知道你在作什麼的時候，纔可使用這個選項。

咱們須要注意，這些安全問題不只會影響到 VSFTPD，也會影響讓本地用戶進入 chroot 環境的 FTP daemon。

由於這些緣由，在下一步中，我將闡述一個更安全的方法，來幫助用戶設置一個非可寫本地 root 目錄。

第四步：在 Ubuntu 中配置 FTP 用戶的 Home 目錄

如今，再次打開 VSFTPD 配置文件。

$ sudo vi /etc/vsftpd.conf
OR
$ sudo nano /etc/vsftpd.conf

而後像下面這樣用# 把不安全選項註釋了：

#allow_writeable_chroot=YES

接下來，爲用戶建立一個替代的本地 root 目錄（aaronkilik，你的可能和這不同），而後設置目錄權限，取消其餘全部用戶對此目錄的寫入權限：

$ sudo mkdir /home/aaronkilik/ftp
$ sudo chown nobody:nogroup /home/aaronkilik/ftp
$ sudo chmod a-w /home/aaronkilik/ftp

而後，在本地 root 目錄下建立一個具備合適權限的目錄，用戶將在這兒存儲文件：

$ sudo mkdir /home/aaronkilik/ftp/files
$ sudo chown -R aaronkilk:aaronkilik /home/aaronkilik/ftp/files
$ sudo chmod -R 0770 /home/aaronkilik/ftp/files/

以後，將 VSFTPD 配置文件中的下面這些選項添加/修改成相應的值：

user_sub_token=$USER          # 在本地 root 目錄中插入用戶名
local_root=/home/$USER/ftp    # 定義各個用戶的本地 root 目錄

保存文件並關閉。而後重啓 VSFTPD 服務來使上面的設置生效：

------------- On SystemD -------------
# systemctl restart vsftpd
------------- On SysVInit -------------
# service vsftpd restart

如今，讓咱們來最後檢查一下，確保用戶的本地 root 目錄是咱們在他的 Home 目錄中建立的 FTP 目錄。

# ftp 192.168.56.102
Connected to 192.168.56.102  (192.168.56.102).
220 Welcome to TecMint.com FTP service.
Name (192.168.56.10:aaronkilik) : aaronkilik
331 Please specify the password.
Password:
230 Login successful.
Remote system type is UNIX.
Using binary mode to transfer files.
ftp> ls

FTP 用戶 Home 目錄登陸

本文永久更新連接地址：http://www.linuxidc.com/Linux/2017-04/142493.htm

本文徹底引用自linux公社：www.linuxidc.com