介绍
FTP或文件传输协议是在本地和远程服务器之间传输文件的常用方法。 虽然FTP是过去的首选传输方法,但它以纯文本身份验证,使其不安全。
的ProFTPd是可以配置为使用SFTP协议,安全FTP替代,代替FTP一个流行的FTP服务器。 本文将告诉您如何配置ProFTPd使用此协议,以避免FTP的不安全。
我们将告诉你如何在Ubuntu 12.04 VPS上配置它,但大多数发行版应该以类似的方式运行。
安装ProFTPd
ProFTPd软件在Ubuntu的默认存储库中。 我们可以通过键入:
sudo apt-get update && sudo apt-get install proftpd
在安装过程中出现提示时选择“独立”。
安装完成后,我们需要编辑一些基本的配置变量。 使用文本编辑器以root权限打开ProFTPd配置文件:
sudo nano /etc/proftpd/proftpd.conf
更改ServerName
参数来匹配您的域名或IP地址。
ServerName "yourDomainOrIPAddress"
删除#
从前面DefaultRoot
参数来取消其注释:
DefaultRoot ~
保存并关闭文件。
使用ProFTPd配置SFTP访问
现在,我们需要将服务配置为使用SFTP。
默认文件看起来在conf.d
子目录额外的配置。 我们将在那里创建一个文件以启用SFTP的使用:
sudo nano /etc/proftpd/conf.d/sftp.conf
ProFTPd可以采用与Apache相同的格式化配置。 如果你熟悉Apache,这应该看起来很熟悉。 如果你不熟悉,很容易弄清楚。
将以下内容复制并粘贴到文件中:
<IfModule mod_sftp.c>
SFTPEngine on
Port 2222
SFTPLog /var/log/proftpd/sftp.log
# Configure both the RSA and DSA host keys, using the same host key
# files that OpenSSH uses.
SFTPHostKey /etc/ssh/ssh_host_rsa_key
SFTPHostKey /etc/ssh/ssh_host_dsa_key
SFTPAuthMethods publickey
SFTPAuthorizedUserKeys file:/etc/proftpd/authorized_keys/%u
# Enable compression
SFTPCompression delayed
</IfModule>
解构SFTP配置
让我们将文件分解成它的组件,以便我们能够更好地理解它。
整款包在IfModule
标签以确保配置选项仅应用如果SFTP模块可用(这是)。
SFTPEngine on:启用服务器的SFTP能力
端口2222:指定的SFTP接受连接的端口。 由于SSH已经在端口22上寻找连接,因此我们需要一个不同的端口。
SFTPLog:配置将要创建的日志文件的位置。
SFTPHostKey:这两行指向SSH主机密钥。 这是服务器向客户端标识自身的方式。 在大多数情况下,我们使用的行应该是正确的。
SFTPAuthMethods:这条线配置服务器只接受SSH密钥连接。
SFTPAuthorizedUserKeys:此参数名称可用于验证某人在SFTP按键的位置。 在
%u
部分将取代验证用户的名字。SFTPCompression延迟 :此设置将文件传输过程中可以利用压缩机制。
配置基于密钥的认证
ProFTPd可以使用SSH密钥对用户进行身份验证,但必须将密钥转换为使用RFC4716格式。 幸运的是,SSH套件能够本地转换这些文件。
首先创建一个目录来容纳这些文件:
sudo mkdir /etc/proftpd/authorized_keys
现在,我们需要转换当前用于登录到服务器的公钥。 如果只有一个用户,可以使用此命令:
sudo ssh-keygen -e -f ~username/.ssh/authorized_keys | sudo tee /etc/proftpd/authorized_keys/username
如果您有多个用户,并且需要分离其登录凭据,则必须使用实际的公钥而不是authorized_keys文件,如下所示:
sudo ssh-keygen -e -f /path/to/id_rsa.pub | sudo tee /etc/proftpd/authorized_keys/username_who_owns_key
您可以添加任意数量的密钥。
完成后,重新启动ProFTPd服务器:
sudo service proftpd restart
在SSH端口上禁用SFTP访问
现在我们已经通过ProFTPd启用了SFTP,我们可以在正常的SSH端口上禁用它。 这将允许我们配置用户访问并锁定每个用户可以通过ProFTPd查看和操作,而不必担心人们能够离开他们的主目录。
打开SSHD配置文件:
sudo nano /etc/ssh/sshd_config
在文件底部,您应该看到一条如下所示的线:
Subsystem sftp /usr/lib/openssh/sftp-server
在它前面放一个哈希(#)注释掉这一行:
# Subsystem sftp /usr/lib/openssh/sftp-server
保存并关闭文件。
现在,重新启动SSH服务器,以便启用更改:
sudo service ssh restart
与客户端连接
有大量的FTP客户端,我们可以用来连接我们的服务器。 好的实现SFTP功能。 我们将演示如何通过FileZilla连接,它在所有主要平台上都可用。
打开FileZilla的首选项。 在左侧菜单中找到“SFTP”部分。
单击“添加密钥文件”,然后导航到您的私钥的位置。 通常情况下,这将是~/.ssh/id_rsa
。 您可能会收到一条消息,说FileZilla会将其转换为支持的格式。
按“确定”退出首选项。
在主界面中,输入sftp://
然后在“主机”字段的域名或服务器的IP地址。 将您的用户名放在“用户名”字段中,并填写您为“端口”字段选择的端口:
单击“快速连接”,FileZilla应使用SSH密钥自动连接。
结论
您的服务器现在应配置为接受由ProFTPd管理的SFTP连接。 您可以配置软件以管理用户和受限的区域。 一般来说,由于缺乏适当的安全性,应该不惜一切代价避免FTP。