如何配置ProFTPd使用SFTP而不是FTP

介绍

FTP或文件传输协议是在本地和远程服务器之间传输文件的常用方法。 虽然FTP是过去的首选传输方法，但它以纯文本身份验证，使其不安全。

的ProFTPd是可以配置为使用SFTP协议，安全FTP替代，代替FTP一个流行的FTP服务器。 本文将告诉您如何配置ProFTPd使用此协议，以避免FTP的不安全。

我们将告诉你如何在Ubuntu 12.04 VPS上配置它，但大多数发行版应该以类似的方式运行。

安装ProFTPd

ProFTPd软件在Ubuntu的默认存储库中。 我们可以通过键入：

sudo apt-get update && sudo apt-get install proftpd

在安装过程中出现提示时选择“独立”。

安装完成后，我们需要编辑一些基本的配置变量。 使用文本编辑器以root权限打开ProFTPd配置文件：

sudo nano /etc/proftpd/proftpd.conf

更改ServerName参数来匹配您的域名或IP地址。

ServerName      "yourDomainOrIPAddress"

删除#从前面DefaultRoot参数来取消其注释：

DefaultRoot     ~

保存并关闭文件。

使用ProFTPd配置SFTP访问

现在，我们需要将服务配置为使用SFTP。

默认文件看起来在conf.d子目录额外的配置。 我们将在那里创建一个文件以启用SFTP的使用：

sudo nano /etc/proftpd/conf.d/sftp.conf

ProFTPd可以采用与Apache相同的格式化配置。 如果你熟悉Apache，这应该看起来很熟悉。 如果你不熟悉，很容易弄清楚。

将以下内容复制并粘贴到文件中：

<IfModule mod_sftp.c>

        SFTPEngine on
        Port 2222
        SFTPLog /var/log/proftpd/sftp.log

        # Configure both the RSA and DSA host keys, using the same host key
        # files that OpenSSH uses.
        SFTPHostKey /etc/ssh/ssh_host_rsa_key
        SFTPHostKey /etc/ssh/ssh_host_dsa_key

        SFTPAuthMethods publickey

        SFTPAuthorizedUserKeys file:/etc/proftpd/authorized_keys/%u

        # Enable compression
        SFTPCompression delayed

</IfModule>

解构SFTP配置

让我们将文件分解成它的组件，以便我们能够更好地理解它。

整款包在IfModule标签以确保配置选项仅应用如果SFTP模块可用（这是）。

• SFTPEngine on：启用服务器的SFTP能力

• 端口2222：指定的SFTP接受连接的端口。 由于SSH已经在端口22上寻找连接，因此我们需要一个不同的端口。

• SFTPLog：配置将要创建的日志文件的位置。

• SFTPHostKey：这两行指向SSH主机密钥。 这是服务器向客户端标识自身的方式。 在大多数情况下，我们使用的行应该是正确的。

• SFTPAuthMethods：这条线配置服务器只接受SSH密钥连接。

• SFTPAuthorizedUserKeys：此参数名称可用于验证某人在SFTP按键的位置。 在%u部分将取代验证用户的名字。

• SFTPCompression延迟 ：此设置将文件传输过程中可以利用压缩机制。

配置基于密钥的认证

ProFTPd可以使用SSH密钥对用户进行身份验证，但必须将密钥转换为使用RFC4716格式。 幸运的是，SSH套件能够本地转换这些文件。

首先创建一个目录来容纳这些文件：

sudo mkdir /etc/proftpd/authorized_keys

现在，我们需要转换当前用于登录到服务器的公钥。 如果只有一个用户，可以使用此命令：

sudo ssh-keygen -e -f ~username/.ssh/authorized_keys | sudo tee /etc/proftpd/authorized_keys/username

如果您有多个用户，并且需要分离其登录凭据，则必须使用实际的公钥而不是authorized_keys文件，如下所示：

sudo ssh-keygen -e -f /path/to/id_rsa.pub | sudo tee /etc/proftpd/authorized_keys/username_who_owns_key

您可以添加任意数量的密钥。

完成后，重新启动ProFTPd服务器：

sudo service proftpd restart

在SSH端口上禁用SFTP访问

现在我们已经通过ProFTPd启用了SFTP，我们可以在正常的SSH端口上禁用它。 这将允许我们配置用户访问并锁定每个用户可以通过ProFTPd查看和操作，而不必担心人们能够离开他们的主目录。

打开SSHD配置文件：

sudo nano /etc/ssh/sshd_config

在文件底部，您应该看到一条如下所示的线：

Subsystem sftp /usr/lib/openssh/sftp-server

在它前面放一个哈希（＃）注释掉这一行：

# Subsystem sftp /usr/lib/openssh/sftp-server

保存并关闭文件。

现在，重新启动SSH服务器，以便启用更改：

sudo service ssh restart

与客户端连接

有大量的FTP客户端，我们可以用来连接我们的服务器。 好的实现SFTP功能。 我们将演示如何通过FileZilla连接，它在所有主要平台上都可用。

打开FileZilla的首选项。 在左侧菜单中找到“SFTP”部分。

单击“添加密钥文件”，然后导航到您的私钥的位置。 通常情况下，这将是~/.ssh/id_rsa 。 您可能会收到一条消息，说FileZilla会将其转换为支持的格式。

按“确定”退出首选项。

在主界面中，输入sftp://然后在“主机”字段的域名或服务器的IP地址。 将您的用户名放在“用户名”字段中，并填写您为“端口”字段选择的端口：

单击“快速连接”，FileZilla应使用SSH密钥自动连接。

结论

您的服务器现在应配置为接受由ProFTPd管理的SFTP连接。 您可以配置软件以管理用户和受限的区域。 一般来说，由于缺乏适当的安全性，应该不惜一切代价避免FTP。