本文翻译自《How to Setup FTP Server with VSFTPD on CentOS 7》。
FTP(File Transfer Protocol,文件传输协议)是一种标准的客户端-服务器(client-server)网络协议,允许用户在远程网络之间传输文件。
有几个可用于Linux的开源FTP服务器。最流行和使用最广泛的是PureFTPd、ProFTPD和vsftpd。
在本教程中,我们将在CentOS 7上安装vsftpd(非常安全的Ftp守护进程)。它是一个稳定、安全和快速的FTP服务器。我们还将向你展示如何配置vsftpd以将用户限制在他们的家目录中并使用SSL/TLS加密整个传输。
先决条件
在继续本教程之前,请确保你以具有sudo权限的用户身份登录。
在CentOS 7上安装vsftpd
vsftpd软件包在默认的CentOS存储库中可用。要安装它,请执行以下命令:
$ sudo yum install vsftpd
安装软件包后,启动vsftpd守护进程并使其在操作系统启动时自动启动:
$ sudo systemctl start vsftpd
$ sudo systemctl enable vsftpd
你可以通过打印其状态来验证vsftpd服务是否正在运行:
$ sudo systemctl status vsftpd
输出如下所示,表明vsftpd服务处于活动状态并正在运行:
● vsftpd.service - Vsftpd ftp daemon
Loaded: loaded (/usr/lib/systemd/system/vsftpd.service; enabled; vendor preset: disabled)
Active: active (running) since Thu 2018-11-22 09:42:37 UTC; 6s ago
Main PID: 29612 (vsftpd)
CGroup: /system.slice/vsftpd.service
└─29612 /usr/sbin/vsftpd /etc/vsftpd/vsftpd.conf
配置vsftpd
配置vsftpd服务涉及编辑/etc/vsftpd/vsftpd.conf
配置文件。大多数设置都在配置文件中详细记录。有关所有可用选项,请访问官方vsftpd页面。
在以下部分中,我们将介绍配置安全的vsftpd安装所需的一些重要设置。
首先打开vsftpd配置文件:
$ sudo nano /etc/vsftpd/vsftpd.conf
1. FTP访问
我们将只允许本地用户访问FTP服务器,找到anonymous_enable
和local_enable
指令并验证你的配置是否与以下行匹配:
anonymous_enable=NO
local_enable=YES
2. 启用上传
取消注释write_enable
设置以允许更改文件系统,例如上传和删除文件。
write_enable=YES
3. Chroot监狱
通过取消注释chroot指令来防止FTP用户访问其家目录之外的任何文件。
chroot_local_user=YES
默认情况下,启用chroot时,如果用户锁定的目录是可写的,vsftpd将拒绝上传文件。这是为了防止安全漏洞。
启用chroot时,使用以下方法之一允许上传。
方法 1. – 允许上传的推荐方法是启用chroot并配置FTP目录。在本教程中,我们将在用户家目录中创建一个ftp目录,该目录将用作chroot和一个可写的上传目录,用于上传文件。
user_sub_token=$USER
local_root=/home/$USER/ftp
方法 2. – 另一种选择是在vsftpd配置文件中添加以下指令。如果你必须授予用户对其家目录的可写访问权限,请使用此选项。
allow_writeable_chroot=YES
4. 被动FTP连接
vsftpd可以使用任何端口进行被动FTP连接。我们将指定端口的最小和最大范围,然后在我们的防火墙中打开该范围。
将以下行添加到配置文件中:
pasv_min_port=30000
pasv_max_port=31000
5. 限制用户登录
要仅允许某些用户登录FTP服务器,请在userlist_enable=YES
行之后添加以下行:
userlist_file=/etc/vsftpd/user_list
userlist_deny=NO
启用此选项后,你需要通过将用户名添加到/etc/vsftpd/user_list
文件(每行一个用户名)来明确指定哪些用户能够登录。
6. 使用SSL/TLS保护传输
为了使用SSL/TLS加密FTP传输,你需要拥有SSL证书并配置FTP服务器以使用它。
你可以使用由受信任的证书颁发机构签名的现有的SSL证书或创建自签名证书。
如果你有一个指向FTP服务器IP地址的域名或子域名,你可以轻松生成免费的Let’s Encrypt SSL证书。
在本教程中,我们将使用openssl
命令生成自签名的SSL证书。
以下命令将创建一个有效期为10年的2048位私钥和自签名证书。私钥和证书都将保存在同一个文件中:
$ sudo openssl req -x509 -nodes -days 3650 -newkey rsa:2048 -keyout /etc/vsftpd/vsftpd.pem -out /etc/vsftpd/vsftpd.pem
创建SSL证书后,打开vsftpd配置文件:
$ sudo nano /etc/vsftpd/vsftpd.conf
找到rsa_cert_file
和rsa_private_key_file
指令,将它们的值更改为pem文件路径并将ssl_enable
指令设置为YES
:
rsa_cert_file=/etc/vsftpd/vsftpd.pem
rsa_private_key_file=/etc/vsftpd/vsftpd.pem
ssl_enable=YES
如果没有另外指定,FTP服务器将只使用TLS来建立安全连接。
重启vsftpd服务
完成编辑后,vsftpd配置文件(不包括注释)应如下所示:
anonymous_enable=NO
local_enable=YES
write_enable=YES
local_umask=022
dirmessage_enable=YES
xferlog_enable=YES
connect_from_port_20=YES
xferlog_std_format=YES
chroot_local_user=YES
listen=NO
listen_ipv6=YES
pam_service_name=vsftpd
userlist_enable=YES
userlist_file=/etc/vsftpd/user_list
userlist_deny=NO
tcp_wrappers=YES
user_sub_token=$USER
local_root=/home/$USER/ftp
pasv_min_port=30000
pasv_max_port=31000
rsa_cert_file=/etc/vsftpd/vsftpd.pem
rsa_private_key_file=/etc/vsftpd/vsftpd.pem
ssl_enable=YES
保存文件并重新启动vsftpd服务以使更改生效:
$ sudo systemctl restart vsftpd
打开防火墙
如果你正在运行防火墙,则需要允许FTP流量。 要打开端口21
(FTP命令端口)、端口20
(FTP数据端口)和30000-31000
(被动端口范围),请发出以下命令:
$ sudo firewall-cmd --permanent --add-port=20-21/tcp
$ sudo firewall-cmd --permanent --add-port=30000-31000/tcp
通过键入以下内容重新加载防火墙规则:
$ firewall-cmd --reload
创建一个FTP用户
为了测试我们的FTP服务器,我们将创建一个新用户。
- 如果你已经有一个要授予FTP访问权限的用户,请跳过第1步。
- 如果你在配置文件中设置了
allow_writeable_chroot=YES
,请跳过第3步。
1 创建一个名为newftpuser
的新用户:
$ sudo adduser newftpuser
接下来,你需要设置用户密码:
$ sudo passwd newftpuser
2 将用户添加到允许的FTP用户列表:
$ echo "newftpuser" | sudo tee -a /etc/vsftpd/user_list
3 创建FTP目录树并设置正确的权限:
$ sudo mkdir -p /home/newftpuser/ftp/upload
$ sudo chmod 550 /home/newftpuser/ftp
$ sudo chmod 750 /home/newftpuser/ftp/upload
$ sudo chown -R newftpuser: /home/newftpuser/ftp
如上一节所述,用户将能够将其文件上传到ftp/upload
目录。
此时,你的FTP服务器功能齐全,你应该能够使用任何可配置为使用TLS加密的FTP客户端(例如FileZilla)连接到你的服务器。
禁止访问shell
默认情况下,创建用户时,如果未明确指定,用户将拥有对服务器的SSH访问权限。
要禁止访问shell,我们将创建一个新的shell,它会简单地打印一条消息,告诉用户他们的账户仅限于FTP访问。
运行以下命令来创建/bin/ftponly
shell并使其可执行:
$ echo -e '#!/bin/sh\necho "This account is limited to FTP access only."' | sudo tee -a /bin/ftponly
$ sudo chmod a+x /bin/ftponly
将新的shell附加到/etc/shells
文件中的有效shell列表中:
$ echo "/bin/ftponly" | sudo tee -a /etc/shells
将用户shell更改为/bin/ftponly
:
$ sudo usermod newftpuser -s /bin/ftponly
使用相同的命令为你希望仅授予FTP访问权限的其他用户更改shell。
总结
在本教程中,你学到了如何在CentOS 7系统上安装和配置安全快速的FTP服务器。
如果你有任何问题或反馈,请随时发表评论。