F ile T ransfer P rotocol (FTP) je stále široce používaná technologie pro přesun souborů přes počítačovou síť. Je známý tím, že je lehký, snadno se nastavuje a používá. FTP má špatnou pověst jako nezabezpečený protokol, protože přenáší hesla a data v prostém textu. Moderní FTP servery jako ProFTPD však podporují FTP přes TLS, takže připojení je šifrováno pomocí TLS/SSL. V tomto tutoriálu vám ukážu, jak nakonfigurovat ProFTPD tak, aby bylo připojení šifrováno pomocí TLS.
ProFTPd je open source aplikace FTP serveru, která vám umožňuje nastavit vlastní FTP servery na počítačích se systémem Linux, a to ještě více, pokud se jedná o dedikované servery nebo cloudové instance. Chystáme se nainstalovat nejnovější verzi ProFTPD na stroj Ubuntu 20.04 pomocí repozitářů Focal Fossa, ale mělo by to fungovat i na většině distribucí založených na Debianu. Nastavili jsme také TLS pro zabezpečení připojení FTP.
Předpoklady
- Nová instance serveru s nainstalovaným Ubuntu 20.04 ( Focal Fossa ).
- Oprávnění Sudo/root pro instalaci/konfiguraci aplikací.
Aktualizace systému
Vždy je dobré aktualizovat váš systém před instalací jakýchkoli balíčků nebo softwaru, zejména pokud pochází z externích úložišť. K tomu použijeme nástroj „apt-get“:
sudo apt-get update -y sudo apt-get upgrade -y
Restartujte server, pokud existují nějaké aktualizace jádra pro použití změn
sudo reboot now
Instalace serveru ProFTPD
Nyní, když je váš systém aktuální, můžeme pokračovat v instalaci ProFTPD.
Ve výchozím nastavení je ProFTPD k dispozici v repozitářích Focal Fossa, které můžete nainstalovat pomocí následujícího příkazu:
sudo apt-get install proftpd -y
Jakmile je instalace dokončena, můžete spustit službu proftpd a povolit, aby se automaticky spouštěla při bootování.
sudo systemctl start proftpd sudo systemctl enable proftpd
Nyní, když je služba spuštěna, můžeme zkontrolovat její stav pomocí:
sudo systemctl status proftpd
Aktivní (běžící) můžete vidět zeleně, takže lze bezpečně usoudit, že démon proftpd funguje podle očekávání.
Výchozí konfigurační soubory ProFTPD jsou dostupné v adresáři /etc/proftpd/proftpd.conf.
Obsah konfiguračního souboru můžete zobrazit spuštěním:
sudo nano /etc/proftpd/proftpd.conf
Konfigurace je rozdělena do několika částí direktiv. Pojďme se na tyto směrnice podívat.
Direktiva DefaultRoot sděluje FTP serveru, kde má ve výchozím nastavení obsluhovat soubory. Hodnota DefaultRoot může být absolutní nebo relativní cesta. Když je direktiva DefaultRoot nastavena na ~ (vlnovka), uživatelé budou omezeni na své domovské adresáře. Můžete změnit cestu k jiné složce, například:
DefaultRoot /home/Linux/Docs
Pro nastavení každého uživatele do určitého adresáře můžete použít různé direktivy. Například:
DefaultRoot /home/linux A
DefaultRoot / B
Tyto řádky znamenají, že uživatel A bude přihlášen do /home/linux adresář a uživatel B bude přihlášen do celého systému.
Direktiva ServerName se používá k definování názvu FTP serveru. Tuto direktivu lze použít v protokolech a oznámeních, takže byste ji měli nastavit na popisný název, který je pro vás smysluplný.
ServerName "Vitux"
Direktiva Port definuje číslo portu, na kterém bude FTP server naslouchat připojení. Výchozí hodnota této směrnice je 21.
Vytváření uživatelů ProFTPD
Z bezpečnostních důvodů byste měli vytvořit fiktivní uživatelský účet s omezeným oprávněním, který má přístup pouze k jejich domovskému adresáři. To je dobrá praxe, kterou je třeba dodržovat, když uživatelům umožňujete nahrávat nebo stahovat soubory na váš FTP server.
Nainstalovaná verze ProFTPD nepřichází s předem vytvořenými uživateli a možnostmi konfigurace ihned po vybalení. Za tímto účelem budeme muset přidat nového uživatele.
Vytvořme uživatele FTP linuxways se složkou /home/linuxways jako domovskou složku.
sudo useradd -m linuxways
Vytvořte nové heslo pro nového uživatele.
sudo passwd linuxways
Nyní můžete otestovat připojení FTP pomocí uživatele „linuxways“. Otevřete preferovaného FTP klienta (FileZilla, CoreFTP nebo jakýkoli jiný), vyplňte podrobnosti, jako je IP adresa, uživatelské jméno, heslo a port a klikněte na Rychlé připojení .
Jak můžete vidět, nyní můžeme přistupovat k FTP s nově vytvořeným uživatelem. Server ProFTPd běží a funguje podle očekávání.
V případě, že chcete přidat další uživatele, jednoduše je vytvořte pomocí příkazu useradd s požadovaným uživatelským jménem. V případě potřeby můžete uživateli FTP také udělit oprávnění root.
Nakonfigurujte TLS pro ProFTPD
Pro zabezpečení FTP připojení můžete použít TLS. V této sekci nakonfigurujeme ProFTPD s TLS certifikátem od Let’s Encrypt (bezplatný poskytovatel SSL) a aktivujeme nově vytvořený certifikát v konfiguračním souboru.
Nejprve nainstalujte OpenSSL
sudo apt-get install openssl -y
Nyní, když máme nainstalované OpenSSL, vygenerujeme certifikát SSL.
sudo openssl req -x509 -newkey rsa:1024 -keyout /etc/ssl/private/proftpd.key -out /etc/ssl/certs/proftpd.crt -nodes -days 365
Pojďme se rychle podívat na to, co se zde děje. Vytváříme adresář, kde se budou vytvářet SSL certifikáty (/etc/ssl), vygenerujeme žádost o certifikát a udělíme jí platnost na jeden rok (365 dní). Také specifikujeme soubor soukromého klíče a soubor certifikátu. Budete muset odpovědět na několik otázek o vaší organizaci, jako je ta níže. Stačí zadat odpověď a stisknout Enter
Výše uvedený příkaz vytvoří dva soubory:proftpd.key a proftpd.crt, které budeme potřebovat ke konfiguraci ProFTPD.
Změňte oprávnění souborů klíčů a na 600.
sudo chmod 600 /etc/ssl/private/proftpd.key sudo chmod 600 /etc/ssl/certs/proftpd.crt
Nyní musíme upravit hlavní konfigurační soubor, který se nachází na adrese /etc/proftpd/proftpd.conf a přidejte nějaké informace o našich nově vytvořených souborech certifikátů.
sudo nano /etc/proftpd/proftpd.conf
Odkomentujte sekci SSL a TLS odstraněním „#“ na začátku řádku, abyste mohli používat FTP přes SSL.
Uložte a zavřete soubor. Nyní nakonfigurujeme soubor tls.conf
sudo nano /etc/proftpd/tls.conf
Najděte a odkomentujte následující řádky odstraněním „#“ na začátku každého řádku.
Uložte a zavřete soubor. Nezapomeňte restartovat službu.
sudo systemctl restart proftpd
Pokud chcete zkontrolovat, zda vše funguje podle očekávání, použijte FTP klienta a připojte se k serveru s povoleným SSL. Z vašeho FTP klienta by se vám mělo zobrazit upozornění TLS
Je běžné, že od FTP klientů dostáváte varování TLS. Po povolení nebo OK varování, připojení SSL by mělo být navázáno a můžete pokračovat v používání FTP klienta jako obvykle.
Závěr
V tomto tutoriálu jsme nainstalovali ProFTPD na náš server Ubuntu 20.04, vytvořili uživatele pro FTP připojení a otestovali jeho funkčnost. Nakonfigurovali jsme také TLS, abychom zabezpečili FTP připojení před odposloucháváním nebo manipulací s daty při přenosu. V případě, že potřebujete více informací o možnostech konfigurace ProFTPD, zkontrolujte jejich oficiální dokumentaci.