如何在Ubuntu 20.04上快速搭建安全的FTP服务

1. 前言

本文将介绍如何在Ubuntu 20.04上安装和配置FTP服务器，以便在设备之间共享文件。搭建ftp服务器有很多工具，本文使用的工具是vsftp。

FTP (File Transfer Protocol)是一种标准的网络协议，用于在远程网络中传输文件。Linux有几个开源FTP服务器。最知名和广泛使用的是PureFTPd、ProFTPD和vsftpd。我们将安装vsftpd(非常安全的Ftp守护进程)，一个稳定、安全、快速的Ftp服务器。我们还将向您展示如何配置服务器，将用户限制在他们的主目录，并使用SSL/TLS加密整个传输。

尽管FTP是一种非常流行的协议，但为了更安全和更快的数据传输，您应该使用SCP或SFTP。

2. 在Ubuntu 20.04上安装vsftp

vsftpd安装包可以在Ubuntu软件库中找到。要安装它，请执行以下命令:

sudo apt update
sudo apt install vsftpd

安装完成后，ftp服务将自动启动。要验证它，请查看服务状态:

sudo systemctl status vsftpd

输出结果表明vsftpd服务是活跃的并正在运行:

vsftpd.service - vsftpd FTP server
     Loaded: loaded (/lib/systemd/system/vsftpd.service; enabled; vendor preset: enabled)
     Active: active (running) since Tue 2021-10-21 15:17:22 UTC; 3s ago
...

3. 配置vsftpd

vsftpd服务器配置文件存放在/etc/vsftpd.conf文件中。

在下面的小节中，我们将介绍配置安全vsftpd安装所需的一些重要设置。

首先打开vsftpd配置文件:

sudo nano /etc/vsftpd.conf

3.1 FTP访问设置

我们将只允许本地用户访问FTP服务器。搜索anonymous_enable和local_enable选项，验证你的配置是否与下面的行匹配:

vim /etc/vsftpd.conf

anonymous_enable=NO
local_enable=YES

3.2 启用上传功能

请确认删除write_enable前面的注释符号以允许文件系统更改，例如上传和删除文件:

write_enable=YES

3.3 限制访问

为了防止本地FTP用户访问主目录之外的文件，请确认删除chroot_local_user前面的注释符号:

chroot_local_user=YES

出于安全考虑，默认情况下，当chroot开启时，如果用户锁定的目录是可写的，vsftpd将拒绝上传文件。

使用下面的解决方案之一，允许上传时，chroot是启用的:

方法1: 建议启用chroot特性并配置FTP目录。在这个例子中，我们将在用户的home中创建一个ftp目录，作为chroot和一个可写的上传目录，用于上传文件:

user_sub_token=USER
local_root=/home/USER/ftp

方法2。另一个选项是启用allow_writeable_chroot指令:

allow_writeable_chroot=YES

只有当您必须授予用户对其主目录的可写访问权限时，才使用此选项。

3.4 被动FTP连接

缺省情况下，vsftpd使用active模式。使用被动模式时，设置端口的最小和最大范围:

pasv_min_port=30000
pasv_max_port=31000

您可以使用任何端口进行被动FTP连接。当启用被动模式时，FTP客户端将在您选择的范围内的任意端口上打开到服务器的连接。

3.5 限制用户登录

配置vsftpd为只允许某些用户登录。为此，在文件末尾添加以下行:

userlist_enable=YES
userlist_file=/etc/vsftpd.user_list
userlist_deny=NO

当启用该选项时，需要通过在/etc/vsftpd.user_list文件中添加用户名来明确指定哪些用户可以登录(每行一个用户)。

3.6 使用SSL/TLS加密传输

要使用SSL/TLS加密FTP传输，您需要有一个SSL证书并配置FTP服务器来使用它。

您可以使用由受信任的证书颁发机构签署的现有SSL证书，或创建自签名证书。

如果有指向FTP服务器IP地址的域或子域，可以快速生成免费的Let’s Encrypt SSL证书。

我们将生成一个有效期为10年的2048位私钥和自签名SSL证书:

sudo openssl req -x509 -nodes -days 3650 -newkey rsa:2048 -keyout /etc/ssl/private/vsftpd.pem -out /etc/ssl/private/vsftpd.pem

私钥和证书将保存在同一个文件中。

SSL证书创建完成后，打开vsftpd配置文件:

sudo nano /etc/vsftpd.conf

找到rsa_cert_file和rsa_private_key_file指令，将它们的值更改为pam文件路径，并将ssl_enable指令设置为YES:

rsa_cert_file=/etc/ssl/private/vsftpd.pem
rsa_private_key_file=/etc/ssl/private/vsftpd.pem
ssl_enable=YES

如果没有指定，FTP服务器将只使用TLS进行安全连接。

4. 重启vsftpd服务

一旦你完成了编辑，vsftpd配置文件(不包括注释)应该是这样的:

listen=NO
listen_ipv6=YES
anonymous_enable=NO
local_enable=YES
write_enable=YES
dirmessage_enable=YES
use_localtime=YES
xferlog_enable=YES
connect_from_port_20=YES
chroot_local_user=YES
secure_chroot_dir=/var/run/vsftpd/empty
pam_service_name=vsftpd
rsa_cert_file=/etc/ssl/private/vsftpd.pem
rsa_private_key_file=/etc/ssl/private/vsftpd.pem
ssl_enable=YES
user_sub_token=USER
local_root=/home/USER/ftp
pasv_min_port=30000
pasv_max_port=31000
userlist_enable=YES
userlist_file=/etc/vsftpd.user_list
userlist_deny=NO

保存文件并重启vsftpd服务，使修改生效。

sudo systemctl restart vsftpd

5. 打开防火墙

如果您运行的是UFW防火墙，则需要允许FTP通信。

需要开放TCP端口号21号(FTP协议端口)、20(FTP数据端口)和30000-31000端口(被动端口范围)。

sudo ufw allow 20:21/tcp
sudo ufw allow 30000:31000/tcp

为了避免ssh中断，请确保端口22是打开的:

sudo ufw allow OpenSSH

通过禁用和重启UFW防火墙重新加载UFW规则:

sudo ufw disable
sudo ufw enable

请运行以下命令验证结果:

sudo ufw status

Status: active

To                         Action      From
--                         ------      ----
20:21/tcp                  ALLOW       Anywhere
30000:31000/tcp            ALLOW       Anywhere
OpenSSH                    ALLOW       Anywhere
20:21/tcp (v6)             ALLOW       Anywhere (v6)
30000:31000/tcp (v6)       ALLOW       Anywhere (v6)
OpenSSH (v6)               ALLOW       Anywhere (v6)

6. 创建FTP用户

为了测试FTP服务器，我们将创建一个新用户。

如果需要授予FTP访问权限的用户已经存在，请跳过第一步。
如果您在配置文件中设置了allow_writeable_chroot=YES，请跳过第三步。

6.1 创建一个新用户newftpuser:

sudo adduser newftpuser

6.2 将该用户添加到允许的FTP用户列表中。

echo "newftpuser" | sudo tee -a /etc/vsftpd.user_list

6.3 创建FTP目录树并设置正确的权限:

sudo mkdir -p /home/newftpuser/ftp/upload
sudo chmod 550 /home/newftpuser/ftp
sudo chmod 750 /home/newftpuser/ftp/upload
sudo chown -R newftpuser: /home/newftpuser/ftp

正如上一节所讨论的，用户将能够将其文件上载到ftp/upload目录。

完成上述配置后，您的FTP服务器已经功能齐全。您应该能够使用任何可以配置为使用TLS加密的FTP客户端(如FileZilla)连接到服务器。

7. 禁用Shell访问

默认情况下，在创建用户时，如果没有特别指定，用户将具有对服务器的SSH访问权限。要禁用shell访问，请创建一个新的shell，该shell将打印一条消息，告诉用户他们的帐户仅限于FTP访问。

执行如下命令创建/bin/ftponly文件并使其可执行:

echo -e '#!/bin/sh\necho "This account is limited to FTP access only."' | sudo tee -a  /bin/ftponly
sudo chmod a+x /bin/ftponly

将新的shell添加到/etc/shell文件中的有效shell列表中:

echo "/bin/ftponly" | sudo tee -a /etc/shells

将用户的shell改为/bin/ftponly:

sudo usermod newftpuser -s /bin/ftponly

您可以使用相同的命令来限制其它用户。

8. 结论

本文已经向您展示了如何在Ubuntu 20.04系统上安装和配置一个安全和快速的FTP服务器，搭建FTP服务器的方法和工具有很多。本文讲解的工具为vsftp，中文翻译起来就是非常安全的FTP守护进程。如果你有任何问题或反馈，请随时留下评论。