FTP(文件傳輸協議)是一個較老且最常用的標準網絡協議,用于在兩臺計算機之間通過網絡上傳/下載文件。然而, FTP 最初的時候并不安全,因為它僅通過用戶憑證(用戶名和密碼)傳輸數據,沒有進行加密。
警告:如果你打算使用 FTP, 需要考慮通過 SSL/TLS配置 FTP 連接。否則,使用安全 FTP,比如 SFTP 會更好一些。
在這個教程中,我將向你們展示如何在 Ubuntu 中安裝、配置并保護 FTP 服務器(VSFTPD 的全稱是 “Very Secure FTP Deamon”),從而擁有強大的安全性,能夠防范 FTP 漏洞。
第一步:在 Ubuntu 中安裝 VSFTPD 服務器
首先,我們需要更新系統安裝包列表,然后像下面這樣安裝 VSFTPD 二進制包:
|
1
2
|
$ sudo apt-get update$ sudo apt-get install vsftpd |
一旦安裝完成,初始情況下服務被禁用。因此,我們需要手動開啟服務,同時,啟動它使得在下次開機時能夠自動開啟服務:
|
1
2
3
4
5
6
|
------------- On SystemD -------------# systemctl start vsftpd# systemctl enable vsftpd------------- On SysVInit -------------# service vsftpd start# chkconfig --level 35 vsftpd on |
接下來,如果你在服務器上啟用了 UFW 防火墻(默認情況下不啟用),那么需要打開端口 20 和 21 —— FTP 守護進程正在監聽它們——從而才能允許從遠程機器訪問 FTP 服務,然后,像下面這樣添加新的防火墻規則:
|
1
2
3
|
$ sudo ufw allow 20/tcp$ sudo ufw allow 21/tcp$ sudo ufw status |
第二步:在 Ubuntu 中配置并保護 VSFTPD 服務器
讓我們進行一些配置來設置和保護 FTP 服務器。首先,我們像下面這樣創建一個原始配置文件 /etc/vsftpd/vsftpd.conf 的備份文件:
|
1
|
$ sudo cp /etc/vsftpd.conf /etc/vsftpd.conf.orig |
接下來,打開 vsftpd 配置文件。
|
1
2
3
|
$ sudo vi /etc/vsftpd.confOR$ sudo nano /etc/vsftpd.conf |
把下面的這些選項添加/改成所展示的值:
|
1
2
3
4
5
6
7
8
9
10
11
12
13
|
anonymous_enable=NO # 關閉匿名登錄local_enable=YES # 允許本地用戶登錄write_enable=YES # 啟用可以修改文件的 FTP 命令local_umask=022 # 本地用戶創建文件的 umask 值dirmessage_enable=YES # 當用戶第一次進入新目錄時顯示提示消息xferlog_enable=YES # 一個存有詳細的上傳和下載信息的日志文件connect_from_port_20=YES # 在服務器上針對 PORT 類型的連接使用端口 20(FTP 數據)xferlog_std_format=YES # 保持標準日志文件格式listen=NO # 阻止 vsftpd 在獨立模式下運行listen_ipv6=YES # vsftpd 將監聽 ipv6 而不是 IPv4,你可以根據你的網絡情況設置pam_service_name=vsftpd # vsftpd 將使用的 PAM 驗證設備的名字userlist_enable=YES # 允許 vsftpd 加載用戶名字列表tcp_wrappers=YES # 打開 tcp 包裝器 |
現在,配置 VSFTPD ,基于用戶列表文件/etc/vsftpd.userlist 來允許或拒絕用戶訪問 FTP。
注意,在默認情況下,如果通過userlist_enable=YES 啟用了用戶列表,且設置userlist_deny=YES 時,那么,用戶列表文件/etc/vsftpd.userlist 中的用戶是不能登錄訪問的。
但是,選項userlist_deny=NO 則反轉了默認設置,這種情況下只有用戶名被明確列出在/etc/vsftpd.userlist 中的用戶才允許登錄到 FTP 服務器。
|
1
2
3
|
userlist_enable=YES # vsftpd 將會從所給的用戶列表文件中加載用戶名字列表userlist_file=/etc/vsftpd.userlist # 存儲用戶名字的列表userlist_deny=NO |
重要的是,當用戶登錄 FTP 服務器以后,他們將進入 chrooted 環境,即當在 FTP 會話時,其 root 目錄將是其 home 目錄。
接下來,我們來看一看兩種可能的途徑來設置 chrooted(本地 root)目錄,正如下面所展示的。
這時,讓我們添加/修改/取消這兩個選項來將 FTP 用戶限制在其 home 目錄
|
1
2
|
chroot_local_user=YESallow_writeable_chroot=YES |
選項chroot_local_user=YES 意味著本地用戶將進入 chroot 環境,當登錄以后默認情況下是其 home 目錄。
并且我們要知道,默認情況下,出于安全原因,VSFTPD 不允許 chroot 目錄具有可寫權限。然而,我們可以通過選項 allow_writeable_chroot=YES 來改變這個設置
保存文件然后關閉。現在我們需要重啟 VSFTPD 服務從而使上面的這些更改生效:
|
1
2
3
4
|
------------- On SystemD -------------# systemctl restart vsftpd------------- On SysVInit -------------# service vsftpd restart |
第三步:在 Ubuntu 上測試 VsFTP 服務器
現在,我們通過使用下面展示的 useradd 命令創建一個 FTP 用戶來測試 FTP 服務器:
|
1
2
|
$ sudo useradd -m -c "Aaron Kili, Contributor" -s /bin/bash aaronkilik$ sudo passwd aaronkilik |
然后,我們需要像下面這樣使用 echo 命令和 tee 命令來明確地列出文件/etc/vsftpd.userlist 中的用戶 aaronkilik:
|
1
2
|
$ echo "aaronkilik" | sudo tee -a /etc/vsftpd.userlist$ cat /etc/vsftpd.userlist |
現在,是時候來測試上面的配置是否具有我們想要的功能了。我們首先測試匿名登錄;我們可以從下面的輸出中很清楚的看到,在這個 FTP 服務器中是不允許匿名登錄的:
|
1
2
3
4
5
6
7
8
|
# ftp 192.168.56.102Connected to 192.168.56.102 (192.168.56.102).220 Welcome to TecMint.com FTP service.Name (192.168.56.102:aaronkilik) : anonymous530 Permission denied.Login failed.ftp> bye221 Goodbye. |
接下來,我們將測試,如果用戶的名字沒有在文件/etc/vsftpd.userlist 中,是否能夠登錄。從下面的輸出中,我們看到,這是不可以的:
|
1
2
3
4
5
6
7
8
|
# ftp 192.168.56.102Connected to 192.168.56.102 (192.168.56.102).220 Welcome to TecMint.com FTP service.Name (192.168.56.10:root) : user1530 Permission denied.Login failed.ftp> bye221 Goodbye. |
現在,我們將進行最后一項測試,來確定列在文件/etc/vsftpd.userlist 文件中的用戶登錄以后,是否實際處于 home 目錄。從下面的輸出中可知,是這樣的:
|
1
2
3
4
5
6
7
8
9
10
|
# ftp 192.168.56.102Connected to 192.168.56.102 (192.168.56.102).220 Welcome to TecMint.com FTP service.Name (192.168.56.102:aaronkilik) : aaronkilik331 Please specify the password.Password:230 Login successful.Remote system type is UNIX.Using binary mode to transfer files.ftp> ls |
在 Ubuntu 中確認 FTP 登錄
警告:設置選項allow_writeable_chroot=YES 是很危險的,特別是如果用戶具有上傳權限,或者可以 shell 訪問的時候,很可能會出現安全問題。只有當你確切的知道你在做什么的時候,才可以使用這個選項。
我們需要注意,這些安全問題不僅會影響到 VSFTPD,也會影響讓本地用戶進入 chroot 環境的 FTP daemon。
因為這些原因,在下一步中,我將闡述一個更安全的方法,來幫助用戶設置一個非可寫本地 root 目錄。
第四步:在 Ubuntu 中配置 FTP 用戶的 Home 目錄
現在,再次打開 VSFTPD 配置文件。
|
1
2
3
|
$ sudo vi /etc/vsftpd.confOR$ sudo nano /etc/vsftpd.conf |
然后像下面這樣用# 把不安全選項注釋了:
|
1
|
#allow_writeable_chroot=YES |
接下來,為用戶創建一個替代的本地 root 目錄(aaronkilik,你的可能和這不一樣),然后設置目錄權限,取消其他所有用戶對此目錄的寫入權限:
|
1
2
3
|
$ sudo mkdir /home/aaronkilik/ftp$ sudo chown nobody:nogroup /home/aaronkilik/ftp$ sudo chmod a-w /home/aaronkilik/ftp |
然后,在本地 root 目錄下創建一個具有合適權限的目錄,用戶將在這兒存儲文件:
|
1
2
3
|
$ sudo mkdir /home/aaronkilik/ftp/files$ sudo chown -R aaronkilk:aaronkilik /home/aaronkilik/ftp/files$ sudo chmod -R 0770 /home/aaronkilik/ftp/files/ |
之后,將 VSFTPD 配置文件中的下面這些選項添加/修改為相應的值:
|
1
2
|
user_sub_token=$USER # 在本地 root 目錄中插入用戶名local_root=/home/$USER/ftp # 定義各個用戶的本地 root 目錄 |
保存文件并關閉。然后重啟 VSFTPD 服務來使上面的設置生效:
|
1
2
3
4
|
------------- On SystemD -------------# systemctl restart vsftpd------------- On SysVInit -------------# service vsftpd restart |
現在,讓我們來最后檢查一下,確保用戶的本地 root 目錄是我們在他的 Home 目錄中創建的 FTP 目錄。
|
1
2
3
4
5
6
7
8
9
10
|
# ftp 192.168.56.102Connected to 192.168.56.102 (192.168.56.102).220 Welcome to TecMint.com FTP service.Name (192.168.56.10:aaronkilik) : aaronkilik331 Please specify the password.Password:230 Login successful.Remote system type is UNIX.Using binary mode to transfer files.ftp> ls |
以上就是本文的全部內容,希望對大家的學習有所幫助,也希望大家多多支持服務器之家。
原文鏈接:http://www.linuxprobe.com/ubuntu-ftp-service.html?utm_source=tuicool&utm_medium=referral
