如何在Ubuntu下安裝和配置FTP服務(wù)器
FTP(文件傳輸協(xié)議)是一個(gè)較老且最常用的標(biāo)準(zhǔn)網(wǎng)絡(luò)協(xié)議,用于在兩臺(tái)計(jì)算機(jī)之間通過(guò)網(wǎng)絡(luò)上傳/下載文件。然而, FTP 最初的時(shí)候并不安全,因?yàn)樗鼉H通過(guò)用戶憑證(用戶名和密碼)傳輸數(shù)據(jù),沒有進(jìn)行加密。
警告:如果你打算使用 FTP, 需要考慮通過(guò) SSL/TLS(將在下篇文章中討論)配置 FTP 連接。否則,使用安全 FTP,比如 SFTP 會(huì)更好一些。
推薦閱讀:如何在 CentOS 7 中安裝并保護(hù) FTP 服務(wù)器
在這個(gè)教程中,我將向你們展示如何在 Ubuntu 中安裝、配置并保護(hù) FTP 服務(wù)器(VSFTPD 的全稱是 “Very Secure FTP Deamon”),從而擁有強(qiáng)大的安全性,能夠防范 FTP 漏洞。
第一步:在 Ubuntu 中安裝 VSFTPD 服務(wù)器
1、首先,我們需要更新系統(tǒng)安裝包列表,然后像下面這樣安裝 VSFTPD 二進(jìn)制包:
- $ sudo apt-get update
- $ sudo apt-get install vsftpd
2、一旦安裝完成,初始情況下服務(wù)被禁用。因此,我們需要手動(dòng)開啟服務(wù),同時(shí),啟動(dòng)它使得在下次開機(jī)時(shí)能夠自動(dòng)開啟服務(wù):
- ------------- On SystemD -------------
- # systemctl start vsftpd
- # systemctl enable vsftpd
- ------------- On SysVInit -------------
- # service vsftpd start
- # chkconfig --level 35 vsftpd on
3、接下來(lái),如果你在服務(wù)器上啟用了 UFW 防火墻(默認(rèn)情況下不啟用),那么需要打開端口 20 和 21 —— FTP 守護(hù)進(jìn)程正在監(jiān)聽它們——從而才能允許從遠(yuǎn)程機(jī)器訪問(wèn) FTP 服務(wù),然后,像下面這樣添加新的防火墻規(guī)則:
- $ sudo ufw allow 20/tcp
- $ sudo ufw allow 21/tcp
- $ sudo ufw status
第二步:在 Ubuntu 中配置并保護(hù) VSFTPD 服務(wù)器
4、讓我們進(jìn)行一些配置來(lái)設(shè)置和保護(hù) FTP 服務(wù)器。首先,我們像下面這樣創(chuàng)建一個(gè)原始配置文件 /etc/vsftpd/vsftpd.conf 的備份文件:
- $ sudo cp /etc/vsftpd.conf /etc/vsftpd.conf.orig
接下來(lái),打開 vsftpd 配置文件。
- $ sudo vi /etc/vsftpd.conf
- OR
- $ sudo nano /etc/vsftpd.conf
把下面的這些選項(xiàng)添加/改成所展示的值:
- anonymous_enable=NO # 關(guān)閉匿名登錄
- local_enable=YES # 允許本地用戶登錄
- write_enable=YES # 啟用可以修改文件的 FTP 命令
- local_umask=022 # 本地用戶創(chuàng)建文件的 umask 值
- dirmessage_enable=YES # 當(dāng)用戶第一次進(jìn)入新目錄時(shí)顯示提示消息
- xferlog_enable=YES # 一個(gè)存有詳細(xì)的上傳和下載信息的日志文件
- connect_from_port_20=YES # 在服務(wù)器上針對(duì) PORT 類型的連接使用端口 20(FTP 數(shù)據(jù))
- xferlog_std_format=YES # 保持標(biāo)準(zhǔn)日志文件格式
- listen=NO # 阻止 vsftpd 在獨(dú)立模式下運(yùn)行
- listen_ipv6=YES # vsftpd 將監(jiān)聽 ipv6 而不是 IPv4,你可以根據(jù)你的網(wǎng)絡(luò)情況設(shè)置
- pam_service_name=vsftpd # vsftpd 將使用的 PAM 驗(yàn)證設(shè)備的名字
- userlist_enable=YES # 允許 vsftpd 加載用戶名字列表
- tcp_wrappers=YES # 打開 tcp 包裝器
5、現(xiàn)在,配置 VSFTPD ,基于用戶列表文件 /etc/vsftpd.userlist 來(lái)允許或拒絕用戶訪問(wèn) FTP。
注意,在默認(rèn)情況下,如果通過(guò) userlist_enable=YES 啟用了用戶列表,且設(shè)置 userlist_deny=YES 時(shí),那么,用戶列表文件 /etc/vsftpd.userlist 中的用戶是不能登錄訪問(wèn)的。
但是,選項(xiàng) userlist_deny=NO 則反轉(zhuǎn)了默認(rèn)設(shè)置,這種情況下只有用戶名被明確列出在 /etc/vsftpd.userlist 中的用戶才允許登錄到 FTP 服務(wù)器。
- userlist_enable=YES # vsftpd 將會(huì)從所給的用戶列表文件中加載用戶名字列表
- userlist_file=/etc/vsftpd.userlist # 存儲(chǔ)用戶名字的列表
- userlist_deny=NO
重要的是,當(dāng)用戶登錄 FTP 服務(wù)器以后,他們將進(jìn)入 chrooted 環(huán)境,即當(dāng)在 FTP 會(huì)話時(shí),其 root 目錄將是其 home 目錄。
接下來(lái),我們來(lái)看一看兩種可能的途徑來(lái)設(shè)置 chrooted(本地 root)目錄,正如下面所展示的。
6、這時(shí),讓我們添加/修改/取消這兩個(gè)選項(xiàng)來(lái)將 FTP 用戶限制在其 home 目錄
- chroot_local_user=YES
- allow_writeable_chroot=YES
選項(xiàng) chroot_local_user=YES 意味著本地用戶將進(jìn)入 chroot 環(huán)境,當(dāng)?shù)卿浺院竽J(rèn)情況下是其 home 目錄。
并且我們要知道,默認(rèn)情況下,出于安全原因,VSFTPD 不允許 chroot 目錄具有可寫權(quán)限。然而,我們可以通過(guò)選項(xiàng) allow_writeable_chroot=YES 來(lái)改變這個(gè)設(shè)置
保存文件然后關(guān)閉。現(xiàn)在我們需要重啟 VSFTPD 服務(wù)從而使上面的這些更改生效:
- ------------- On SystemD -------------
- # systemctl restart vsftpd
- ------------- On SysVInit -------------
- # service vsftpd restart
第三步:在 Ubuntu 上測(cè)試 VsFTP 服務(wù)器
7、現(xiàn)在,我們通過(guò)使用下面展示的 useradd 命令創(chuàng)建一個(gè) FTP 用戶來(lái)測(cè)試 FTP 服務(wù)器:
- $ sudo useradd -m -c "Aaron Kili, Contributor" -s /bin/bash aaronkilik
- $ sudo passwd aaronkilik
然后,我們需要像下面這樣使用 echo 命令和 tee 命令來(lái)明確地列出文件 /etc/vsftpd.userlist 中的用戶 aaronkilik:
- $ echo "aaronkilik" | sudo tee -a /etc/vsftpd.userlist
- $ cat /etc/vsftpd.userlist
8、現(xiàn)在,是時(shí)候來(lái)測(cè)試上面的配置是否具有我們想要的功能了。我們首先測(cè)試匿名登錄;我們可以從下面的輸出中很清楚的看到,在這個(gè) FTP 服務(wù)器中是不允許匿名登錄的:
- # ftp 192.168.56.102
- Connected to 192.168.56.102 (192.168.56.102).
- 220 Welcome to TecMint.com FTP service.
- Name (192.168.56.102:aaronkilik) : anonymous
- 530 Permission denied.
- Login failed.
- ftp> bye
- 221 Goodbye.
9、接下來(lái),我們將測(cè)試,如果用戶的名字沒有在文件 /etc/vsftpd.userlist 中,是否能夠登錄。從下面的輸出中,我們看到,這是不可以的:
- # ftp 192.168.56.102
- Connected to 192.168.56.102 (192.168.56.102).
- 220 Welcome to TecMint.com FTP service.
- Name (192.168.56.10:root) : user1
- 530 Permission denied.
- Login failed.
- ftp> bye
- 221 Goodbye.
10、現(xiàn)在,我們將進(jìn)行最后一項(xiàng)測(cè)試,來(lái)確定列在文件 /etc/vsftpd.userlist 文件中的用戶登錄以后,是否實(shí)際處于 home 目錄。從下面的輸出中可知,是這樣的:
- # ftp 192.168.56.102
- Connected to 192.168.56.102 (192.168.56.102).
- 220 Welcome to TecMint.com FTP service.
- Name (192.168.56.102:aaronkilik) : aaronkilik
- 331 Please specify the password.
- Password:
- 230 Login successful.
- Remote system type is UNIX.
- Using binary mode to transfer files.
- ftp> ls
在 Ubuntu 中確認(rèn) FTP 登錄
警告:設(shè)置選項(xiàng) allow_writeable_chroot=YES 是很危險(xiǎn)的,特別是如果用戶具有上傳權(quán)限,或者可以 shell 訪問(wèn)的時(shí)候,很可能會(huì)出現(xiàn)安全問(wèn)題。只有當(dāng)你確切的知道你在做什么的時(shí)候,才可以使用這個(gè)選項(xiàng)。
我們需要注意,這些安全問(wèn)題不僅會(huì)影響到 VSFTPD,也會(huì)影響讓本地用戶進(jìn)入 chroot 環(huán)境的 FTP daemon。
因?yàn)檫@些原因,在下一步中,我將闡述一個(gè)更安全的方法,來(lái)幫助用戶設(shè)置一個(gè)非可寫本地 root 目錄。
第四步:在 Ubuntu 中配置 FTP 用戶的 Home 目錄
11、現(xiàn)在,再次打開 VSFTPD 配置文件。
- $ sudo vi /etc/vsftpd.conf
- OR
- $ sudo nano /etc/vsftpd.conf
然后像下面這樣用 # 把不安全選項(xiàng)注釋了:
- #allow_writeable_chroot=YES
接下來(lái),為用戶創(chuàng)建一個(gè)替代的本地 root 目錄(aaronkilik,你的可能和這不一樣),然后設(shè)置目錄權(quán)限,取消其他所有用戶對(duì)此目錄的寫入權(quán)限:
- $ sudo mkdir /home/aaronkilik/ftp
- $ sudo chown nobody:nogroup /home/aaronkilik/ftp
- $ sudo chmod a-w /home/aaronkilik/ftp
12、然后,在本地 root 目錄下創(chuàng)建一個(gè)具有合適權(quán)限的目錄,用戶將在這兒存儲(chǔ)文件:
- $ sudo mkdir /home/aaronkilik/ftp/files
- $ sudo chown -R aaronkilk:aaronkilik /home/aaronkilik/ftp/files
- $ sudo chmod -R 0770 /home/aaronkilik/ftp/files/
之后,將 VSFTPD 配置文件中的下面這些選項(xiàng)添加/修改為相應(yīng)的值:
- user_sub_token=$USER # 在本地 root 目錄中插入用戶名
- local_root=/home/$USER/ftp # 定義各個(gè)用戶的本地 root 目錄
保存文件并關(guān)閉。然后重啟 VSFTPD 服務(wù)來(lái)使上面的設(shè)置生效:
- ------------- On SystemD -------------
- # systemctl restart vsftpd
- ------------- On SysVInit -------------
- # service vsftpd restart
13、現(xiàn)在,讓我們來(lái)最后檢查一下,確保用戶的本地 root 目錄是我們?cè)谒?Home 目錄中創(chuàng)建的 FTP 目錄。
- # ftp 192.168.56.102
- Connected to 192.168.56.102 (192.168.56.102).
- 220 Welcome to TecMint.com FTP service.
- Name (192.168.56.10:aaronkilik) : aaronkilik
- 331 Please specify the password.
- Password:
- 230 Login successful.
- Remote system type is UNIX.
- Using binary mode to transfer files.
- ftp> ls
FTP 用戶 Home 目錄登錄
就是這樣的!記得通過(guò)下面的評(píng)論欄來(lái)分享你關(guān)于這篇指導(dǎo)的想法,或者你也可以提供關(guān)于這一話題的任何重要信息。
最后但不是不重要,請(qǐng)不要錯(cuò)過(guò)我的下一篇文章,在下一篇文章中,我將闡述如何使用 SSL/TLS 來(lái)保護(hù)連接到 Ubuntu 16.04/16.10 的 FTP 服務(wù)器,在那之前,請(qǐng)始終關(guān)注我們。
作者簡(jiǎn)介:
Aaron Kili 是 Linux 和 F.O.S.S 愛好者,即將成為 Linux SysAdmin 和網(wǎng)絡(luò)開發(fā)人員,目前是 TecMint 的內(nèi)容創(chuàng)作者,他喜歡在電腦上工作,并堅(jiān)信分享知識(shí)。
