Tento dokument popisuje, jak nainstalovat a nakonfigurovat ProFTPD v CentOS 7.0 Server. ProFTPD je FTP démon pro unixové a unixové operační systémy. ProFTPD je vyvíjen, vydáván a distribuován pod licencí GNU Public License (GPL), která jej v zásadě staví jako svobodný software, což znamená, že jej lze prodávat, licencovat a jinak s ním manipulovat jakýmkoli požadovaným způsobem, pokud úplný a úplný zdrojový kód doprovází jakýkoli ProFTPD balíčky nebo je zpřístupněn všemi weby, které distribuují předkompilované binární soubory. Software může kdokoli a kdykoli upravit, pokud jsou všechna odvozená díla rovněž licencována pod licencí GNU Public License.
1 předběžná poznámka
Tento výukový program je založen na serveru CentOS 7.0, takže před pokračováním v tomto výukovém programu byste měli nastavit základní instalaci serveru CentOS 7.0. Systém by měl mít statickou IP adresu. V tomto návodu používám jako svou IP adresu 192.168.0.100 a jako název hostitele server1.example.com.
2 Nainstalujte ProFTPD
2.1 Instalace:
Za tímto účelem povolte EPEL následovně:
rpm -ivh http://dl.fedoraproject.org/pub/epel/7/x86_64/e/epel-release-7-2.noarch.rpm
Nejprve nainstalujeme ProFTPD a OpenSSL následovně:
yum install -y proftpd openssl proftpd-utils
Musíme spustit služby
systemctl start proftpd.service
systemctl enable proftpd.service
Navíc v CentOS 7.0 potřebujeme nakonfigurovat Firewall-cmd pro službu ftp následovně:
firewall-cmd --add-service=ftp --permanent
firewall-cmd --reload
Verzi ProFTPD můžeme zkontrolovat následovně:
proftpd -v[[email protected] ~]# proftpd -v
ProFTPD verze 1.3.5
[[email protected] ~]#
2.2 Vytváření uživatelů ProFTPD
Za tímto účelem vytvořím skupinu ftpgroup a uživatele srijan pro ProFTPD. Omezím uživatele srijan s domovským adresářem jako /ftpshare
groupadd ftpgroup
Dále přidám uživatele srijan do ftpgroup:
useradd -G ftpgroup srijan -s /sbin/nologin -d /ftpshare
passwd srijan
[[email protected] ~]# passwd srijan
Changing password for user srijan.
New password: <--ftppassword
Retype new password: <--ftppassword
passwd: all authentication tokens updated successfully.
[[email protected] ~]#
Dále musíme zajistit, aby byl adresář chráněn před odstraněním a přejmenováním jeho obsahu jakýmkoli uživatelem, takže změníme oprávnění adresáře následovně:
chmod -R 1777 /ftpshare/
Nyní jsme připraveni na připojení ProFTPD
Nyní se můžeme přihlásit pomocí uživatele srijan a hesla na ftp://192.168.0.100
3 Povolení TLS v ProFTPD
Chcete-li povolit TLS v ProFTPD, otevřete před úpravou souboru /etc/proftpd/proftpd.conf, je lepší vytvořit zálohu původního souboru a poté soubor upravit, jak je ukázáno níže:
cp /etc/proftpd.conf /etc/proftpd.conf.bak
nano /etc/proftpd.conf
Zadejte položky podle obrázku
[...]
DefaultRoot ~ !adm PassivePorts 6000 6100
[...]
#<IfDefine TLS> TLSEngine on TLSRequired on TLSRSACertificateFile /etc/pki/tls/certs/proftpd.pem TLSRSACertificateKeyFile /etc/pki/tls/certs/proftpd.pem TLSCipherSuite ALL:!ADH:!DES TLSOptions NoCertRequest TLSVerifyClient off TLSRenegotiate ctrl 3600 data 512000 required off timeout 300 TLSLog /var/log/proftpd/tls.log # <IfModule mod_tls_shmcache.c> # TLSSessionCache shm:/file=/var/run/proftpd/sesscache # </IfModule> #</IfDefine>
[...]
Přidal jsem porty 6000 a 6100 pro povolení pasivního režimu ftp, podobně povolím pasivní režim prostřednictvím služby CentOS firewalld takto:
firewall-cmd --add-port=6000-6100/tcp --permanent
firewall-cmd --reload
Stav portů můžeme zkontrolovat následovně:
firewall-cmd --list-ports
[[email protected] ~]# firewall-cmd --list-ports
6000-6100/tcp
[[email protected] ~]#
Dále musíme říci SELINUXu, aby povolil čtení/zápis souborů.
setsebool -P allow_ftpd_full_access=1
Abychom mohli používat TLS, musíme vytvořit SSL certifikát. Vytvořím jej v /etc/pki/tls/certs, SSL certifikát můžeme vygenerovat následovně:
openssl req -x509 -nodes -newkey rsa:1024 -keyout /etc/pki/tls/certs/proftpd.pem -out /etc/pki/tls/certs/proftpd.pem
[[email protected] certs]# openssl req -x509 -nodes -newkey rsa:1024 -keyout /etc/pki/tls/certs/proftpd.pem -out /etc/pki/tls/certs/proftpd.pem
Generování 1024bitového soukromého klíče RSA
..................................+++ +++
.........++++++
zápis nového soukromého klíče do '/etc/pki/tls/certs/proftpd.pem'
- ----
Budete požádáni o zadání informací, které budou začleněny
do vaší žádosti o certifikát.
Chystáte se zadat to, co se nazývá rozlišovací jméno nebo DN .
Je zde poměrně dost polí, ale některá můžete nechat prázdná
U některých polí bude výchozí hodnota,
Pokud zadáte '.', pole zůstane prázdné.
-----
Název země (2 písmenný kód) [XX]:<--DE
Název státu nebo provincie (celý název) []:<-- Hamburku
Název lokality (např. město) [Výchozí město]: <-- Luneberg
Název organizace (např. společnost) [Výchozí společnost Ltd]:<-- ISPConfig
Název organizační jednotky (např. sekce) []:<-- Vývoja
Běžný název (např. vaše jméno nebo název hostitele vašeho serveru) []:<-- server1.example.com
E-mailová adresa []:<-- [e-mail chráněný]
[[email protected] certs]#
Uveďte výše uvedené hodnoty červeně podle svého výběru, právě jsem uvedl příklad.
Nyní z bezpečnostních důvodů učiním certifikáty čitelné pouze následovně:
chmod 0440 /etc/pki/tls/certs/proftpd.pem
Nakonec restartujte službu ProFTPD následovně:
systemctl restart proftpd.service
K serveru ProFTPD se můžeme připojit pomocí softwaru Filezilla, pro připojení k serveru musíte mít na klientovi nainstalovanou Filezillu. Otevřete Filezillu a zadejte podrobnosti takto:
Podrobnosti budou
Host =192.168.0.100
Protokol =FTP
Uživatel =srijan
Port =může být prázdné, pokud jste jej nepřizpůsobili jinému portu než 21
Heslo =ftppassword (právě vytvořeno výše)
Poznámka:Protože jsme ve výše uvedeném kroku zašifrovali naše připojení, budeme používat šifrování s Vyžadovat explicitní FTP přes TLS
Pokud jste nenakonfigurovali TLS, můžete použít Použít prostý FTP
Požádá o důvěryhodnost certifikátů, stiskněte OK
Bude připojen ke sdílenému adresáři FTP pomocí TLS připojení.
4 Anonymní ftp přístup v ProFTPD
Můžeme vytvořit anonymní ftp účet v ProFTPD, stačí přidat tyto položky do konfiguračního souboru ProFTPD:
nano /etc/proftpd.conf
A přidejte tyto položky na konec souboru,
[...]
###Anonymous share##### <Anonymous ~ftp> User ftp Group ftp UserAlias anonymous ftp DirFakeUser on ftp DirFakeGroup on ftp MaxClients 10 <Directory *> <Limit WRITE> DenyAll </Limit> </Directory> </Anonymous>
Nyní potřebujeme restartovat služby:
systemctl restart proftpd.service
Nyní jej připojte přes Filezilla následovně:
Poznámka:Protože jsme ve výše uvedeném kroku zašifrovali naše připojení, budeme používat šifrování s Vyžadovat explicitní FTP přes TLS
Pokud jste nenakonfigurovali TLS, můžete použít Použít prostý FTP
Stiskněte Připojit:
Zobrazí se dotaz na důvěryhodnost certifikátů, stiskněte OK
Úspěšně jsme se připojili k serveru s anonymním uživatelem.
Gratulujeme! Nyní jsme úspěšně nakonfigurovali prostředí serveru ProFTPD v CentOS 7.0 :)
5 odkazů
- CentOS:http://www.centos.org/
- ProFTPD:http://www.proftpd.org/