Ftp для linux debian

Как настроить FTP-сервер с VSFTPD в Debian 9

FTP (протокол передачи файлов) — это стандартный сетевой протокол, используемый для передачи файлов в удаленную сеть и из нее. Для более безопасной и быстрой передачи данных используйте SCP или SFTP .

Для Linux доступно множество FTP-серверов с открытым исходным кодом. Наиболее популярными и широко используемыми являются PureFTPd , ProFTPD и vsftpd .

В этом руководстве объясняется, как установить и настроить vsftpd (Very Secure Ftp Daemon) в Debian 9. vsftpd — стабильный, безопасный и быстрый FTP-сервер. Мы также покажем вам, как настроить vsftpd, чтобы ограничить пользователей их домашним каталогом и зашифровать всю передачу с помощью SSL / TLS.

Подготовка

Пользователь, под которым вы вошли в систему, должен иметь права sudo, чтобы иметь возможность устанавливать пакеты.

Установка vsftpd на Debian 9

Пакет vsftpd доступен в репозиториях Debian. Установка довольно проста:

Служба vsftpd автоматически запустится после завершения процесса установки. Проверьте это, распечатав статус службы:

Результат будет выглядеть примерно так, как показано ниже, показывая, что служба vsftpd активна и работает:

Настройка vsftpd

Сервер vsftpd можно настроить, изменив файл vsftpd.conf , который находится в каталоге /etc

Большинство настроек хорошо документированы в файле конфигурации. Чтобы узнать обо всех доступных вариантах, посетите официальную страницу vsftpd .

В следующих разделах мы рассмотрим некоторые важные настройки, необходимые для настройки безопасной установки vsftpd.

Начните с открытия файла конфигурации vsftpd:

1. Доступ по FTP

Найдите директивы anonymous_enable и local_enable и убедитесь, что ваша конфигурация соответствует строкам ниже:

Это гарантирует, что только локальные пользователи могут получить доступ к FTP-серверу.

2. Включение загрузки

write_enable параметр write_enable чтобы разрешить изменения файловой системы, такие как загрузка и удаление файлов.

3. Chroot Jail

Чтобы предотвратить доступ пользователей FTP к файлам вне их домашних каталогов, раскомментируйте параметр chroot .

По умолчанию, чтобы предотвратить уязвимость системы безопасности, когда включен chroot, vsftpd откажется загружать файлы, если каталог, в котором заблокированы пользователи, доступен для записи.

Используйте один из приведенных ниже методов, чтобы разрешить загрузку при включенном chroot.

Метод 1. — Рекомендуемый метод разрешить загрузку — оставить chroot включенным и настроить каталоги FTP. В этом руководстве мы создадим каталог ftp внутри дома пользователя, который будет служить uploads каталогом и каталогом загрузки с возможностью записи для загрузки файлов.

Метод 2. Другой вариант — добавить следующую директиву в файл конфигурации vsftpd. Используйте эту опцию, если вам необходимо предоставить пользователю доступ с правом записи к его домашнему каталогу.

4. Пассивные FTP-соединения

vsftpd может использовать любой порт для пассивных FTP-соединений. Мы укажем минимальный и максимальный диапазон портов, а затем откроем диапазон в нашем брандмауэре.

Добавьте в файл конфигурации следующие строки:

5. Ограничение входа пользователя

Чтобы разрешить доступ к FTP-серверу только определенным пользователям, добавьте следующие строки в конец файла:

Когда этот параметр включен, вам необходимо явно указать, какие пользователи могут входить в систему, добавив имена пользователей в файл /etc/vsftpd.user_list (по одному пользователю в строке).

6. Защита передачи с помощью SSL / TLS

Чтобы зашифровать FTP-передачу с помощью SSL / TLS, вам потребуется сертификат SSL и настроить FTP-сервер для его использования.

Вы можете использовать существующий сертификат SSL, подписанный доверенным центром сертификации, или создать самозаверяющий сертификат.

Если у вас есть домен или поддомен, указывающий на IP-адрес FTP-сервера, вы можете легко создать бесплатный SSL-сертификат Let’s Encrypt .

В этом руководстве мы создадим самозаверяющий сертификат SSL с помощью команды openssl .

Следующая команда создаст 2048-битный закрытый ключ и самозаверяющий сертификат, действительный в течение 10 лет. И закрытый ключ, и сертификат будут сохранены в одном файле:

После создания SSL-сертификата откройте файл конфигурации vsftpd:

Найти rsa_cert_file и rsa_private_key_file директивы, изменить их значения на pam путь к файлу и установите ssl_enable директиву YES :

Если не указано иное, FTP-сервер будет использовать только TLS для безопасных соединений.

Перезапустите службу vsftpd

После того, как вы закончите редактирование, конфигурационный файл vsftpd (без комментариев) должен выглядеть примерно так:

Сохраните файл и перезапустите службу vsftpd, чтобы изменения вступили в силу:

Открытие брандмауэра

Если вы используете брандмауэр UFW, вам необходимо разрешить FTP-трафик.

Чтобы открыть порт 21 (командный порт FTP), порт 20 (порт данных FTP) и 30000-31000 (диапазон пассивных портов), выполните следующие команды:

Чтобы избежать блокировки, мы также откроем порт 22 :

Перезагрузите правила UFW, отключив и снова включив UFW:

Чтобы проверить запуск изменений:

Создание пользователя FTP

Чтобы протестировать наш FTP-сервер, мы создадим нового пользователя.

• Если у вас уже есть пользователь, которому вы хотите предоставить доступ по FTP, пропустите 1-й шаг.
• Если вы установили allow_writeable_chroot=YES в вашем файле конфигурации, пропустите 3-й шаг.

Создайте нового пользователя с именем newftpuser :

Добавьте пользователя в список разрешенных пользователей FTP:

Создайте дерево каталогов FTP и установите правильные разрешения :

Как обсуждалось в предыдущем разделе, пользователь сможет загружать свои файлы в каталог ftp/upload .

На этом этапе ваш FTP-сервер полностью работоспособен, и вы должны иметь возможность подключиться к своему серверу с помощью любого FTP-клиента, который можно настроить для использования шифрования TLS, например FileZilla .

Отключение доступа к оболочке

По умолчанию при создании пользователя, если это не указано явно, у пользователя будет SSH-доступ к серверу.

Чтобы отключить доступ к оболочке, мы создадим новую оболочку, которая просто напечатает сообщение, сообщающее пользователю, что его учетная запись ограничена только доступом по FTP.

Создайте оболочку /bin/ftponly и сделайте ее исполняемой:

Добавьте новую оболочку в список допустимых оболочек в /etc/shells :

Измените оболочку пользователя на /bin/ftponly :

Используйте ту же команду, чтобы изменить оболочку всех пользователей, которым вы хотите предоставить только доступ по FTP.

Выводы

В этом руководстве вы узнали, как установить и настроить безопасный и быстрый FTP-сервер в вашей системе Debian 9.

Если у вас есть какие-либо вопросы или отзывы, не стесняйтесь оставлять комментарии.

Источник

Как установить FTP-сервер в Debian 10



Как установить FTP-сервер в Debian 10

В этом руководстве мы покажем вам, как установить FTP-сервер в Debian 10. Для тех из вас, кто не знал, FTP означает «протокол передачи файлов» и позволяет передавать файлы на удаленный компьютер. Наиболее распространенным программным обеспечением FTP-сервера для Ubuntu является пакет vsftpd, что означает «очень безопасный демон FTP». Это пакет FTP по умолчанию для Ubuntu, а также для большинства других дистрибутивов Linux.

В этой статье предполагается, что у вас есть хотя бы базовые знания Linux, вы знаете, как использовать оболочку, и, что наиболее важно, вы размещаете свой сайт на собственном VPS. Установка довольно проста и предполагает, что вы работаете с учетной записью root, в противном случае вам может потребоваться добавить ‘ sudo ‘ к командам для получения привилегий root. Я покажу вам пошаговую установку FTP-сервера на Debian 10 (Buster).

Установите FTP-сервер в Debian 10 Buster

Шаг 1. Перед установкой любого программного обеспечения важно убедиться, что ваша система обновлена, выполнив следующие apt команды в терминале:

Шаг 2. Установка FTP-сервера в системах Debian.

Пакет vsftpd доступен в репозиториях Debian. Начнем с обновления нашего списка пакетов и установки демона vsftpd:

После завершения установки вы можете проверить версию пакета vsftpd, выполнив следующую команду в Терминале:

Шаг 3. Настройте FTP-сервер.

Теперь мы выполним некоторые настройки, необходимые для настройки FTP-сервера в нашей ОС Debian:

Добавьте / измените следующие параметры с этими значениями:

После сохранения файла конфигурации перезапустите vsftpd, примените новые изменения:

Шаг 4. Настройте брандмауэр.

Чтобы открыть порт 21 (командный порт FTP), порт 20 ( порт данных FTP) и (диапазон пассивных портов), выполните следующие команды: 30000 — 31000

Перезагрузите правила UFW, отключив и снова включив UFW:

Шаг 5. Создайте пользователя FTP.

Теперь мы создадим нового пользователя, которого будем использовать для входа в FTP. В этом примере мы создадим нового пользователя с именем chedelics:

Чтобы убедиться, что все работает правильно, вы должны сохранить хотя бы один файл в домашнем каталоге chedelics. Этот файл должен быть виден, когда мы войдем в FTP на следующих шагах:

Шаг 6. Протестируйте FTP-сервер в Debian 10.

Чтобы проверить FTP-соединение, вам необходимо установить FTP-клиент в той же или в отдельной системе, откуда вы хотите получить доступ к FTP-серверу. В нашем случае мы используем FileZilla в качестве FTP-клиента.

Поздравляю! Вы успешно установили FTP-сервер . Благодарим вас за использование этого руководства для установки FTP-сервера в вашей системе Debian 10 Bustersystem. Для получения дополнительной помощи или полезной информации мы рекомендуем вам посетить официальный сайт vsftpd .

Источник

• ru
• vsftpd

?Обсуждение

Установка и настройка ftp-сервера vsftpd.

Введение

Цель этой статьи — рассмотреть более подробно этапы внедрения сервера разделения файлов средством FTP, используя vsftpd (Very Secure FTP Daemon).

Установка

Установите vsftpd через Aptitude или ?apt-get :

После завершения установки, сервер будет автоматически запущен, и начнёт слушать TCP порт 21. Проверить что сервер успешно запустился можно с помощью команды netstat:

Если ваш ftp-сервер «vsftpd» находится не за firewall, то перед тем как настроить «vsftpd» для использования, будет разумно временно остановить его:

Настройка

Файл со значениями по умолчанию параметров настройки находится в /etc/vsftpd.conf

В файле с настройками используются три различных типа параметров:

• Логические параметры — основные параметры, которые могут содержать логические значения: либо YES либо NO;
• Числовые параметры — параметры, содержащие различные значения в числах, т.н. время в секундах или номер порта для соединения;
• Строковые параметры — содержат строку, т.н. путь к каталогу в файловой системе на диске: /var/run/vsftpd/;

Отдельно стоит отметить тот факт, что параметры (и их значения) могут отсутствовать в файле с настройками, это означает, что используется значение по умолчанию, обозначаемое как «Default:» в «man vsftpd.conf». Многие, не зная этого, уверены, что параметрам требуется напрямую указывать значения, и поэтому их файл с настройками вырастает до огромных размеров, хотя, на самом деле, обычно необходимо записать в файл настроек «/etc/vsftpd.conf» всего лишь несколько параметров, для установки значений вместо значений по умолчанию, если значения по умолчанию остальных параметров настройки приемлемы, то значит они не нуждаются в повторном добавлении.

Многие параметры настройки зависят от других параметров, например, если те параметры, от которых они зависят, отключены, то интересующие вас параметры настройки просто не будут работать. Некоторые параметры являются взаимоисключающими, то есть, это значит что они не будут работать в паре с определёнными другими установленными параметрами.

Символ решётки «#» — переводит автоматически следующую за ним всю строку, в комментарий, не используемый программой vsftpd.

Анонимный доступ

По умолчанию разрешён только анонимный аккаунт, который имеет доступ к каталогу /srv/ftp/. Если вы хотите его отключить:

Для того, чтобы изменить каталог по умолчанию, используйте параметр anon_root :

Если вы хотите оставить анонимный доступ, то Вам возможно потребуется установить следующие параметры:

anon_upload_enable — разрешает или запрещает запись в каталог анонимного пользователя (значение переменной anon_root) (по умолчанию выключено(NO));

anon_mkdir_write_enable — разрешает в том же самом каталоге создание каталогов (по умолчанию выключено(NO));

Также Вы можете указать владельца загруженных на ftp-сервер «vsftpd» файлов: Полезным может оказаться факт указания точных прав существующего в операционной системе пользователя как владельца загруженных файлов :

Авторизованный доступ

Для того, чтобы разрешить авторизацию существующих в операционной системе пользователей, раскомментируйте:

Для того, чтобы разрешить таким (локальным) пользователям права на запись:

Содержание пользователей в «песочнице»

Пользовательские права могут иметь доступ к файлам всей системы, это всегда очень не желательно, и способствует компроментации машины; редактируя параметры Vsftpd.conf, пользователей можно поместить в «песочницу»:

Их корень FTP будет тогда их личным каталогом.

Пользовательский аккаунт из системы может использоваться не только для ftp, но и для других случаев; для того, чтобы авторизоваться в системе в совершенно другом месте, например: ssh, getty (логин терминала). Пользователь будет иметь в таком случае также доступ к оболочке системы shell. Вы можете настроить, приведённые в примере, службы для того, чтобы блокировать возможность авторизации через аккаунт пользователя на службе или поместить его в «песочницу», но универсальное решение состоит в том, чтобы отключить shell для аккаунта пользователя.

Для этого, shell пользователя назначается в false, простой бинарник, который возвращает сигнал ошибки :

Затем необходимо добавить false в список оболочек shell:

SFTP — SSL

Известные проблемы и их решения

Кодировки

Дополнительная информация

Файл хорошо прокомментирован на английском языке, а также, все параметры хорошо задокументированы и находятся под тем же именем в руководстве на страницах man:

Перевод файла «FAQ», содержащего часто задаваемые вопросы, из последней версии vsftpd доступен ?здесь

Сама программа располагается в каталоге «/usr/sbin/vsftpd», возможно, в разных дистрибутивах файл vsftpd.conf находится в разных местах, узнать его расположение, к примеру, можно командой «whereis vsftpd».

Перевод последней версии странички vsftpd_conf.html доступен здесь

После установки следует обратить внимание на файлы, содержащие документацию в каталоге «/usr/share/doc/vsftpd», каталог «EXAMPLE» уже содержит различные примеры файла настроек «vsftpd.conf».

Перевод различных примеров с документацией из каталога «EXAMPLE» последней версии vsftpd доступен здесь

Ссылки

vsftpd — Официальный сайт «Very Secure FTP Daemon»

Источник