FTP服务原理及vsftpd服务配置 [LinuxCast视频教程]
目录:
- 先决条件
- 在CentOS 7上安装vsftpd
- 配置vsftpd
- 1. FTP访问
- 2.启用上传
- 3. Chroot监狱
- 4.被动FTP连接
- 5.限制用户登录
- 6.使用SSL / TLS保护传输
- 重新启动vsftpd服务
- 打开防火墙
- 创建一个FTP用户
- 禁用外壳访问
- 结论
FTP(文件传输协议)是一种标准的客户端-服务器网络协议,允许用户与远程网络进行文件传输。
有几种可用于Linux的开源FTP服务器。 最流行和广泛使用的是PureFTPd,ProFTPD和vsftpd。
在本教程中,我们将在CentOS 7上安装vsftpd(非常安全的Ftp守护程序)。这是一个稳定,安全且快速的FTP服务器。 我们还将向您展示如何配置vsftpd以将用户限制在其主目录中,并使用SSL / TLS加密整个传输。
为了更安全,更快地传输数据,请使用SCP或SFTP。
先决条件
在继续本教程之前,请确保您以具有sudo特权的用户身份登录。
在CentOS 7上安装vsftpd
vsftpd软件包在默认的CentOS存储库中可用。 要安装它,请发出以下命令:
sudo yum install vsftpd
安装软件包后,启动vsftpd守护程序,并使其能够在引导时自动启动:
sudo systemctl start vsftpd
sudo systemctl enable vsftpd
您可以通过打印其状态来验证vsftpd服务是否正在运行:
sudo systemctl status vsftpd
输出将如下所示,显示vsftpd服务处于活动状态并正在运行:
● vsftpd.service - Vsftpd ftp daemon Loaded: loaded (/usr/lib/systemd/system/vsftpd.service; enabled; vendor preset: disabled) Active: active (running) since Thu 2018-11-22 09:42:37 UTC; 6s ago Main PID: 29612 (vsftpd) CGroup: /system.slice/vsftpd.service └─29612 /usr/sbin/vsftpd /etc/vsftpd/vsftpd.conf
配置vsftpd
配置vsftpd服务涉及编辑
/etc/vsftpd/vsftpd.conf
配置文件。 大多数设置在配置文件中都有详细记录。 有关所有可用选项的信息,请访问官方的vsftpd页面。
在以下各节中,我们将介绍配置安全的vsftpd安装所需的一些重要设置。
首先打开vsftpd配置文件:
sudo nano /etc/vsftpd/vsftpd.conf
1. FTP访问
我们将只允许本地用户访问FTP服务器,找到
anonymous_enable
和
local_enable
指令,并验证您的配置是否与以下行匹配:
anonymous_enable=NO local_enable=YES
2.启用上传
取消注释
write_enable
设置以允许更改文件系统,例如上载和删除文件。
3. Chroot监狱
通过取消注释
chroot
指令,防止FTP用户访问其主目录之外的任何文件。
chroot_local_user=YES
默认情况下,启用chroot时,如果用户锁定的目录是可写的,则vsftpd将拒绝上传文件。 这是为了防止安全漏洞。
启用chroot时,请使用以下方法之一允许上传。
-
方法1。-建议的允许上传的方法是保持chroot启用并配置FTP目录。 在本教程中,我们将在用户主目录中创建一个
/etc/vsftpd/vsftpd.confftp
目录,该目录将用作chroot,并提供一个可写的目录,用于上传文件。user_sub_token=$USER local_root=/home/$USER/ftp
方法2。-另一个选项是在vsftpd配置文件中添加以下指令。 如果必须将用户的可写访问权限授予其主目录,请使用此选项。
/etc/vsftpd/vsftpd.confallow_writeable_chroot=YES
4.被动FTP连接
vsftpd可以使用任何端口进行被动FTP连接。 我们将指定端口的最小和最大范围,然后在防火墙中打开该范围。
将以下行添加到配置文件:
/etc/vsftpd/vsftpd.conf
pasv_min_port=30000 pasv_max_port=31000
5.限制用户登录
要仅允许某些用户登录FTP服务器,请在
userlist_enable=YES
行之后添加以下行:
userlist_file=/etc/vsftpd/user_list userlist_deny=NO
启用此选项后,您需要通过将用户名添加到
/etc/vsftpd/user_list
文件(每行一个用户)来明确指定哪些用户可以登录。
6.使用SSL / TLS保护传输
为了使用SSL / TLS加密FTP传输,您需要具有SSL证书并配置FTP服务器以使用它。
您可以使用由受信任的证书颁发机构签名的现有SSL证书,也可以创建自签名证书。
在本教程中,我们将使用
openssl
命令生成一个自签名SSL证书。
以下命令将创建一个有效期为10年的2048位私钥和自签名证书。 私钥和证书都将保存在同一文件中:
sudo openssl req -x509 -nodes -days 3650 -newkey rsa:2048 -keyout /etc/vsftpd/vsftpd.pem -out /etc/vsftpd/vsftpd.pem
创建SSL证书后,打开vsftpd配置文件:
sudo nano /etc/vsftpd/vsftpd.conf
找到
rsa_cert_file
和
rsa_private_key_file
指令,将其值更改为
pam
文件路径,并将
ssl_enable
指令设置为
YES
:
rsa_cert_file=/etc/vsftpd/vsftpd.pem rsa_private_key_file=/etc/vsftpd/vsftpd.pem ssl_enable=YES
如果没有另外指定,则FTP服务器将仅使用TLS建立安全连接。
重新启动vsftpd服务
完成编辑后,vsftpd配置文件(不包括注释)应如下所示:
/etc/vsftpd/vsftpd.conf
anonymous_enable=NO local_enable=YES write_enable=YES local_umask=022 dirmessage_enable=YES xferlog_enable=YES connect_from_port_20=YES xferlog_std_format=YES chroot_local_user=YES listen=NO listen_ipv6=YES pam_service_name=vsftpd userlist_enable=YES userlist_file=/etc/vsftpd/user_list userlist_deny=NO tcp_wrappers=YES user_sub_token=$USER local_root=/home/$USER/ftp pasv_min_port=30000 pasv_max_port=31000 rsa_cert_file=/etc/vsftpd/vsftpd.pem rsa_private_key_file=/etc/vsftpd/vsftpd.pem ssl_enable=YES
保存文件并重新启动vsftpd服务,以使更改生效:
打开防火墙
要打开端口
21
(FTP命令端口),端口
20
(FTP数据端口)和
30000-31000
(被动端口范围),请发出以下命令:
sudo firewall-cmd --permanent --add-port=20-21/tcp
sudo firewall-cmd --permanent --add-port=30000-31000/tcp
通过输入以下命令重新加载防火墙规则:
创建一个FTP用户
为了测试我们的FTP服务器,我们将创建一个新用户。
- 如果您已经有要授予FTP访问权限的用户,请跳过第一步。如果在配置文件中设置
allow_writeable_chroot=YES
,请跳过第三步。
-
创建一个名为
newftpuser
的新用户:sudo adduser newftpuser
接下来,您需要设置用户密码:
sudo passwd newftpuser
将用户添加到允许的FTP用户列表中:
echo "newftpuser" | sudo tee -a /etc/vsftpd/user_list
创建FTP目录树并设置正确的权限:
sudo mkdir -p /home/newftpuser/ftp/upload
sudo chmod 550 /home/newftpuser/ftp
sudo chmod 750 /home/newftpuser/ftp/upload
sudo chown -R newftpuser: /home/newftpuser/ftp
如上一节所述,用户将能够将其文件上传到
ftp/upload
目录。
此时,您的FTP服务器已完全正常运行,您应该能够使用可以配置为使用TLS加密的任何FTP客户端(例如FileZilla)连接到服务器。
禁用外壳访问
默认情况下,在创建用户时,如果未明确指定,则该用户将具有对服务器的SSH访问权限。
要禁用外壳程序访问,我们将创建一个新的外壳程序,该外壳程序将仅打印一条消息,告诉用户其帐户仅限于FTP访问。
运行以下命令以创建
/bin/ftponly
shell并使它可执行:
echo -e '#!/bin/sh\necho "This account is limited to FTP access only."' | sudo tee -a /bin/ftponly
echo -e '#!/bin/sh\necho "This account is limited to FTP access only."' | sudo tee -a /bin/ftponly
sudo chmod a+x /bin/ftponly
将新的shell附加到
/etc/shells
文件中的有效shell列表中:
echo "/bin/ftponly" | sudo tee -a /etc/shells
将用户shell更改为
/bin/ftponly
:
sudo usermod newftpuser -s /bin/ftponly
使用相同的命令来更改仅希望授予FTP访问权限的其他用户的外壳程序。
结论
在本教程中,您学习了如何在CentOS 7系统上安装和配置安全快速的FTP服务器。
FTP中心如何在centos 7上添加和删除用户
知道如何添加和删除用户是Linux用户应该知道的基本技能之一。 在本教程中,我们将说明如何在CentOS 7系统上添加和删除用户。
如何在centos 7上添加交换空间
交换是物理RAM内存已满时使用的磁盘空间。 本教程说明了如何在CentOS 7系统上添加交换文件。
如何在centos 8上添加交换空间
交换是物理RAM内存已满时使用的磁盘空间。 本文介绍了在CentOS 8系统上添加交换文件的步骤。