原址:How to Install and Configure FTP Server in Ubuntu
FTP(File Transfer Protocol 文件传输协议 )是通过网络在两台电脑之间传输文件的协议,这是一种很古老但是很常用的协议。它认证所用的用户名跟密码是通过明文在网络上传输的,因而先天就是不安全的。
警告:如果你计划使用FTP,请考虑使用SSL/TLS配置FTP连接,否则,做好使用安全的FTP,如SFTP。
在这篇文章中,我们将介绍如何在Ubuntu中去安装 配置并加固FTP服务器(在文章中我们使用 VsFTP,一个号称非常安全的FTP服务器软件),以去应对FTP漏洞。
Step 1.安装VsFTP
1.首先,升级Ubuntu系统并安装VsFTP
sudo apt-get update
sudo apt-get install -y vsftpd
2.安装完成后,启动VsFTP,并设置开机自启动。
------------- On SystemD -------------
systemctl start vsftpd
systemctl enable vsftpd
------------- On SysVInit -------------
service vsftpd start
chkconfig --level 35 vsftpd on
3.如果,你在服务器上开启了 UFW firewall 的话,还要开放 21 和 20 端口,来允许远程计算机的TCP连接,然后添加新的防火墙规则,
sudo ufw allow 20/tcp
sudo ufw allow 21/tcp
sudo ufw status
Step 2.配置Vsftp
4.首先,创建原始配置文件/etc/vsftpd.conf 的备份
sudo cp /etc/vsftpd.conf /etc/vsftpd.conf.orig
然后,打开配置文件
sudo vi /etc/vsftpd.conf
OR
sudo nano /etc/vsftpd.conf
添加/修改以下选项
anonymous_enable=NO # disable anonymous login
local_enable=YES # permit local logins
write_enable=YES # enable FTP commands which change the filesystem
local_umask=022 # value of umask for file creation for local users
dirmessage_enable=YES # enable showing of messages when users first enter a new directory
xferlog_enable=YES # a log file will be maintained detailing uploads and downloads
connect_from_port_20=YES # use port 20 (ftp-data) on the server machine for PORT style connections
xferlog_std_format=YES # keep standard log file format
listen=NO # prevent vsftpd from running in standalone mode
listen_ipv6=YES # vsftpd will listen on an IPv6 socket instead of an IPv4 one
pam_service_name=vsftpd # name of the PAM service vsftpd will use
userlist_enable=YES # enable vsftpd to load a list of usernames
tcp_wrappers=YES # turn on tcp wrappers
5.配置 /etc/vsftpd.userlist(注:在我的系统中默认是 /etc/vsftpd.user_list 文件且不存在,需要自己创建) 去允许/阻止FTP用户登陆
请注意,默认情况下,如果 userlist_enable = YES,userlist_deny = YES,则在 userlist_file = /etc/vsftpd.userlist 中列出的用户将被拒绝登陆。
但是,userlist_deny = NO 时 userlist_file = /etc/vsftpd.userlist 中的用户会允许登录FTP服务器。
userlist_enable=YES # vsftpd将从userlist_file给出的文件名中加载用户名列表
userlist_file=/etc/vsftpd.userlist # 给出文件名列表的存储文件(注:若不配置,则默认为 /etc/vsftpp.user_list)
userlist_deny=NO
注意:当用户登录到FTP服务器时,由于开启了根目录限制,用户只能浏览他们的本地根目录,而不能跳转到其他目录。
接下来,我们将修改根目录限制。
6.我们添加/修改/取消注释以下两个选项,将FTP用户限制到其主目录。
chroot_local_user=YES
allow_writeable_chroot=YES
chroot_local_user = YES 意味着本地用户将被限制在根目录下,默认情况下登录在它们各自的主目录下。
默认情况下出于安全的考虑,VsFTP是不允许根目录可写的,但是我们可以通过 allow_writeable_chroot=YES 来使其可写。
保存并关闭配置文件,重启VsFTP服务器使上述改变生效
------------- On SystemD -------------
# systemctl restart vsftpd
------------- On SysVInit -------------
# service vsftpd restart
Step 3:测试VsFTP服务器
7.现在我们将通过使用 useradd 命令创建FTP用户来测试FTP服务器,如下所示:
sudo useradd -m -c "Aaron Kili, Contributor" -s /bin/bash aaronkilik
sudo passwd aaronkilik
然后,我们必须使用echo命令和tee命令在/etc/vsftpd.userlist文件中显式地列出用户aaronkilik,如下所示:
echo "aaronkilik" | sudo tee -a /etc/vsftpd.userlist
cat /etc/vsftpd.userlist
8.现在测试我们的服务器是否按上述要求配置工作。我们先测试匿名登录;我们可以从下面的输出中清楚地看到,不允许在FTP服务器上进行匿名登录:
# ftp 192.168.56.102
Connected to 192.168.56.102 (192.168.56.102).
220 Welcome to TecMint.com FTP service.
Name (192.168.56.102:aaronkilik) : anonymous
530 Permission denied.
Login failed.
ftp> bye
221 Goodbye.
9.接下来,让我们测试未在文件/etc/vsftpd.userlist中列出的用户是否可以登录到服务器。从以下输出中可以看出这是不允许的:
# ftp 192.168.56.102
Connected to 192.168.56.102 (192.168.56.102).
220 Welcome to TecMint.com FTP service.
Name (192.168.56.10:root) : user
1530 Permission denied.
Login failed.
ftp> bye
221 Goodbye
10.现在,我们将进行最后的测试,以确定在/etc/vsftpd.userlist文件中列出的用户是否可以成功登录并登录到主目录下。
# ftp 192.168.56.102
Connected to 192.168.56.102 (192.168.56.102).
220 Welcome to TecMint.com FTP service.
Name (192.168.56.102:aaronkilik) : aaronkilik
331 Please specify the password.
Password:
230 Login successful.
Remote system type is UNIX.
Using binary mode to transfer files.
ftp>ls
警告:设置选项 allow_writeable_chroot = YES 是比较危险,它可能有安全隐患,特别是如果用户有上传权限,shell访问权限等。只有你完完全全的知道你在做什么时,才能授予此权限。
这些安全隐患不仅仅只存在于 VSFTPD 进程中,它们也可以影响其他所有的,将用户限制于根目录中的FTP守护进程。
因为这个原因,在下面的部分,我们将介绍一个更安全的方法,为用户设置不同的不可写的本地根目录。
Step 4:配置 FTP 用户家目录
11.现在再次打开 VsFTP 配置文件
sudo vi /etc/vsftpd.conf
OR
sudo nano /etc/vsftpd.conf
使用#字符注释掉不安全的选项,如下所示:
#allow_writeable_chroot=YES
接下来,为用户创建备用本地根目录(aaronkilik,你的目录可能不相同),并通过禁用其他用户对此目录的写入权限来设置我们所需的权限:
sudo mkdir /home/aaronkilik/ftp
sudo chown nobody:nogroup /home/aaronkilik/ftp
sudo chmod a-w /home/aaronkilik/ftp
12.然后,在本地目录下创建一个新目录,并赋予用户适当权限:
sudo mkdir /home/aaronkilik/ftp/files
sudo chown -R aaronkilk:aaronkilik /home/aaronkilik/ftp/files
sudo chmod -R 0770 /home/aaronkilik/ftp/files/
然后,在 VsFTPD 配置文件中添加/修改以下选项:
user_sub_token=$USER # 将用户名插入本地根目录
local_root=/home/$USER/ftp # 定义任何用户的本地根目录
保存并关闭配置文件,重启 VsFTP 使上述配置生效
------------- On SystemD -------------
# systemctl restart vsftpd
------------- On SysVInit -------------
# service vsftpd restart
13.现在,让我们进行最终的检查,确保用户登录后的根目录是我们在其主目录中创建的FTP文件夹
# ftp 192.168.56.102
Connected to 192.168.56.102 (192.168.56.102).
220 Welcome to TecMint.com FTP service.
Name (192.168.56.10:aaronkilik) : aaronkilik
331 Please specify the password.
Password:
230 Login successful.
Remote system type is UNIX.
Using binary mode to transfer files.
ftp>ls
PS:翻译的不好,英语四级刚过,见谅见谅!各位就凑合看吧,应该不影响操作吧!
网友评论