FTP (протокол передачи файлов) — это сетевой протокол клиент-сервер, который позволяет пользователям передавать файлы на удаленный компьютер и обратно.

Для Linux доступно множество FTP-серверов с открытым исходным кодом. Наиболее популярными и распространёнными являются PureFTPd , ProFTPD и vsftpd .

В этом руководстве мы установим vsftpd (Very Secure FTP Daemon) на CentOS 8. Это стабильный, безопасный и быстрый FTP-сервер. Мы также покажем, как настроить vsftpd, чтобы пользователи могли использовать только свой домашний каталог, и шифровать передаваемые данные с помощью SSL/TLS.

Установка vsftpd на CentOS 8 #

Пакет vsftpd доступен в репозиториях CentOS по умолчанию. Чтобы установить его, выполните следующую команду от имени пользователя root или пользователя с правами sudo :

 sudo dnf install vsftpd

После установки пакета запустите демон vsftpd и включите его автоматический запуск при загрузке:

 sudo systemctl enable vsftpd --now

Проверьте статус услуги:

 sudo systemctl status vsftpd

Вывод будет выглядеть примерно так, показывая, что служба vsftpd активна и работает:

 ● vsftpd.service - Vsftpd ftp daemon Loaded: loaded (/usr/lib/systemd/system/vsftpd.service; enabled; vendor preset: disabled) Active: active (running) since Mon 2020-03-30 15:16:51 EDT; 10s ago Process: 2880 ExecStart=/usr/sbin/vsftpd /etc/vsftpd/vsftpd.conf (code=exited, status=0/SUCCESS) ...

Настройка vsftpd #

Настройки сервера vsftpd хранятся в файле конфигурации /etc/vsftpd/vsftpd.conf . Большинство настроек подробно документированы в этом файле. Полное описание всех доступных параметров см. на официальной странице vsftpd .

В следующих разделах мы рассмотрим некоторые важные параметры, необходимые для настройки безопасной установки vsftpd.

Начните с открытия файла конфигурации vsftpd:

 sudo nano /etc/vsftpd/vsftpd.conf

1. Номер FTP-доступа

Мы разрешим доступ к FTP-серверу только локальным пользователям, найдите директивы anonymous_enable и local_enable и убедитесь, что ваша конфигурация соответствует строкам ниже:

/etc/vsftpd/vsftpd.conf

 anonymous_enable = NO local_enable = YES

2. Включение загрузок #

Раскомментируйте параметр write_enable , чтобы разрешить внесение изменений в файловую систему, например загрузку и удаление файлов.

/etc/vsftpd/vsftpd.conf

 write_enable = YES

3. Chroot-тюрьма №

Запретите пользователям FTP доступ к файлам за пределами их домашних каталогов, раскомментировав директиву chroot .

/etc/vsftpd/vsftpd.conf

 chroot_local_user = YES

По умолчанию при включённом chroot vsftpd откажется загружать файлы, если каталог, в котором заблокированы пользователи, доступен для записи. Это сделано для предотвращения уязвимости безопасности.

Используйте один из приведенных ниже методов, чтобы разрешить загрузку при включенном chroot.

• Способ 1. Рекомендуемый способ разрешить загрузку — оставить chroot включённым и настроить FTP-каталоги. В этом руководстве мы создадим ftp каталог в домашнем каталоге пользователя, который будет выполнять функции chroot и каталога для загрузки файлов с возможностью uploads .

  /etc/vsftpd/vsftpd.conf

   user_sub_token = $USER local_root = /home/$USER/ftp

• Способ 2. Другой вариант — добавить следующую директиву в файл конфигурации vsftpd. Используйте этот вариант, если вам необходимо предоставить пользователю доступ на запись в его домашний каталог.

  /etc/vsftpd/vsftpd.conf

   allow_writeable_chroot = YES

4. Пассивные FTP-подключения #

vsftpd может использовать любой порт для пассивных FTP-подключений. Мы укажем минимальный и максимальный диапазон портов, а затем откроем его в нашем брандмауэре.

Добавьте следующие строки в файл конфигурации:

/etc/vsftpd/vsftpd.conf

 pasv_min_port = 30000 pasv_max_port = 31000

5. Ограничение количества входов пользователей

Чтобы разрешить вход на FTP-сервер только определенным пользователям, добавьте следующие строки после строки userlist_enable=YES :

/etc/vsftpd/vsftpd.conf

 userlist_file = /etc/vsftpd/user_list userlist_deny = NO

Если эта опция включена, вам необходимо явно указать, какие пользователи могут входить в систему, добавив имена пользователей в файл /etc/vsftpd/user_list (по одному пользователю на строку).

6. Защита передачи данных с помощью SSL/TLS #

Чтобы зашифровать FTP-передачи с помощью SSL/TLS, вам понадобится SSL-сертификат и настроить FTP-сервер на его использование.

Вы можете использовать существующий SSL-сертификат, подписанный доверенным центром сертификации, или создать самоподписанный сертификат.

Если у вас есть домен или поддомен, указывающий на IP-адрес FTP-сервера, вы можете легко сгенерировать бесплатный SSL-сертификат Let's Encrypt .

В этом уроке мы создадим самоподписанный SSL-сертификат с помощью инструмента openssl .

Следующая команда создаст 2048-битный закрытый ключ и самоподписанный сертификат сроком на 10 лет. Закрытый ключ и сертификат будут сохранены в одном файле:

 sudo openssl req -x509 -nodes -days 3650 -newkey rsa:2048 -keyout /etc/vsftpd/vsftpd.pem -out /etc/vsftpd/vsftpd.pem

После создания SSL-сертификата откройте файл конфигурации vsftpd:

 sudo nano /etc/vsftpd/vsftpd.conf

Найдите директивы rsa_cert_file и rsa_private_key_file , измените их значения на путь к файлу pam и установите для директивы ssl_enable значение YES :

/etc/vsftpd/vsftpd.conf

 rsa_cert_file = /etc/vsftpd/vsftpd.pem rsa_private_key_file = /etc/vsftpd/vsftpd.pem ssl_enable = YES

Если не указано иное, FTP-сервер будет использовать только TLS для создания безопасных соединений.

Перезапустите службу vsftpd #

После завершения редактирования файл конфигурации vsftpd (без комментариев) должен выглядеть примерно так:

/etc/vsftpd/vsftpd.conf

 anonymous_enable = NO local_enable = YES write_enable = YES local_umask = 022 dirmessage_enable = YES xferlog_enable = YES connect_from_port_20 = YES xferlog_std_format = YES chroot_local_user = YES listen = NO listen_ipv6 = YES pam_service_name = vsftpd userlist_enable = YES userlist_file = /etc/vsftpd/user_list userlist_deny = NO tcp_wrappers = YES user_sub_token = $USER local_root = /home/$USER/ftp pasv_min_port = 30000 pasv_max_port = 31000 rsa_cert_file = /etc/vsftpd/vsftpd.pem rsa_private_key_file = /etc/vsftpd/vsftpd.pem ssl_enable = YES

Сохраните файл и перезапустите службу vsftpd, чтобы изменения вступили в силу:

 sudo systemctl restart vsftpd

Открытие брандмауэра #

как-настроить-и-управлять-брандмауэром-на-centos-8 Если вы используете, вам необходимо разрешить трафик FTP.

Чтобы открыть порт 21 (порт команд FTP), порт 20 (порт данных FTP) и 30000-31000 (диапазон пассивных портов), на брандмауэре введите следующие команды:

 sudo firewall-cmd --permanent --add-port=20-21/tcp sudo firewall-cmd --permanent --add-port=30000-31000/tcp

Перезагрузите правила брандмауэра, введя:

 firewall-cmd --reload

Создание FTP-пользователя #

Для тестирования FTP-сервера мы создадим нового пользователя.

• Если у вас уже есть пользователь, которому вы хотите предоставить FTP-доступ, пропустите первый шаг.
• Если вы установили allow_writeable_chroot=YES в файле конфигурации, пропустите 3-й шаг.

1. Создайте нового пользователя с именем newftpuser :

    sudo adduser newftpuser

   Далее вам необходимо установить пароль пользователя :

    sudo passwd newftpuser

2. Добавьте пользователя в список разрешенных пользователей FTP:

    echo "newftpuser" | sudo tee -a /etc/vsftpd/user_list

3. Создайте дерево каталогов FTP и установите правильные разрешения :

    sudo mkdir -p /home/newftpuser/ftp/upload sudo chmod 550 /home/newftpuser/ftp sudo chmod 750 /home/newftpuser/ftp/upload sudo chown -R newftpuser: /home/newftpuser/ftp

   Как обсуждалось в предыдущем разделе, пользователь сможет загружать свои файлы в каталог ftp/upload .

На этом этапе ваш FTP-сервер полностью функционален, и вы сможете подключиться к своему серверу с помощью любого FTP-клиента, который можно настроить на использование шифрования TLS, например FileZilla .

Отключение доступа к оболочке #

По умолчанию при создании пользователя, если явно не указано иное, пользователь будет иметь SSH-доступ к серверу.

Чтобы отключить доступ к оболочке, мы создадим новую оболочку, которая просто выведет сообщение, сообщающее пользователю, что его учетная запись ограничена только доступом по FTP.

Выполните следующие команды, чтобы создать оболочку /bin/ftponly и сделать ее исполняемой:

 echo -e '#!/bin/shnecho "This account is limited to FTP access only."' | sudo tee -a /bin/ftponly sudo chmod a+x /bin/ftponly

Добавьте новую оболочку в список допустимых оболочек в файле /etc/shells :

 echo "/bin/ftponly" | sudo tee -a /etc/shells

Измените оболочку пользователя на /bin/ftponly :

 sudo usermod newftpuser -s /bin/ftponly

Используйте эту же команду, чтобы изменить оболочку для других пользователей, которым вы хотите предоставить только FTP-доступ.

Заключение #

Мы показали вам, как установить и настроить безопасный и быстрый FTP-сервер на CentOS 8.

Для более безопасной и быстрой передачи данных следует использовать SCP или SFTP .

Если у вас есть вопросы или пожелания, не стесняйтесь оставлять комментарии.

ftp centos Не используете CentOS 8?
Выберите другую ОС: центос 8 дебиан 9 убунту 18.04 убунту 20.04

Связанные руководства

• Как настроить FTP-сервер с VSFTPD на CentOS 7
• Установить Odoo 14 на CentOS 8
• Как настроить FTP-сервер с Vsftpd на Raspberry Pi
• Как установить Slack на CentOS 8
• Как установить и настроить Fail2ban на CentOS 8
• Как установить Gitea на CentOS 8
• Как установить Apache Cassandra на CentOS 8

Источник