如何配置ProFTPd使用SFTP而不是FTP

介绍

FTP或文件传输协议是在本地和远程服务器之间传输文件的常用方法。 虽然FTP是过去的首选传输方法,但它以纯文本身份验证,使其不安全。

的ProFTPd是可以配置为使用SFTP协议,安全FTP替代,代替FTP一个流行的FTP服务器。 本文将告诉您如何配置ProFTPd使用此协议,以避免FTP的不安全。

我们将告诉你如何在Ubuntu 12.04 VPS上配置它,但大多数发行版应该以类似的方式运行。

安装ProFTPd

ProFTPd软件在Ubuntu的默认存储库中。 我们可以通过键入:

sudo apt-get update && sudo apt-get install proftpd

在安装过程中出现提示时选择“独立”。

安装完成后,我们需要编辑一些基本的配置变量。 使用文本编辑器以root权限打开ProFTPd配置文件:

sudo nano /etc/proftpd/proftpd.conf

更改ServerName参数来匹配您的域名或IP地址。

ServerName      "yourDomainOrIPAddress"

删除#从前面DefaultRoot参数来取消其注释:

DefaultRoot     ~

保存并关闭文件。

使用ProFTPd配置SFTP访问

现在,我们需要将服务配置为使用SFTP。

默认文件看起来在conf.d子目录额外的配置。 我们将在那里创建一个文件以启用SFTP的使用:

sudo nano /etc/proftpd/conf.d/sftp.conf

ProFTPd可以采用与Apache相同的格式化配置。 如果你熟悉Apache,这应该看起来很熟悉。 如果你不熟悉,很容易弄清楚。

将以下内容复制并粘贴到文件中:

<IfModule mod_sftp.c>

        SFTPEngine on
        Port 2222
        SFTPLog /var/log/proftpd/sftp.log

        # Configure both the RSA and DSA host keys, using the same host key
        # files that OpenSSH uses.
        SFTPHostKey /etc/ssh/ssh_host_rsa_key
        SFTPHostKey /etc/ssh/ssh_host_dsa_key

        SFTPAuthMethods publickey

        SFTPAuthorizedUserKeys file:/etc/proftpd/authorized_keys/%u

        # Enable compression
        SFTPCompression delayed

</IfModule>

解构SFTP配置

让我们将文件分解成它的组件,以便我们能够更好地理解它。

整款包在IfModule标签以确保配置选项仅应用如果SFTP模块可用(这是)。

  • SFTPEngine on:启用服务器的SFTP能力

  • 端口2222:指定的SFTP接受连接的端口。 由于SSH已经在端口22上寻找连接,因此我们需要一个不同的端口。

  • SFTPLog:配置将要创建的日志文件的位置。

  • SFTPHostKey:这两行指向SSH主机密钥。 这是服务器向客户端标识自身的方式。 在大多数情况下,我们使用的行应该是正确的。

  • SFTPAuthMethods:这条线配置服务器接受SSH密钥连接。

  • SFTPAuthorizedUserKeys:此参数名称可用于验证某人在SFTP按键的位置。 %u部分将取代验证用户的名字。

  • SFTPCompression延迟 :此设置将文件传输过程中可以利用压缩机制。

配置基于密钥的认证

ProFTPd可以使用SSH密钥对用户进行身份验证,但必须将密钥转换为使用RFC4716格式。 幸运的是,SSH套件能够本地转换这些文件。

首先创建一个目录来容纳这些文件:

sudo mkdir /etc/proftpd/authorized_keys

现在,我们需要转换当前用于登录到服务器的公钥。 如果只有一个用户,可以使用此命令:

sudo ssh-keygen -e -f ~username/.ssh/authorized_keys | sudo tee /etc/proftpd/authorized_keys/username

如果您有多个用户,并且需要分离其登录凭据,则必须使用实际的公钥而不是authorized_keys文件,如下所示:

sudo ssh-keygen -e -f /path/to/id_rsa.pub | sudo tee /etc/proftpd/authorized_keys/username_who_owns_key

您可以添加任意数量的密钥。

完成后,重新启动ProFTPd服务器:

sudo service proftpd restart

在SSH端口上禁用SFTP访问

现在我们已经通过ProFTPd启用了SFTP,我们可以在正常的SSH端口上禁用它。 这将允许我们配置用户访问并锁定每个用户可以通过ProFTPd查看和操作,而不必担心人们能够离开他们的主目录。

打开SSHD配置文件:

sudo nano /etc/ssh/sshd_config

在文件底部,您应该看到一条如下所示的线:

Subsystem sftp /usr/lib/openssh/sftp-server

在它前面放一个哈希(#)注释掉这一行:

# Subsystem sftp /usr/lib/openssh/sftp-server

保存并关闭文件。

现在,重新启动SSH服务器,以便启用更改:

sudo service ssh restart

与客户端连接

有大量的FTP客户端,我们可以用来连接我们的服务器。 好的实现SFTP功能。 我们将演示如何通过FileZilla连接,它在所有主要平台上都可用。

打开FileZilla的首选项。 在左侧菜单中找到“SFTP”部分。

FileZilla SFTP菜单

单击“添加密钥文件”,然后导航到您的私钥的位置。 通常情况下,这将是~/.ssh/id_rsa 您可能会收到一条消息,说FileZilla会将其转换为支持的格式。

按“确定”退出首选项。

在主界面中,输入sftp://然后在“主机”字段的域名或服务器的IP地址。 将您的用户名放在“用户名”字段中,并填写您为“端口”字段选择的端口:

FileZilla SFTP信息

单击“快速连接”,FileZilla应使用SSH密钥自动连接。

结论

您的服务器现在应配置为接受由ProFTPd管理的SFTP连接。 您可以配置软件以管理用户和受限的区域。 一般来说,由于缺乏适当的安全性,应该不惜一切代价避免FTP。

作者:Justin Ellingwood
赞(52) 打赏
未经允许不得转载:优客志 » 系统运维
分享到:

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

微信扫一扫打赏