如何在ubuntu 20.04上使用vsftpd设置ftp服务器

• Z时代
• 2024-01-10
• 分类：综合

本文介绍如何在Ubuntu 20.04上安装和配置您用于在设备之间共享文件的FTP服务器。

FTP（文件传输协议）是用于将文件传输到远程网络的标准网络协议。 有几种可用于Linux的开源FTP服务器。 最着名和广泛使用的是 pureftpd ， Proftpd ， VSFTPD 。 我们将安装VSFTPD（VSFTPD守护程序），稳定，安全和快速的FTP服务器。 我们还将向您展示如何配置服务器以将用户限制到其主目录，并使用SSL/TLS加密整个传输。

虽然FTP是一个非常流行的协议，但对于更安全和更快的数据传输，您应该使用 SCP 或 SFTP 。

在Ubuntu 20.04上安装VSFTPD

VSFTPD包在Ubuntu存储库中可用。 要安装它，请执行以下命令：

sudo apt update
sudo apt install vsftpd

一旦安装过程完成，FTP服务将自动启动。 要验证它，请打印服务状态：

sudo systemctl status vsftpd

输出应显示VSFTPD服务处于活动状态和运行：

● vsftpd.service - vsftpd FTP server
     Loaded: loaded (/lib/systemd/system/vsftpd.service; enabled; vendor preset: enabled)
     Active: active (running) since Tue 2021-03-02 15:17:22 UTC; 3s ago
...

配置VSFTPD

VSFTPD服务器配置存储在/etc/vsftpd.conf文件中。

大多数服务器设置都在文件中。 有关所有可用选项，请访问 VSFTPD文档页面。

在以下部分中，我们将介绍配置安全VSFTPD安装所需的一些重要设置。

首先打开VSFTPD配置文件：

sudo nano /etc/vsftpd.conf

FTP访问

我们仅允许访问本地用户的FTP服务器。 搜索anonymous_enable和local_enable指令并验证您的配置匹配到下面的行：

/etc/vsftpd.conf

anonymous_enable=NO
local_enable=YES

启用上传

定位并取消注释write_enable指令允许文件系统更改，例如上载和删除文件：

/etc/vsftpd.conf

write_enable=YES

Chroot Jail

为了防止本地FTP用户访问其归属目录之外的文件，请从chroot_local_user取消注释：

/etc/vsftpd.conf

chroot_local_user=YES

默认情况下，出于安全原因，当启用chroot时，如果用户被锁定的目录是可写的，则VSFTPD将拒绝上载文件。

使用以下解决方案之一允许在启用chroot时上传：

方法1. 推荐的选项是保持启用的Chroot功能并配置FTP目录。 在此示例中，我们将在用户主页中创建一个ftp目录，该目录将作为chroot和可写的uploads目录用于上传文件：

/etc/vsftpd.conf

anonymous_enable=NO
local_enable=YES

方法2. 另一个选项是启用allow_writeable_chroot指令：

/etc/vsftpd.conf

allow_writeable_chroot=YES

您的用户到其主目录仅在您必须授予可写访问权限时使用此选项。

被动FTP连接

默认情况下，VSFTPD使用主动模式。 要使用被动模式，请设置端口的最小和最大范围： /etc/vsftpd.conf

pasv_min_port=30000
pasv_max_port=31000

您可以使用任何端口进行被动FTP连接。 启用被动模式时，FTP客户端在所选范围内的随机端口上打开与服务器的连接。

限制用户登录

您可以配置VSFTPD以仅允许某些用户登录。要执行此操作，请在文件末尾添加以下行：/etc/vsftpd.conf

userlist_enable=YES
userlist_file=/etc/vsftpd.user_list
userlist_deny=NO

当启用此选项时，您需要明确指定将用户名添加到/etc/vsftpd.user_list文件（每行一个用户）来指定登录的用户。

使用SSL/TLS加密传输

通过SSL/TLS加密FTP传输，您需要具有SSL证书并配置FTP服务器以使用它。

您可以使用由可信证书颁发机构签名的现有SSL证书或创建自签名证书。

如果您有指向FTP服务器的IP地址的域或子域，则可以快速生成一个免费Let’s Encrypt SSL证书。

我们将生成2048位私钥和自签名的SSL证书，它有效期为十年：

sudo openssl req -x509 -nodes -days 3650 -newkey rsa:2048 -keyout /etc/ssl/private/vsftpd.pem -out /etc/ssl/private/vsftpd.pem

私钥和证书都将保存在同一文件夹中。

一旦创建了SSL证书，打开VSFTPD配置文件：

sudo nano /etc/vsftpd.conf

找到rsa_cert_file和rsa_private_key_file指令，将它们的值更改为pam文件路径，并将ssl_enable指令设置为YES：/etc/vsftpd.conf

rsa_cert_file=/etc/ssl/private/vsftpd.pem
rsa_private_key_file=/etc/ssl/private/vsftpd.pem
ssl_enable=YES

如果指定NO，则FTP服务器将仅使用TLS进行安全连接。

重新启动VSFTPD服务

完成编辑后，VSFTPD配置文件（不包括注释）应该如下所示：/etc/vsftpd.conf

listen=NO
listen_ipv6=YES
anonymous_enable=NO
local_enable=YES
write_enable=YES
dirmessage_enable=YES
use_localtime=YES
xferlog_enable=YES
connect_from_port_20=YES
chroot_local_user=YES
secure_chroot_dir=/var/run/vsftpd/empty
pam_service_name=vsftpd
rsa_cert_file=/etc/ssl/private/vsftpd.pem
rsa_private_key_file=/etc/ssl/private/vsftpd.pem
ssl_enable=YES
user_sub_token=$USER
local_root=/home/$USER/ftp
pasv_min_port=30000
pasv_max_port=31000
userlist_enable=YES
userlist_file=/etc/vsftpd.user_list
userlist_deny=NO

保存文件并重新启动VSFTPD服务以进行更改以生效：

sudo systemctl restart vsftpd

打开防火墙

如果您正在运行 UFW防火墙，您需要允许FTP流量。

打开端口21（FTP命令端口），端口20（FTP数据端口）和30000-31000（被动端口范围），运行以下命令：

sudo ufw allow 20:21/tcp
sudo ufw allow 30000:31000/tcp

为了避免被锁定，确保端口22打开：

sudo ufw allow OpenSSH

通过禁用和重新启用UFW来重新加载UFW规则：

sudo ufw disable
sudo ufw enable

验证更改：

sudo ufw status

Status: active
To                         Action      From
--                         ------      ----
20:21/tcp                  ALLOW       Anywhere
30000:31000/tcp            ALLOW       Anywhere
OpenSSH                    ALLOW       Anywhere
20:21/tcp (v6)             ALLOW       Anywhere (v6)
30000:31000/tcp (v6)       ALLOW       Anywhere (v6)
OpenSSH (v6)               ALLOW       Anywhere (v6)

创建FTP用户

要测试FTP服务器，我们将创建一个新用户。

• 如果要授予FTP访问的用户已存在，请跳过第1步。
• 如果在配置文件中设置allow_writeable_chroot=YES，请跳过第3步。

创建一个名为newftpuser的新用户：

sudo adduser newftpuser

将用户添加到允许的FTP用户列表：

echo "newftpuser" | sudo tee -a /etc/vsftpd.user_list

创建FTP目录树并设置正确的权限：

sudo mkdir -p /home/newftpuser/ftp/upload
sudo chmod 550 /home/newftpuser/ftp
sudo chmod 750 /home/newftpuser/ftp/upload
sudo chown -R newftpuser: /home/newftpuser/ftp

如前一节所述，用户将能够将其文件上传到ftp/upload目录。

此时，您的FTP服务器功能完全正常。 您应该能够使用任何可以配置为使用TLS加密的任何FTP客户端连接到服务器，例如 filezilla 。

禁用shell访问

默认情况下，在创建用户时，如果未明确指定，用户将具有SSH访问服务器。 要禁用shell访问权限，请创建一个新的shell，将打印消息，告诉用户其帐户仅限于ftp访问。

运行以下命令以创建/bin/ftponly文件并使其可执行文件：

echo -e '#!/bin/sh\necho "This account is limited to FTP access only."' | sudo tee -a  /bin/ftponly
sudo chmod a+x /bin/ftponly

将新shell附加到/etc/shells文件中的有效shell列表：

echo "/bin/ftponly" | sudo tee -a /etc/shells

将用户shell更改为/bin/ftponly：

sudo usermod newftpuser -s /bin/ftponly

您可以使用相同的命令更改要仅提供FTP访问的所有用户的shell。

结论

我们向您展示了如何在Ubuntu 20.04系统上安装和配置安全和快速的FTP服务器。

如果您有任何问题或反馈，请随时留下评论。

以上是 如何在ubuntu 20.04上使用vsftpd设置ftp服务器 的全部内容， 来源链接： utcz.com/z/507660.html