[翻译]linux(Ubuntu)安装配置vsftp

原址:How to Install and Configure FTP Server in Ubuntu


FTPFile Transfer Protocol 文件传输协议 )是通过网络在两台电脑之间传输文件的协议,这是一种很古老但是很常用的协议。它认证所用的用户名跟密码是通过明文在网络上传输的,因而先天就是不安全的。

警告:如果你计划使用FTP,请考虑使用SSL/TLS配置FTP连接,否则,做好使用安全的FTP,如SFTP。

在 Ubuntu 中使用 SSL/TLS 加密 FTP连接

在这篇文章中,我们将介绍如何在Ubuntu中去安装 配置并加固FTP服务器(在文章中我们使用 VsFTP,一个号称非常安全的FTP服务器软件),以去应对FTP漏洞。

Step 1.安装VsFTP


1.首先,升级Ubuntu系统并安装VsFTP

sudo apt-get update

sudo apt-get install -y vsftpd

2.安装完成后,启动VsFTP,并设置开机自启动。

------------- On SystemD -------------

systemctl start vsftpd

systemctl enable vsftpd

------------- On SysVInit -------------

service vsftpd start

chkconfig --level 35 vsftpd on

3.如果,你在服务器上开启了 UFW firewall 的话,还要开放 21 和 20 端口,来允许远程计算机的TCP连接,然后添加新的防火墙规则,

sudo ufw allow 20/tcp

sudo ufw allow 21/tcp

sudo ufw status

Step 2.配置Vsftp


4.首先,创建原始配置文件/etc/vsftpd.conf 的备份

sudo cp /etc/vsftpd.conf /etc/vsftpd.conf.orig

然后,打开配置文件

sudo vi /etc/vsftpd.conf

OR

sudo nano /etc/vsftpd.conf

添加/修改以下选项

anonymous_enable=NO            # disable  anonymous login

local_enable=YES                      # permit local logins

write_enable=YES                     # enable FTP commands which change the filesystem

local_umask=022                       # value of umask for file creation for local users

dirmessage_enable=YES          # enable showing of messages when users first enter a new directory

xferlog_enable=YES                  # a log file will be maintained detailing uploads and downloads

connect_from_port_20=YES        # use port 20 (ftp-data) on the server machine for PORT style connections

xferlog_std_format=YES             # keep standard log file format

listen=NO                                    # prevent vsftpd from running in standalone mode

listen_ipv6=YES                           # vsftpd will listen on an IPv6 socket instead of an IPv4 one

pam_service_name=vsftpd        # name of the PAM service vsftpd will use

userlist_enable=YES                 # enable vsftpd to load a list of usernames

tcp_wrappers=YES                   # turn on tcp wrappers

5.配置 /etc/vsftpd.userlist(注:在我的系统中默认是 /etc/vsftpd.user_list 文件且不存在,需要自己创建) 去允许/阻止FTP用户登陆

请注意,默认情况下,如果 userlist_enable = YES,userlist_deny = YES,则在 userlist_file = /etc/vsftpd.userlist 中列出的用户将被拒绝登陆。

但是,userlist_deny = NO 时 userlist_file = /etc/vsftpd.userlist 中的用户会允许登录FTP服务器。

userlist_enable=YES                  # vsftpd将从userlist_file给出的文件名中加载用户名列表

userlist_file=/etc/vsftpd.userlist    # 给出文件名列表的存储文件(注:若不配置,则默认为 /etc/vsftpp.user_list)

userlist_deny=NO

注意:当用户登录到FTP服务器时,由于开启了根目录限制,用户只能浏览他们的本地根目录,而不能跳转到其他目录。

接下来,我们将修改根目录限制。

6.我们添加/修改/取消注释以下两个选项,将FTP用户限制到其主目录。

chroot_local_user=YES

allow_writeable_chroot=YES

chroot_local_user = YES 意味着本地用户将被限制在根目录下,默认情况下登录在它们各自的主目录下。

默认情况下出于安全的考虑,VsFTP是不允许根目录可写的,但是我们可以通过 allow_writeable_chroot=YES 来使其可写。

保存并关闭配置文件,重启VsFTP服务器使上述改变生效

------------- On SystemD -------------

# systemctl restart vsftpd

------------- On SysVInit -------------

# service vsftpd restart

Step 3:测试VsFTP服务器


7.现在我们将通过使用 useradd 命令创建FTP用户来测试FTP服务器,如下所示:

sudo useradd -m -c "Aaron Kili, Contributor" -s /bin/bash aaronkilik

sudo passwd aaronkilik

然后,我们必须使用echo命令和tee命令在/etc/vsftpd.userlist文件中显式地列出用户aaronkilik,如下所示:

echo "aaronkilik" | sudo tee -a /etc/vsftpd.userlist

cat /etc/vsftpd.userlist

8.现在测试我们的服务器是否按上述要求配置工作。我们先测试匿名登录;我们可以从下面的输出中清楚地看到,不允许在FTP服务器上进行匿名登录:

# ftp 192.168.56.102                                                                          

Connected to 192.168.56.102  (192.168.56.102).  

220 Welcome to TecMint.com FTP service.

Name (192.168.56.102:aaronkilik) : anonymous

530 Permission denied.

Login failed.

ftp> bye

221 Goodbye.

9.接下来,让我们测试未在文件/etc/vsftpd.userlist中列出的用户是否可以登录到服务器。从以下输出中可以看出这是不允许的:

# ftp 192.168.56.102                                                                                        

Connected to 192.168.56.102  (192.168.56.102).

220 Welcome to TecMint.com FTP service.

Name (192.168.56.10:root) : user

1530 Permission denied.

Login failed.

ftp> bye

221 Goodbye

10.现在,我们将进行最后的测试,以确定在/etc/vsftpd.userlist文件中列出的用户是否可以成功登录并登录到主目录下。

# ftp 192.168.56.102                                                                                        

Connected to 192.168.56.102  (192.168.56.102).                                                      

220 Welcome to TecMint.com FTP service.                                                            

Name (192.168.56.102:aaronkilik) : aaronkilik                                                            

331 Please specify the password.                                                                  

Password:

230 Login successful.                                                                        

Remote system type is UNIX.                                                                                    

Using binary mode to transfer files.

ftp>ls


警告:设置选项 allow_writeable_chroot = YES 是比较危险,它可能有安全隐患,特别是如果用户有上传权限,shell访问权限等。只有你完完全全的知道你在做什么时,才能授予此权限。

这些安全隐患不仅仅只存在于 VSFTPD 进程中,它们也可以影响其他所有的,将用户限制于根目录中的FTP守护进程。

因为这个原因,在下面的部分,我们将介绍一个更安全的方法,为用户设置不同的不可写的本地根目录。

Step 4:配置 FTP 用户家目录


11.现在再次打开 VsFTP 配置文件

sudo vi /etc/vsftpd.conf

OR

sudo nano /etc/vsftpd.conf

使用#字符注释掉不安全的选项,如下所示:

#allow_writeable_chroot=YES

接下来,为用户创建备用本地根目录(aaronkilik,你的目录可能不相同),并通过禁用其他用户对此目录的写入权限来设置我们所需的权限:

sudo mkdir /home/aaronkilik/ftp

sudo chown nobody:nogroup /home/aaronkilik/ftp

sudo chmod a-w /home/aaronkilik/ftp

12.然后,在本地目录下创建一个新目录,并赋予用户适当权限:

sudo mkdir /home/aaronkilik/ftp/files

sudo chown -R aaronkilk:aaronkilik /home/aaronkilik/ftp/files

sudo chmod -R 0770 /home/aaronkilik/ftp/files/

然后,在 VsFTPD 配置文件中添加/修改以下选项:

user_sub_token=$USER          # 将用户名插入本地根目录

local_root=/home/$USER/ftp    # 定义任何用户的本地根目录

保存并关闭配置文件,重启 VsFTP 使上述配置生效

------------- On SystemD -------------                                                                                  

# systemctl restart vsftpd                                                                                                  

------------- On SysVInit -------------                                     

# service vsftpd restart

13.现在,让我们进行最终的检查,确保用户登录后的根目录是我们在其主目录中创建的FTP文件夹

# ftp 192.168.56.102

Connected to 192.168.56.102  (192.168.56.102).

220 Welcome to TecMint.com FTP service.

Name (192.168.56.10:aaronkilik) : aaronkilik

331 Please specify the password.

Password:

230 Login successful.

Remote system type is UNIX.

Using binary mode to transfer files.

ftp>ls


PS:翻译的不好,英语四级刚过,见谅见谅!各位就凑合看吧,应该不影响操作吧!

最后编辑于
©著作权归作者所有,转载或内容合作请联系作者
  • 序言:七十年代末,一起剥皮案震惊了整个滨河市,随后出现的几起案子,更是在滨河造成了极大的恐慌,老刑警刘岩,带你破解...
    沈念sama阅读 204,445评论 6 478
  • 序言:滨河连续发生了三起死亡事件,死亡现场离奇诡异,居然都是意外死亡,警方通过查阅死者的电脑和手机,发现死者居然都...
    沈念sama阅读 85,889评论 2 381
  • 文/潘晓璐 我一进店门,熙熙楼的掌柜王于贵愁眉苦脸地迎上来,“玉大人,你说我怎么就摊上这事。” “怎么了?”我有些...
    开封第一讲书人阅读 151,047评论 0 337
  • 文/不坏的土叔 我叫张陵,是天一观的道长。 经常有香客问我,道长,这世上最难降的妖魔是什么? 我笑而不...
    开封第一讲书人阅读 54,760评论 1 276
  • 正文 为了忘掉前任,我火速办了婚礼,结果婚礼上,老公的妹妹穿的比我还像新娘。我一直安慰自己,他们只是感情好,可当我...
    茶点故事阅读 63,745评论 5 367
  • 文/花漫 我一把揭开白布。 她就那样静静地躺着,像睡着了一般。 火红的嫁衣衬着肌肤如雪。 梳的纹丝不乱的头发上,一...
    开封第一讲书人阅读 48,638评论 1 281
  • 那天,我揣着相机与录音,去河边找鬼。 笑死,一个胖子当着我的面吹牛,可吹牛的内容都是我干的。 我是一名探鬼主播,决...
    沈念sama阅读 38,011评论 3 398
  • 文/苍兰香墨 我猛地睁开眼,长吁一口气:“原来是场噩梦啊……” “哼!你这毒妇竟也来了?” 一声冷哼从身侧响起,我...
    开封第一讲书人阅读 36,669评论 0 258
  • 序言:老挝万荣一对情侣失踪,失踪者是张志新(化名)和其女友刘颖,没想到半个月后,有当地人在树林里发现了一具尸体,经...
    沈念sama阅读 40,923评论 1 299
  • 正文 独居荒郊野岭守林人离奇死亡,尸身上长有42处带血的脓包…… 初始之章·张勋 以下内容为张勋视角 年9月15日...
    茶点故事阅读 35,655评论 2 321
  • 正文 我和宋清朗相恋三年,在试婚纱的时候发现自己被绿了。 大学时的朋友给我发了我未婚夫和他白月光在一起吃饭的照片。...
    茶点故事阅读 37,740评论 1 330
  • 序言:一个原本活蹦乱跳的男人离奇死亡,死状恐怖,灵堂内的尸体忽然破棺而出,到底是诈尸还是另有隐情,我是刑警宁泽,带...
    沈念sama阅读 33,406评论 4 320
  • 正文 年R本政府宣布,位于F岛的核电站,受9级特大地震影响,放射性物质发生泄漏。R本人自食恶果不足惜,却给世界环境...
    茶点故事阅读 38,995评论 3 307
  • 文/蒙蒙 一、第九天 我趴在偏房一处隐蔽的房顶上张望。 院中可真热闹,春花似锦、人声如沸。这庄子的主人今日做“春日...
    开封第一讲书人阅读 29,961评论 0 19
  • 文/苍兰香墨 我抬头看了看天上的太阳。三九已至,却和暖如春,着一层夹袄步出监牢的瞬间,已是汗流浃背。 一阵脚步声响...
    开封第一讲书人阅读 31,197评论 1 260
  • 我被黑心中介骗来泰国打工, 没想到刚下飞机就差点儿被人妖公主榨干…… 1. 我叫王不留,地道东北人。 一个月前我还...
    沈念sama阅读 45,023评论 2 350
  • 正文 我出身青楼,却偏偏与公主长得像,于是被迫代替她去往敌国和亲。 传闻我的和亲对象是个残疾皇子,可洞房花烛夜当晚...
    茶点故事阅读 42,483评论 2 342

推荐阅读更多精彩内容