智传网优云课堂,专注分享IT技术
与IT技术爱好者一起共同学习进步

如何在Ubuntu 20.04上快速搭建安全的FTP服务

1. 前言

本文将介绍如何在Ubuntu 20.04上安装和配置FTP服务器,以便在设备之间共享文件。搭建ftp服务器有很多工具,本文使用的工具是vsftp。

FTP (File Transfer Protocol)是一种标准的网络协议,用于在远程网络中传输文件。Linux有几个开源FTP服务器。最知名和广泛使用的是PureFTPd、ProFTPD和vsftpd。我们将安装vsftpd(非常安全的Ftp守护进程),一个稳定、安全、快速的Ftp服务器。我们还将向您展示如何配置服务器,将用户限制在他们的主目录,并使用SSL/TLS加密整个传输。

尽管FTP是一种非常流行的协议,但为了更安全和更快的数据传输,您应该使用SCP或SFTP。

如何在Ubuntu 20.04上快速搭建安全的FTP服务

2. 在Ubuntu 20.04上安装vsftp

vsftpd安装包可以在Ubuntu软件库中找到。要安装它,请执行以下命令:

sudo apt update
sudo apt install vsftpd

安装完成后,ftp服务将自动启动。要验证它,请查看服务状态:

sudo systemctl status vsftpd

输出结果表明vsftpd服务是活跃的并正在运行:

vsftpd.service - vsftpd FTP server
     Loaded: loaded (/lib/systemd/system/vsftpd.service; enabled; vendor preset: enabled)
     Active: active (running) since Tue 2021-10-21 15:17:22 UTC; 3s ago
...

在Ubuntu 20.04上安装ftp服务

3. 配置vsftpd

vsftpd服务器配置文件存放在/etc/vsftpd.conf文件中。

在下面的小节中,我们将介绍配置安全vsftpd安装所需的一些重要设置。

首先打开vsftpd配置文件:

sudo nano /etc/vsftpd.conf

3.1 FTP访问设置

我们将只允许本地用户访问FTP服务器。搜索anonymous_enablelocal_enable选项,验证你的配置是否与下面的行匹配:

vim /etc/vsftpd.conf
anonymous_enable=NO
local_enable=YES

3.2 启用上传功能

请确认删除write_enable前面的注释符号以允许文件系统更改,例如上传和删除文件:

write_enable=YES

3.3 限制访问

为了防止本地FTP用户访问主目录之外的文件,请确认删除chroot_local_user前面的注释符号:

chroot_local_user=YES

出于安全考虑,默认情况下,当chroot开启时,如果用户锁定的目录是可写的,vsftpd将拒绝上传文件。

使用下面的解决方案之一,允许上传时,chroot是启用的:

方法1: 建议启用chroot特性并配置FTP目录。在这个例子中,我们将在用户的home中创建一个ftp目录,作为chroot和一个可写的上传目录,用于上传文件:

user_sub_token=USER
local_root=/home/USER/ftp

方法2。另一个选项是启用allow_writeable_chroot指令:

allow_writeable_chroot=YES

只有当您必须授予用户对其主目录的可写访问权限时,才使用此选项。

3.4 被动FTP连接

缺省情况下,vsftpd使用active模式。使用被动模式时,设置端口的最小和最大范围:

pasv_min_port=30000
pasv_max_port=31000

您可以使用任何端口进行被动FTP连接。当启用被动模式时,FTP客户端将在您选择的范围内的任意端口上打开到服务器的连接。

3.5 限制用户登录

配置vsftpd为只允许某些用户登录。为此,在文件末尾添加以下行:

userlist_enable=YES
userlist_file=/etc/vsftpd.user_list
userlist_deny=NO

当启用该选项时,需要通过在/etc/vsftpd.user_list文件中添加用户名来明确指定哪些用户可以登录(每行一个用户)。

3.6 使用SSL/TLS加密传输

要使用SSL/TLS加密FTP传输,您需要有一个SSL证书并配置FTP服务器来使用它。

您可以使用由受信任的证书颁发机构签署的现有SSL证书,或创建自签名证书。

如果有指向FTP服务器IP地址的域或子域,可以快速生成免费的Let’s Encrypt SSL证书。

我们将生成一个有效期为10年的2048位私钥和自签名SSL证书:

sudo openssl req -x509 -nodes -days 3650 -newkey rsa:2048 -keyout /etc/ssl/private/vsftpd.pem -out /etc/ssl/private/vsftpd.pem

私钥和证书将保存在同一个文件中。

SSL证书创建完成后,打开vsftpd配置文件:

sudo nano /etc/vsftpd.conf

找到rsa_cert_filersa_private_key_file指令,将它们的值更改为pam文件路径,并将ssl_enable指令设置为YES:

rsa_cert_file=/etc/ssl/private/vsftpd.pem
rsa_private_key_file=/etc/ssl/private/vsftpd.pem
ssl_enable=YES

如果没有指定,FTP服务器将只使用TLS进行安全连接。

4. 重启vsftpd服务

一旦你完成了编辑,vsftpd配置文件(不包括注释)应该是这样的:

listen=NO
listen_ipv6=YES
anonymous_enable=NO
local_enable=YES
write_enable=YES
dirmessage_enable=YES
use_localtime=YES
xferlog_enable=YES
connect_from_port_20=YES
chroot_local_user=YES
secure_chroot_dir=/var/run/vsftpd/empty
pam_service_name=vsftpd
rsa_cert_file=/etc/ssl/private/vsftpd.pem
rsa_private_key_file=/etc/ssl/private/vsftpd.pem
ssl_enable=YES
user_sub_token=USER
local_root=/home/USER/ftp
pasv_min_port=30000
pasv_max_port=31000
userlist_enable=YES
userlist_file=/etc/vsftpd.user_list
userlist_deny=NO

保存文件并重启vsftpd服务,使修改生效。

sudo systemctl restart vsftpd

完成FTP服务器的配置

5. 打开防火墙

如果您运行的是UFW防火墙,则需要允许FTP通信。

在Ubuntu系统中打开防火墙

需要开放TCP端口号21号(FTP协议端口)、20(FTP数据端口)和30000-31000端口(被动端口范围)。

sudo ufw allow 20:21/tcp
sudo ufw allow 30000:31000/tcp

为了避免ssh中断,请确保端口22是打开的:

sudo ufw allow OpenSSH

通过禁用和重启UFW防火墙重新加载UFW规则:

sudo ufw disable
sudo ufw enable

请运行以下命令验证结果:

sudo ufw status
Status: active

To                         Action      From
--                         ------      ----
20:21/tcp                  ALLOW       Anywhere
30000:31000/tcp            ALLOW       Anywhere
OpenSSH                    ALLOW       Anywhere
20:21/tcp (v6)             ALLOW       Anywhere (v6)
30000:31000/tcp (v6)       ALLOW       Anywhere (v6)
OpenSSH (v6)               ALLOW       Anywhere (v6)

6. 创建FTP用户

为了测试FTP服务器,我们将创建一个新用户。

如果需要授予FTP访问权限的用户已经存在,请跳过第一步。
如果您在配置文件中设置了allow_writeable_chroot=YES,请跳过第三步。

创建FTP用户

6.1 创建一个新用户newftpuser:

sudo adduser newftpuser

6.2 将该用户添加到允许的FTP用户列表中。

echo "newftpuser" | sudo tee -a /etc/vsftpd.user_list

6.3 创建FTP目录树并设置正确的权限:

sudo mkdir -p /home/newftpuser/ftp/upload
sudo chmod 550 /home/newftpuser/ftp
sudo chmod 750 /home/newftpuser/ftp/upload
sudo chown -R newftpuser: /home/newftpuser/ftp

正如上一节所讨论的,用户将能够将其文件上载到ftp/upload目录。

完成上述配置后,您的FTP服务器已经功能齐全。您应该能够使用任何可以配置为使用TLS加密的FTP客户端(如FileZilla)连接到服务器。

7. 禁用Shell访问

默认情况下,在创建用户时,如果没有特别指定,用户将具有对服务器的SSH访问权限。要禁用shell访问,请创建一个新的shell,该shell将打印一条消息,告诉用户他们的帐户仅限于FTP访问。

执行如下命令创建/bin/ftponly文件并使其可执行:

echo -e '#!/bin/sh\necho "This account is limited to FTP access only."' | sudo tee -a  /bin/ftponly
sudo chmod a+x /bin/ftponly

将新的shell添加到/etc/shell文件中的有效shell列表中:

echo "/bin/ftponly" | sudo tee -a /etc/shells

将用户的shell改为/bin/ftponly:

sudo usermod newftpuser -s /bin/ftponly

您可以使用相同的命令来限制其它用户。

8. 结论

本文已经向您展示了如何在Ubuntu 20.04系统上安装和配置一个安全和快速的FTP服务器,搭建FTP服务器的方法和工具有很多。本文讲解的工具为vsftp,中文翻译起来就是非常安全的FTP守护进程。如果你有任何问题或反馈,请随时留下评论。

赞(0)
未经允许不得转载:Linux入门学习到精通 » 如何在Ubuntu 20.04上快速搭建安全的FTP服务
分享到: 更多 (0)

学习QQ群:557371664

关注微信公众号自助视频学习

评论 抢沙发

评论前必须登录!