FTP ( 文件传输协议 )是一种相对较旧和最常用的标准网络协议,用于通过网络在两台计算机之间上传/下载文件。 然而, FTP由其原始的不安全,因为它传输数据与用户凭证(用户名和密码)而不加密。
警告 :如果您计划使用FTP ,请考虑使用SSL / TLS配置FTP连接(将在下一篇文章中介绍)。 否则,最好使用安全的FTP,如SFTP 。
Ubuntu中安装,配置和保护FTP服务器(完全“ 非常安全FTP守护进程 ”中的VSFTPD ),以对FTP漏洞具有强大的安全性。
第1步:在Ubuntu中安装VsFTP服务器
首先,我们需要更新系统包源列表,然后安装VSFTPD二进制包,如下所示:
$ sudo apt-get update
$ sudo apt-get install vsftpd
2.安装完成后,服务将最初禁用,因此,我们需要手动启动它的同时,并使其从下一次系统引导自动启动:
------------- On SystemD -------------
# systemctl start vsftpd
# systemctl enable vsftpd
------------- On SysVInit -------------
# service vsftpd start
# chkconfig --level 35 vsftpd on
3.接下来,如果服务器上启用了UFW防火墙 (默认情况下未启用),则必须打开FTP守护程序正在监听的端口21和20 ,以便允许从远程计算机访问FTP服务,然后添加新防火墙规则如下:
$ sudo ufw allow 20/tcp
$ sudo ufw allow 21/tcp
$ sudo ufw status
第2步:在Ubuntu中配置和保护VsFTP服务器
现在让我们执行一些配置来设置和保护我们的FTP服务器,首先我们将创建原始配置文件/etc/vsftpd/vsftpd.conf的备份, 如下所示:
$ sudo cp /etc/vsftpd.conf /etc/vsftpd.conf.orig
接下来,让我们打开vsftpd配置文件。
$ sudo vi /etc/vsftpd.conf
OR
$ sudo nano /etc/vsftpd.conf
使用这些值添加/修改以下选项:
anonymous_enable=NO # disable anonymous login
local_enable=YES# permit local logins
write_enable=YES# enable FTP commands which change the filesystem
local_umask=022 # value of umask for file creation for local users
dirmessage_enable=YES # enable showing of messages when users first enter a new directory
xferlog_enable=YES# a log file will be maintained detailing uploads and downloads
connect_from_port_20=YES # use port 20 (ftp-data) on the server machine for PORT style connections
xferlog_std_format=YES # keep standard log file format
listen=NO # prevent vsftpd from running in standalone mode
listen_ipv6=YES # vsftpd will listen on an IPv6 socket instead of an IPv4 one
pam_service_name=vsftpd # name of the PAM service vsftpd will use
userlist_enable=YES # enable vsftpd to load a list of usernames
tcp_wrappers=YES # turn on tcp wrappers
5.现在,配置VSFTPD允许/拒绝基于用户列表文件/etc/vsftpd.userlist对用户的FTP访问。
请注意,默认情况下,如果userlist_enable=YES则在userlist_file = / etc / vsftpd.userlist中列出的用户将拒绝用户userlist_deny=YES选项的登录访问。
但是, userlist_deny=NO选项会userlist_deny=NO默认设置的含义,因此只有在userlist_file = / etc / vsftpd.userlist中明确列出用户名的用户才能登录FTP服务器。
userlist_enable=YES # vsftpd will load a list of usernames, from the filename given by userlist_file
userlist_file=/etc/vsftpd.userlist # stores usernames.
userlist_deny=NO
重要 :当用户登录到FTP服务器时,他们被放置在chroot监狱中,这是本地根目录,它将仅充当其FTP会话的主目录。
接下来,我们将看看如何设置chroot jail(本地根)目录的两种可能的场景,如下所述。
6.此时,我们添加/修改/取消注释以下两个选项, 将FTP用户限制到其主目录 。
chroot_local_user=YES
allow_writeable_chroot=YES
选项chroot_local_user=YES重要意味着本地用户将被放置在chroot jail中,默认情况下它们的主目录在登录后。
并且我们必须明白VSFTPD不允许chroot jail目录是可写的,默认情况下出于安全原因,但是,我们可以使用allow_writeable_chroot = YES选项禁用此设置。
保存文件并将其关闭。然后我们必须重新启动VSFTPD服务,以使上面的更改生效:
------------- On SystemD -------------
# systemctl restart vsftpd
------------- On SysVInit -------------
# service vsftpd restart
第3步:在Ubuntu中测试VsFTP服务器
7.现在我们将通过使用useradd命令创建FTP用户来测试FTP服务器,如下所示:
$ sudo useradd -m -c "Aaron Kili, Contributor" -s /bin/bash aaronkilik
$ sudo passwd aaronkilik
然后,我们必须使用echo命令和tee命令在/etc/vsftpd.userlist文件中显式地列出用户aaronkilik ,如下所示:
$ echo "aaronkilik" | sudo tee -a /etc/vsftpd.userlist
$ cat /etc/vsftpd.userlist
现在是时候测试我们的上述配置是否按要求工作。我们将开始测试匿名登录;我们可以从下面的输出中清楚地看到,不允许在FTP服务器上进行匿名登录:
# ftp 192.168.56.102
Connected to 192.168.56.102 (192.168.56.102).
220 Welcome to FTP service.
Name (192.168.56.102:aaronkilik) : anonymous
530 Permission denied.
Login failed.
ftp> bye
221 Goodbye.
9.接下来,让我们测试未在文件/etc/vsftpd.userlist中列出的用户是否将被授予登录权限,这从以下输出中不是真实的:
# ftp 192.168.56.102
Connected to 192.168.56.102 (192.168.56.102).
220 Welcome to FTP service.
Name (192.168.56.10:root) : user1
530 Permission denied.
Login failed.
ftp> bye
221 Goodbye.
10.现在我们将执行最终测试,以确定在/etc/vsftpd.userlist文件中列出的用户是否实际上在登录后放置在他/她的主目录中。这是真的从下面的输出:
# ftp 192.168.56.102
Connected to 192.168.56.102 (192.168.56.102).
220 Welcome to FTP service.
Name (192.168.56.102:aaronkilik) : aaronkilik
331 Please specify the password.
Password:
230 Login successful.
Remote system type is UNIX.
Using binary mode to transfer files.
ftp> ls
在Ubuntu中验证FTP登录
警告 :设置选项allow_writeable_chroot=YES可能是如此危险,它可能有安全隐患,特别是如果用户有上传权限,或更多,shell访问。只有使用它,如果你完全知道你在做什么。
我们应该注意,这些安全隐患不是特定于VSFTPD,它们也可以影响所有其他FTP守护程序,提供将本地用户放在chroot监狱。
因为这个原因,在下面的部分,我们将解释一个更安全的方法,为用户设置不同的不可写的本地根目录。
第4步:在Ubuntu中配置FTP用户主目录
11.现在,再次打开VSFTPD配置文件。
$ sudo vi /etc/vsftpd.conf
OR
$ sudo nano /etc/vsftpd.conf
并使用#字符注释掉不安全的选项,如下所示:
#allow_writeable_chroot=YES
接下来,为用户创建备用本地根目录( aaronkilik ,yours可能不相同),并通过禁用对此目录的所有其他用户的写入权限来设置所需的权限:
$ sudo mkdir /home/aaronkilik/ftp
$ sudo chown nobody:nogroup /home/aaronkilik/ftp
$ sudo chmod a-w /home/aaronkilik/ftp
12.然后,在本地根下创建一个目录,并具有用户将存储其文件的适当权限:
$ sudo mkdir /home/aaronkilik/ftp/files
$ sudo chown -R aaronkilk:aaronkilik /home/aaronkilik/ftp/files
$ sudo chmod -R 0770 /home/aaronkilik/ftp/files/
然后,在VSFTPD配置文件中添加/修改以下选项及其相应的值:
user_sub_token=$USER # inserts the username in the local root directory
local_root=/home/$USER/ftp # defines any users local root directory
保存文件并将其关闭。并使用最近的设置重新启动VSFTPD服务:
------------- On SystemD -------------
# systemctl restart vsftpd
------------- On SysVInit -------------
# service vsftpd restart
现在,让我们执行最终检查,并确保用户的本地根目录是我们在其主目录中创建的FTP目录。
# ftp 192.168.56.102
Connected to 192.168.56.102 (192.168.56.102).
220 Welcome to FTP service.
Name (192.168.56.10:aaronkilik) : aaronkilik
331 Please specify the password.
Password:
230 Login successful.
Remote system type is UNIX.
Using binary mode to transfer files.
ftp> ls
FTP用户主目录登录
而已!请记住通过下面的评论表或者向我们提供有关该主题的任何重要信息,以分享您对本指南的意见。
最后但同样重要的是,不要错过我们的下一篇文章,我们将介绍如何在Ubuntu 16.04 / 16.10中使用SSL / TLS连接保护FTP服务器,直到那时,始终保持HowToing。
