FTP (File Transfer Protocol) je síťový protokol klient-server, který uživatelům umožňuje přenášet soubory do a ze vzdáleného počítače.
Pro Linux je k dispozici mnoho open-source FTP serverů. Nejoblíbenější a běžně používané servery jsou PureFTPd, ProFTPD a vsftpd.
V tomto tutoriálu nainstalujeme vsftpd (Very Secure Ftp Daemon) na CentOS 8. Je to stabilní, bezpečný a rychlý FTP server. Ukážeme vám také, jak nakonfigurovat vsftpd, aby omezil uživatele na jejich domovský adresář a šifroval přenos dat pomocí SSL/TLS.
Instalace vsftpd na CentOS 8 #
Balíček vsftpd je dostupný ve výchozích úložištích CentOS. Chcete-li jej nainstalovat, spusťte následující příkaz jako root nebo uživatel s právy sudo:
sudo dnf install vsftpdJakmile je balíček nainstalován, spusťte démona vsftpd a povolte, aby se automaticky spouštěl při spouštění:
sudo systemctl enable vsftpd --nowOvěřte stav služby:
sudo systemctl status vsftpdVýstup bude vypadat nějak takto, což ukazuje, že služba vsftpd je aktivní a běží:
● vsftpd.service - Vsftpd ftp daemon
Loaded: loaded (/usr/lib/systemd/system/vsftpd.service; enabled; vendor preset: disabled)
Active: active (running) since Mon 2020-03-30 15:16:51 EDT; 10s ago
Process: 2880 ExecStart=/usr/sbin/vsftpd /etc/vsftpd/vsftpd.conf (code=exited, status=0/SUCCESS)
...
Konfigurace vsftpd #
Nastavení serveru vsftpd jsou uložena v /etc/vsftpd/vsftpd.conf konfigurační soubor. Většina nastavení je dobře zdokumentována uvnitř souboru. Pro všechny dostupné možnosti navštivte oficiální stránku vsftpd.
V následujících částech projdeme některá důležitá nastavení potřebná pro konfiguraci zabezpečené instalace vsftpd.
Začněte otevřením konfiguračního souboru vsftpd:
sudo nano /etc/vsftpd/vsftpd.conf1. FTP přístup #
Přístup k FTP serveru umožníme pouze místním uživatelům, vyhledejte anonymous_enable a local_enable direktivy a ujistěte se, že vaše konfigurace odpovídá řádkům níže:
anonymous_enable=NO
local_enable=YES
2. Povolení nahrávání #
Odkomentujte write_enable nastavení umožňující změny v souborovém systému, jako je nahrávání a mazání souborů.
write_enable=YES
3. Chroot Jail #
Zabraňte uživatelům FTP v přístupu k souborům mimo jejich domovské adresáře zrušením komentáře u chroot směrnice.
chroot_local_user=YES
Ve výchozím nastavení, když je povolen chroot, vsftpd odmítne nahrát soubory, pokud do adresáře, ve kterém jsou uživatelé uzamčeni, lze zapisovat. To má zabránit bezpečnostní zranitelnosti.
Použijte jednu z níže uvedených metod k povolení nahrávání, když je povolen chroot.
-
Metoda 1. - Doporučený způsob, jak povolit nahrávání, je ponechat zapnutý chroot a nakonfigurovat FTP adresáře. V tomto tutoriálu vytvoříme
/etc/vsftpd/vsftpd.confftpadresář uvnitř uživatelského domova, který bude sloužit jako chroot a zapisovatelnýuploadsadresář pro nahrávání souborů.user_sub_token=$USER local_root=/home/$USER/ftp -
Metoda 2 - Další možností je přidat následující direktivu do konfiguračního souboru vsftpd. Tuto možnost použijte, pokud musíte svému uživateli udělit přístup k zápisu do jeho domovského adresáře.
/etc/vsftpd/vsftpd.confallow_writeable_chroot=YES
4. Pasivní připojení FTP #
vsftpd může použít jakýkoli port pro pasivní FTP připojení. Určíme minimální a maximální rozsah portů a později rozsah otevřeme v našem firewallu.
Přidejte do konfiguračního souboru následující řádky:
/etc/vsftpd/vsftpd.confpasv_min_port=30000
pasv_max_port=31000
5. Omezení přihlášení uživatele #
Chcete-li povolit přihlášení k serveru FTP pouze některým uživatelům, přidejte následující řádky za userlist_enable=YES řádek:
userlist_file=/etc/vsftpd/user_list
userlist_deny=NO
Když je tato možnost povolena, musíte explicitně určit, kteří uživatelé se mohou přihlásit přidáním uživatelských jmen do /etc/vsftpd/user_list soubor (jeden uživatel na řádek).
6. Zabezpečení přenosů pomocí SSL/TLS #
Abyste mohli šifrovat přenosy FTP pomocí SSL/TLS, musíte mít certifikát SSL a nakonfigurovat server FTP, aby jej používal.
Můžete použít existující certifikát SSL podepsaný důvěryhodnou certifikační autoritou nebo vytvořit certifikát s vlastním podpisem.
Pokud máte doménu nebo subdoménu směřující na IP adresu FTP serveru, můžete si snadno vygenerovat bezplatný certifikát Let's EncryptSSL.
V tomto tutoriálu vygenerujeme certifikát SSL s vlastním podpisem pomocí openssl nástroj.
Následující příkaz vytvoří 2048bitový soukromý klíč a certifikát s vlastním podpisem platný po dobu 10 let. Soukromý klíč i certifikát budou uloženy ve stejném souboru:
sudo openssl req -x509 -nodes -days 3650 -newkey rsa:2048 -keyout /etc/vsftpd/vsftpd.pem -out /etc/vsftpd/vsftpd.pemPo vytvoření certifikátu SSL otevřete konfigurační soubor vsftpd:
sudo nano /etc/vsftpd/vsftpd.conf
Najděte rsa_cert_file a rsa_private_key_file direktivy, změňte jejich hodnoty na pam cestu k souboru a nastavte ssl_enable direktivu YES :
rsa_cert_file=/etc/vsftpd/vsftpd.pem
rsa_private_key_file=/etc/vsftpd/vsftpd.pem
ssl_enable=YES
Pokud není uvedeno jinak, FTP server bude používat pouze TLS k vytvoření zabezpečeného připojení.
Restartujte službu vsftpd #
Po dokončení úprav by konfigurační soubor vsftpd (kromě komentářů) měl vypadat nějak takto:
/etc/vsftpd/vsftpd.confanonymous_enable=NO
local_enable=YES
write_enable=YES
local_umask=022
dirmessage_enable=YES
xferlog_enable=YES
connect_from_port_20=YES
xferlog_std_format=YES
chroot_local_user=YES
listen=NO
listen_ipv6=YES
pam_service_name=vsftpd
userlist_enable=YES
userlist_file=/etc/vsftpd/user_list
userlist_deny=NO
tcp_wrappers=YES
user_sub_token=$USER
local_root=/home/$USER/ftp
pasv_min_port=30000
pasv_max_port=31000
rsa_cert_file=/etc/vsftpd/vsftpd.pem
rsa_private_key_file=/etc/vsftpd/vsftpd.pem
ssl_enable=YES
Uložte soubor a restartujte službu vsftpd, aby se změny projevily:
sudo systemctl restart vsftpdOtevření brány firewall #
how-to-configure-and-manage-firewall-on-centos-8Pokud používáte, budete muset povolit provoz FTP.
Chcete-li otevřít port 21 (příkazový port FTP), port 20 (datový port FTP) a 30000-31000 (Rozsah pasivních portů), na vašem firewallu zadejte následující příkazy:
sudo firewall-cmd --permanent --add-port=20-21/tcpsudo firewall-cmd --permanent --add-port=30000-31000/tcp
Znovu načtěte pravidla brány firewall zadáním:
firewall-cmd --reloadVytvoření uživatele FTP #
Pro testování FTP serveru vytvoříme nového uživatele.
- Pokud již máte uživatele, kterému chcete udělit přístup FTP, přeskočte 1. krok.
- Pokud nastavíte
allow_writeable_chroot=YESv konfiguračním souboru přeskočte 3. krok.
-
Vytvořte nového uživatele s názvem
newftpuser:sudo adduser newftpuserDále budete muset nastavit uživatelské heslo:
sudo passwd newftpuser -
Přidejte uživatele do seznamu povolených uživatelů FTP:
echo "newftpuser" | sudo tee -a /etc/vsftpd/user_list -
Vytvořte strom adresářů FTP a nastavte správná oprávnění:
sudo mkdir -p /home/newftpuser/ftp/uploadsudo chmod 550 /home/newftpuser/ftpsudo chmod 750 /home/newftpuser/ftp/uploadsudo chown -R newftpuser: /home/newftpuser/ftpJak bylo uvedeno v předchozí části, uživatel bude moci nahrávat své soubory do
ftp/uploadadresář.
V tuto chvíli je váš FTP server plně funkční a měli byste být schopni se k němu připojit pomocí libovolného FTP klienta, který může být nakonfigurován pro použití TLS šifrování, jako je FileZilla.
Zakázání přístupu k prostředí #
Ve výchozím nastavení bude mít uživatel při vytváření uživatele, pokud není výslovně uveden, přístup k serveru pomocí SSH.
Chcete-li zakázat přístup k shellu, vytvoříme nový shell, který jednoduše vytiskne zprávu sdělující uživateli, že jeho účet je omezen pouze na FTP přístup.
Spuštěním následujících příkazů vytvořte /bin/ftponly shell a udělejte jej spustitelným:
echo -e '#!/bin/sh\necho "This account is limited to FTP access only."' | sudo tee -a /bin/ftponlysudo chmod a+x /bin/ftponly
Přidejte nový shell do seznamu platných shellů v /etc/shells soubor:
echo "/bin/ftponly" | sudo tee -a /etc/shells
Změňte uživatelské prostředí na /bin/ftponly :
sudo usermod newftpuser -s /bin/ftponlyPoužijte stejný příkaz ke změně shellu pro ostatní uživatele, kterým chcete udělit pouze FTP přístup.