建议阅读: 如何在CentOS 7中安装和安全FTP服务器
在本教程中,我们将展示如何在 Ubuntu中安装,配置和保护 FTP服务器(完全“ 非常安全FTP守护进程 ”中的 VSFTPD ),以对FTP漏洞具有强大的安全性。第1步:在Ubuntu中安装VsFTP服务器
首先,我们需要更新系统包源列表,然后安装 VSFTPD二进制包,如下所示:$ sudo apt-get update $ sudo apt-get install vsftpd2.安装完成后,服务将最初禁用,因此,我们需要手动启动它的同时,并使其从下一次系统引导自动启动:
------------- On SystemD ------------- # systemctl start vsftpd # systemctl enable vsftpd ------------- On SysVInit ------------- # service vsftpd start # chkconfig --level 35 vsftpd on3.接下来,如果服务器上启用了 UFW防火墙 (默认情况下未启用),则必须打开FTP守护程序正在监听的端口 21和 20 ,以便允许从远程计算机访问FTP服务,然后添加新防火墙规则如下:
$ sudo ufw allow 20/tcp $ sudo ufw allow 21/tcp $ sudo ufw status
第2步:在Ubuntu中配置和保护VsFTP服务器
现在让我们执行一些配置来设置和保护我们的FTP服务器,首先我们将创建原始配置文件 /etc/vsftpd/vsftpd.conf的备份, 如下所示:$ sudo cp /etc/vsftpd.conf /etc/vsftpd.conf.orig接下来,让我们打开 vsftpd配置文件。
$ sudo vi /etc/vsftpd.conf OR $ sudo nano /etc/vsftpd.conf使用这些值添加/修改以下选项:
anonymous_enable=NO # disable anonymous login local_enable=YES # permit local logins write_enable=YES # enable FTP commands which change the filesystem local_umask=022 # value of umask for file creation for local users dirmessage_enable=YES # enable showing of messages when users first enter a new directory xferlog_enable=YES # a log file will be maintained detailing uploads and downloads connect_from_port_20=YES # use port 20 (ftp-data) on the server machine for PORT style connections xferlog_std_format=YES # keep standard log file format listen=NO # prevent vsftpd from running in standalone mode listen_ipv6=YES # vsftpd will listen on an IPv6 socket instead of an IPv4 one pam_service_name=vsftpd # name of the PAM service vsftpd will use userlist_enable=YES # enable vsftpd to load a list of usernames tcp_wrappers=YES # turn on tcp wrappers5.现在,配置 VSFTPD允许/拒绝基于用户列表文件 /etc/vsftpd.userlist对用户的FTP访问。 请注意,默认情况下,如果
userlist_enable=YES
则在
userlist_file = / etc / vsftpd.userlist中列出的用户将拒绝用户
userlist_deny=YES
选项的登录访问。 但是,
userlist_deny=NO
选项会
userlist_deny=NO
默认设置的含义,因此只有在
userlist_file = / etc / vsftpd.userlist中明确列出用户名的用户才能登录FTP服务器。
userlist_enable=YES # vsftpd will load a list of usernames, from the filename given by userlist_file userlist_file=/etc/vsftpd.userlist # stores usernames. userlist_deny=NO重要 :当用户登录到FTP服务器时,他们被放置在chroot监狱中,这是本地根目录,它将仅充当其FTP会话的主目录。 接下来,我们将看看如何设置chroot jail(本地根)目录的两种可能的场景,如下所述。 6.此时,我们添加/修改/取消注释以下两个选项, 将FTP用户限制到其主目录 。
chroot_local_user=YES allow_writeable_chroot=YES选项
chroot_local_user=YES
重要意味着本地用户将被放置在chroot jail中,默认情况下它们的主目录在登录后。 并且我们必须明白VSFTPD不允许chroot jail目录是可写的,默认情况下出于安全原因,但是,我们可以使用
allow_writeable_chroot = YES选项禁用此设置。 保存文件并将其关闭。然后我们必须重新启动VSFTPD服务,以使上面的更改生效:
------------- On SystemD ------------- # systemctl restart vsftpd ------------- On SysVInit ------------- # service vsftpd restart
第3步:在Ubuntu中测试VsFTP服务器
7.现在我们将通过使用 useradd命令创建FTP用户来测试FTP服务器,如下所示:$ sudo useradd -m -c "Aaron Kili, Contributor" -s /bin/bash aaronkilik $ sudo passwd aaronkilik然后,我们必须使用 echo命令和 tee命令在 /etc/vsftpd.userlist文件中 显式地列出用户 aaronkilik ,如下所示:
$ echo "aaronkilik" | sudo tee -a /etc/vsftpd.userlist $ cat /etc/vsftpd.userlist现在是时候测试我们的上述配置是否按要求工作。我们将开始测试匿名登录;我们可以从下面的输出中清楚地看到,不允许在FTP服务器上进行匿名登录:
# ftp 192.168.56.102 Connected to 192.168.56.102 (192.168.56.102). 220 Welcome to youcl.com FTP service. Name (192.168.56.102:aaronkilik) : anonymous 530 Permission denied. Login failed. ftp> bye 221 Goodbye.9.接下来,让我们测试未在文件 /etc/vsftpd.userlist中列出的用户 是否将被授予登录权限,这从以下输出中不是真实的:
# ftp 192.168.56.102 Connected to 192.168.56.102 (192.168.56.102). 220 Welcome to youcl.com FTP service. Name (192.168.56.10:root) : user1 530 Permission denied. Login failed. ftp> bye 221 Goodbye.10.现在我们将执行最终测试,以确定在 /etc/vsftpd.userlist文件中列出的用户是否实际上在登录后放置在他/她的主目录中。这是真的从下面的输出:
# ftp 192.168.56.102 Connected to 192.168.56.102 (192.168.56.102). 220 Welcome to youcl.com FTP service. Name (192.168.56.102:aaronkilik) : aaronkilik 331 Please specify the password. Password: 230 Login successful. Remote system type is UNIX. Using binary mode to transfer files. ftp> ls
在Ubuntu中验证FTP登录
allow_writeable_chroot=YES
可能是如此危险,它可能有安全隐患,特别是如果用户有上传权限,或更多,shell访问。只有使用它,如果你完全知道你在做什么。 我们应该注意,这些安全隐患不是特定于VSFTPD,它们也可以影响所有其他FTP守护程序,提供将本地用户放在chroot监狱。 因为这个原因,在下面的部分,我们将解释一个更安全的方法,为用户设置不同的不可写的本地根目录。
第4步:在Ubuntu中配置FTP用户主目录
11.现在,再次打开VSFTPD配置文件。$ sudo vi /etc/vsftpd.conf OR $ sudo nano /etc/vsftpd.conf并使用
#
字符注释掉不安全的选项,如下所示:
#allow_writeable_chroot=YES接下来,为用户创建备用本地根目录( aaronkilik ,yours可能不相同),并通过禁用对此目录的所有其他用户的写入权限来设置所需的权限:
$ sudo mkdir /home/aaronkilik/ftp $ sudo chown nobody:nogroup /home/aaronkilik/ftp $ sudo chmod a-w /home/aaronkilik/ftp12.然后,在本地根下创建一个目录,并具有用户将存储其文件的适当权限:
$ sudo mkdir /home/aaronkilik/ftp/files $ sudo chown -R aaronkilk:aaronkilik /home/aaronkilik/ftp/files $ sudo chmod -R 0770 /home/aaronkilik/ftp/files/然后,在VSFTPD配置文件中添加/修改以下选项及其相应的值:
user_sub_token=$USER # inserts the username in the local root directory local_root=/home/$USER/ftp # defines any users local root directory保存文件并将其关闭。并使用最近的设置重新启动VSFTPD服务:
------------- On SystemD ------------- # systemctl restart vsftpd ------------- On SysVInit ------------- # service vsftpd restart现在,让我们执行最终检查,并确保用户的本地根目录是我们在其主目录中创建的FTP目录。
# ftp 192.168.56.102 Connected to 192.168.56.102 (192.168.56.102). 220 Welcome to youcl.com FTP service. Name (192.168.56.10:aaronkilik) : aaronkilik 331 Please specify the password. Password: 230 Login successful. Remote system type is UNIX. Using binary mode to transfer files. ftp> ls
FTP用户主目录登录