В этой статье описывается, как установить и настроить FTP-сервер в Ubuntu 20.04, который будет использоваться для обмена файлами между устройствами.

FTP (File Transfer Protocol) — стандартный сетевой протокол, используемый для передачи файлов в удалённую сеть и из неё. Существует несколько FTP-серверов с открытым исходным кодом для Linux. Наиболее известные и широко используемые — PureFTPd , ProFTPD и vsftpd . Мы установим vsftpd (Very Secure FTP Daemon) — стабильный, безопасный и быстрый FTP-сервер. Мы также покажем, как настроить сервер, чтобы ограничить доступ пользователей к их домашнему каталогу и шифровать всю передачу данных с помощью SSL/TLS.

Хотя FTP — очень популярный протокол, для более безопасной и быстрой передачи данных следует использовать SCP или SFTP .

Установка vsftpd в Ubuntu 20.04 #

Пакет vsftpd доступен в репозиториях Ubuntu. Чтобы установить его, выполните следующие команды:

 sudo apt update sudo apt install vsftpd

Служба FTP запустится автоматически после завершения установки. Чтобы проверить её состояние, распечатайте статус службы:

 sudo systemctl status vsftpd

Вывод должен показать, что служба vsftpd активна и работает:

 ● vsftpd.service - vsftpd FTP server Loaded: loaded (/lib/systemd/system/vsftpd.service; enabled; vendor preset: enabled) Active: active (running) since Tue 2021-03-02 15:17:22 UTC; 3s ago ...

Настройка vsftpd #

Конфигурация сервера vsftpd хранится в файле /etc/vsftpd.conf .

Большинство настроек сервера подробно документированы внутри файла. Полную информацию обо всех доступных параметрах можно найти на странице документации vsftpd .

В следующих разделах мы рассмотрим некоторые важные параметры, необходимые для настройки безопасной установки vsftpd.

Начните с открытия файла конфигурации vsftpd:

 sudo nano /etc/vsftpd.conf

1. Номер FTP-доступа

Мы разрешим доступ к FTP-серверу только локальным пользователям. Найдите директивы anonymous_enable и local_enable и проверьте, соответствует ли ваша конфигурация строкам ниже:

/etc/vsftpd.conf

 anonymous_enable = NO local_enable = YES

2. Включение загрузок #

Найдите и раскомментируйте директиву write_enable , чтобы разрешить изменения файловой системы, такие как загрузка и удаление файлов:

/etc/vsftpd.conf

 write_enable = YES

3. Chroot-тюрьма #

Чтобы запретить локальным пользователям FTP доступ к файлам за пределами их домашних каталогов, раскомментируйте строку, начинающуюся с chroot_local_user :

/etc/vsftpd.conf

 chroot_local_user = YES

По умолчанию, из соображений безопасности, при включенном chroot vsftpd откажется загружать файлы, если каталог, в котором заблокирован пользователь, доступен для записи.

Используйте одно из приведенных ниже решений, чтобы разрешить загрузку при включенном chroot:

• Способ 1. Рекомендуется оставить функцию chroot включённой и настроить FTP-каталоги. В этом примере мы создадим ftp каталог в домашнем каталоге пользователя, который будет использоваться в качестве chroot и каталога uploads с возможностью записи для загрузки файлов:

  /etc/vsftpd.conf

   user_sub_token = $USER local_root = /home/$USER/ftp

• Способ 2. Другой вариант — включить директиву allow_writeable_chroot :

  /etc/vsftpd.conf

   allow_writeable_chroot = YES

  Используйте эту опцию только в том случае, если вам необходимо предоставить пользователю права записи в его домашний каталог.

4. Пассивные FTP-подключения #

По умолчанию vsftpd использует активный режим. Чтобы использовать пассивный режим, задайте минимальный и максимальный диапазон портов:

/etc/vsftpd.conf

 pasv_min_port = 30000 pasv_max_port = 31000

Для пассивных FTP-подключений можно использовать любой порт. При включении пассивного режима FTP-клиент открывает соединение с сервером на случайном порту из выбранного вами диапазона.

5. Ограничение количества входов пользователей

Вы можете настроить vsftpd так, чтобы разрешить вход в систему только определенным пользователям. Для этого добавьте следующие строки в конец файла:

/etc/vsftpd.conf

 userlist_enable = YES userlist_file = /etc/vsftpd.user_list userlist_deny = NO

Если эта опция включена, вам необходимо явно указать, какие пользователи могут входить в систему, добавив имена пользователей в файл /etc/vsftpd.user_list (по одному пользователю на строку).

6. Защита передачи данных с помощью SSL/TLS #

Чтобы зашифровать FTP-передачи с помощью SSL/TLS, вам понадобится SSL-сертификат и настроить FTP-сервер на его использование.

Вы можете использовать существующий SSL-сертификат, подписанный доверенным центром сертификации, или создать самоподписанный сертификат.

Если у вас есть домен или поддомен, указывающий на IP-адрес FTP-сервера, вы можете быстро сгенерировать бесплатный SSL-сертификат Let's Encrypt .

Мы сгенерируем 2048-битный закрытый ключ и самоподписанный SSL-сертификат , который будет действителен в течение десяти лет:

 sudo openssl req -x509 -nodes -days 3650 -newkey rsa:2048 -keyout /etc/ssl/private/vsftpd.pem -out /etc/ssl/private/vsftpd.pem

И закрытый ключ, и сертификат будут сохранены в одном файле.

После создания SSL-сертификата откройте файл конфигурации vsftpd:

 sudo nano /etc/vsftpd.conf

Найдите директивы rsa_cert_file и rsa_private_key_file , измените их значения на путь к файлу pam и установите для директивы ssl_enable значение YES :

/etc/vsftpd.conf

 rsa_cert_file = /etc/ssl/private/vsftpd.pem rsa_private_key_file = /etc/ssl/private/vsftpd.pem ssl_enable = YES

Если не указано иное, FTP-сервер будет использовать только TLS для создания безопасных соединений.

Перезапустите службу vsftpd #

После завершения редактирования файл конфигурации vsftpd (без комментариев) должен выглядеть примерно так:

/etc/vsftpd.conf

 listen = NO listen_ipv6 = YES anonymous_enable = NO local_enable = YES write_enable = YES dirmessage_enable = YES use_localtime = YES xferlog_enable = YES connect_from_port_20 = YES chroot_local_user = YES secure_chroot_dir = /var/run/vsftpd/empty pam_service_name = vsftpd rsa_cert_file = /etc/ssl/private/vsftpd.pem rsa_private_key_file = /etc/ssl/private/vsftpd.pem ssl_enable = YES user_sub_token = $USER local_root = /home/$USER/ftp pasv_min_port = 30000 pasv_max_port = 31000 userlist_enable = YES userlist_file = /etc/vsftpd.user_list userlist_deny = NO

Сохраните файл и перезапустите службу vsftpd, чтобы изменения вступили в силу:

 sudo systemctl restart vsftpd

Открытие брандмауэра #

Если вы используете брандмауэр UFW , вам необходимо разрешить FTP-трафик.

Чтобы открыть порт 21 (порт команд FTP), порт 20 (порт данных FTP) и 30000-31000 (диапазон пассивных портов), выполните следующие команды:

 sudo ufw allow 20:21/tcp sudo ufw allow 30000:31000/tcp

Чтобы избежать блокировки, убедитесь, что порт 22 открыт:

 sudo ufw allow OpenSSH

Перезагрузите правила UFW, отключив и снова включив UFW:

 sudo ufw disable sudo ufw enable

Для проверки изменений выполните:

 sudo ufw status

 Status: active To Action From -- ------ ---- 20:21/tcp ALLOW Anywhere 30000:31000/tcp ALLOW Anywhere OpenSSH ALLOW Anywhere 20:21/tcp (v6) ALLOW Anywhere (v6) 30000:31000/tcp (v6) ALLOW Anywhere (v6) OpenSSH (v6) ALLOW Anywhere (v6)

Создание FTP-пользователя №

Для тестирования FTP-сервера мы создадим нового пользователя.

• Если пользователь, которому вы хотите предоставить FTP-доступ, уже существует, пропустите 1-й шаг.
• Если вы установили allow_writeable_chroot=YES в файле конфигурации, пропустите 3-й шаг.

1. Создайте нового пользователя с именем newftpuser :

    sudo adduser newftpuser

2. Добавьте пользователя в список разрешенных пользователей FTP:

    echo "newftpuser" | sudo tee -a /etc/vsftpd.user_list

3. Создайте дерево каталогов FTP и установите правильные разрешения :

    sudo mkdir -p /home/newftpuser/ftp/upload sudo chmod 550 /home/newftpuser/ftp sudo chmod 750 /home/newftpuser/ftp/upload sudo chown -R newftpuser: /home/newftpuser/ftp

   Как обсуждалось в предыдущем разделе, пользователь сможет загружать свои файлы в каталог ftp/upload .

На этом этапе ваш FTP-сервер полностью работоспособен. Вы сможете подключиться к нему с помощью любого FTP-клиента, поддерживающего шифрование TLS, например, FileZilla .

Отключение доступа к оболочке #

По умолчанию при создании пользователя, если это не указано явно, ему будет предоставлен SSH-доступ к серверу. Чтобы отключить доступ к оболочке, создайте новую оболочку, которая выведет сообщение о том, что его учётная запись ограничена только FTP-доступом.

Выполните следующие команды, чтобы создать файл /bin/ftponly и сделать его исполняемым:

 echo -e '#!/bin/shnecho "This account is limited to FTP access only."' | sudo tee -a /bin/ftponly sudo chmod a+x /bin/ftponly

Добавьте новую оболочку в список допустимых оболочек в файле /etc/shells :

 echo "/bin/ftponly" | sudo tee -a /etc/shells

Измените оболочку пользователя на /bin/ftponly :

 sudo usermod newftpuser -s /bin/ftponly

Эту же команду можно использовать для изменения оболочки всех пользователей, которым вы хотите предоставить только FTP-доступ.

Заключение #

Мы показали вам, как установить и настроить безопасный и быстрый FTP-сервер в вашей системе Ubuntu 20.04.

Если у вас есть вопросы или пожелания, не стесняйтесь оставлять комментарии.

ftp ubuntu Не используете Ubuntu 20.04?
Выберите другую ОС: центос 7 центос 8 дебиан 9 убунту 18.04

Связанные руководства

• Как настроить FTP-сервер с VSFTPD в Ubuntu 18.04
• Как установить Odoo 15 на Ubuntu 20.04
• Как установить Plex Media Server в Ubuntu 20.04
• Как установить Gitea на Ubuntu 20.04
• Как установить и настроить NFS-сервер в Ubuntu 20.04
• Как установить и настроить VNC в Ubuntu 20.04
• Как установить Asterisk в Ubuntu 20.04

Источник