如何在 Ubuntu 16.04 上为用户目录设置 vsftpd如何在 Ubuntu 16.04 上为用户目录设置 vsftpd如何在 Ubuntu 16.04 上为用户目录设置 vsftpd如何在 Ubuntu 16.04 上为用户目录设置 vsftpd
  • 文章
  • 正则表达式
    • 工具
  • 登录
找到的结果: {phrase} (显示: {results_count} 共: {results_count_total})
显示: {results_count} 共: {results_count_total}

加载更多搜索结果...

搜索范围
模糊匹配
搜索标题
搜索内容
发表 admin at 2025年2月28日
类别
  • 未分类
标签

如何在 Ubuntu 16.04 上为用户目录设置 vsftpd

介绍

FTP 是文件传输协议的缩写,是一种网络协议,曾经广泛用于在客户端和服务器之间移动文件。它已被更快、更安全、更方便的文件传送方式所取代。许多临时互联网用户希望使用 https 从他们的网络浏览器直接下载,而命令行用户更有可能使用安全协议,例如 scp 或 sFTP。

FTP 仍然用于支持具有非常特殊需求的遗留应用程序和工作流。如果您可以选择使用哪种协议,请考虑探索更现代的选项。但是,当您确实需要 FTP 时,vsftpd 是一个很好的选择。针对安全性、性能和稳定性进行了优化,vsftpd 提供了强大的保护,以防止在其他 FTP 服务器中发现的许多安全问题,并且是许多 Linux 发行版的默认设置。

在本教程中,我们将向您展示如何配置 vsftpd 以允许用户使用受 SSL/TLS 保护的登录凭证使用 FTP 将文件上传到他或她的主目录。

先决条件

要学习本教程,您需要:

  • 具有非根用户且具有 sudo 权限的 Ubuntu 16.04 服务器:您可以在我们的 Ubuntu 16.04 初始服务器设置指南中了解有关如何设置具有这些权限的用户的更多信息。

准备好 Ubuntu 服务器后,您就可以开始了。

第 1 步 — 安装 vsftpd

我们将从更新包列表和安装 vsftpd 守护进程开始:

  1. sudo apt-get update

  2. sudo apt-get install vsftpd

安装完成后,我们将复制配置文件,这样我们就可以从空白配置开始,将原始配置保存为备份。

  1. sudo cp /etc/vsftpd.conf /etc/vsftpd.conf.orig

有了配置的备份,我们就可以配置防火墙了。

第 2 步 — 打开防火墙

我们将检查防火墙状态以查看它是否已启用。如果是这样,我们将确保允许 FTP 流量,这样您就不会在测试时遇到防火墙规则阻止您。

  1. sudo ufw status

在这种情况下,只允许 SSH 通过:

Output
Status: active

To Action  From
-- ------  ----
OpenSSH ALLOW   Anywhere
OpenSSH (v6)   ALLOW   Anywhere (v6)

您可能有其他规则或根本没有防火墙规则。由于在这种情况下只允许 ssh 流量,我们需要为 FTP 流量添加规则。

我们需要为 FTP 打开端口 20 和 21,稍后启用 TLS 时打开端口 990,以及我们计划在配置文件中设置的被动端口范围的端口 40000-50000:

  1. sudo ufw allow 20/tcp

  2. sudo ufw allow 21/tcp

  3. sudo ufw allow 990/tcp

  4. sudo ufw allow 40000:50000/tcp

  5. sudo ufw status

现在我们的防火墙规则如下所示:

Output
Status: active

To                         Action      From
--                         ------      ----
OpenSSH                    ALLOW       Anywhere
990/tcp                    ALLOW       Anywhere
20/tcp                     ALLOW       Anywhere
21/tcp                     ALLOW       Anywhere
40000:50000/tcp            ALLOW       Anywhere
OpenSSH (v6)               ALLOW       Anywhere (v6)
20/tcp (v6)                ALLOW       Anywhere (v6)
21/tcp (v6)                ALLOW       Anywhere (v6)
990/tcp (v6)               ALLOW       Anywhere (v6)
40000:50000/tcp (v6)       ALLOW       Anywhere (v6)

安装 vsftpd 并打开必要的端口后,我们就可以进行下一步了。

第 3 步 — 准备用户目录

对于本教程,我们将创建一个用户,但您可能已经有一个需要 FTP 访问的用户。我们将按照以下说明注意保留现有用户对其数据的访问权限。即便如此,我们还是建议您从新用户开始,直到您配置并测试了您的设置。

首先,我们将添加一个测试用户:

  1. sudo adduser sammy

在出现提示时指定密码,并在其他提示中随意按 \ENTER。

当用户被限制在特定目录时,FTP 通常更安全。vsftpd 通过 chroot jails 实现这一点。当为本地用户启用 chroot 时,默认情况下他们被限制在他们的主目录中。然而,由于 vsftpd 保护目录的方式,它不能被用户写入。这对于只应通过 FTP 连接的新用户来说很好,但如果现有用户也可以通过 shell 访问,则可能需要写入其主文件夹。

在此示例中,我们不会从主目录中删除写入权限,而是创建一个 ftp 目录作为 chroot 和一个可写的 files 目录来保存实际文件。

创建 ftp 文件夹,设置其所有权,并确保使用以下命令删除写入权限:

  1. sudo mkdir /home/sammy/ftp

  2. sudo chown nobody:nogroup /home/sammy/ftp

  3. sudo chmod a-w /home/sammy/ftp

让我们验证权限:

  1. sudo ls -la /home/sammy/ftp



Output
total 8
4 dr-xr-xr-x  2 nobody nogroup 4096 Aug 24 21:29 .
4 drwxr-xr-x 3 sammy  sammy   4096 Aug 24 21:29 ..

接下来,我们将创建可以上传文件的目录并将所有权分配给用户:

  1. sudo mkdir /home/sammy/ftp/files

  2. sudo chown sammy:sammy /home/sammy/ftp/files

对 files 目录的权限检查应返回以下内容:

  1. sudo ls -la /home/sammy/ftp



Output
total 12
dr-xr-xr-x 3 nobody nogroup 4096 Aug 26 14:01 .
drwxr-xr-x 3 sammy  sammy   4096 Aug 26 13:59 ..
drwxr-xr-x 2 sammy  sammy   4096 Aug 26 14:01 files

最后,我们将添加一个 test.txt 文件以供稍后测试时使用:

  1. echo "vsftpd test file" | sudo tee /home/sammy/ftp/files/test.txt

现在我们已经保护了 ftp 目录并允许用户访问 files 目录,我们将把注意力转向配置。

第 4 步 — 配置 FTP 访问

我们计划允许具有本地 shell 帐户的单个用户连接 FTP。这两个关键设置已在 vsftpd.conf 中设置。首先打开配置文件以验证配置中的设置是否与以下设置匹配:

  1. sudo nano /etc/vsftpd.conf



. . .
# Allow anonymous FTP? (Disabled by default).
anonymous_enable=NO
#
# Uncomment this to allow local users to log in.
local_enable=YES
. . .

接下来我们需要更改文件中的一些值。为了允许用户上传文件,我们将取消注释 write_enable 设置,这样我们就可以:

. . .
write_enable=YES
. . .

我们还将取消对 chroot 的注释,以防止 FTP 连接的用户访问目录树之外的任何文件或命令。

. . .
chroot_local_user=YES
. . .

我们将添加一个 user_sub_token 以便将用户名插入我们的 local_root 目录 路径中,以便我们的配置适用于该用户以及可能添加的任何未来用户。

user_sub_token=$USER
local_root=/home/$USER/ftp

我们将限制可用于被动 FTP 的端口范围,以确保有足够的连接可用:

pasv_min_port=40000
pasv_max_port=50000

注意:我们预先打开了我们在此处为被动端口范围设置的端口。如果您更改这些值,请务必更新您的防火墙设置。

由于我们只计划根据具体情况允许 FTP 访问,因此我们将设置配置,以便仅当用户明确添加到列表中而不是默认情况下才向用户授予访问权限:

userlist_enable=YES
userlist_file=/etc/vsftpd.userlist
userlist_deny=NO

userlist_deny 切换逻辑。设置为\YES时,拒绝列表中的用户访问FTP。设置为\NO时,仅允许列表中的用户访问。完成更改后,保存并退出文件。

最后,我们将创建用户并将其添加到文件中。我们将使用 -a 标志附加到文件:

  1. echo "sammy" | sudo tee -a /etc/vsftpd.userlist

仔细检查它是否按预期添加:

cat /etc/vsftpd.userlist

Output
sammy

重新启动守护进程以加载配置更改:

  1. sudo systemctl restart vsftpd

现在我们准备好进行测试了。

第 5 步 — 测试 FTP 访问

我们已将服务器配置为仅允许用户 sammy 通过 FTP 连接。让我们确保情况确实如此。

匿名用户应该无法连接:我们禁用了匿名访问。在这里,我们将通过尝试匿名连接来测试它。如果我们做对了,匿名用户应该被拒绝权限:

  1. ftp -p 203.0.113.0



Output
Connected to 203.0.113.0.
220 (vsFTPd 3.0.3)
Name (203.0.113.0:default): anonymous
530 Permission denied.
ftp: Login failed.
ftp>

关闭连接:

  1. bye

sammy 以外的用户应该无法连接:接下来,我们将尝试以我们的 sudo 用户身份连接。他们也应该被拒绝访问,并且应该在他们被允许输入密码之前发生。

  1. ftp -p 203.0.113.0



Output
Connected to 203.0.113.0.
220 (vsFTPd 3.0.3)
Name (203.0.113.0:default): sudo_user
530 Permission denied.
ftp: Login failed.
ftp>

关闭连接:

  1. bye

sammy 应该能够连接以及读取和写入文件:在这里,我们将确保我们指定的用户_can_connect:

  1. ftp -p 203.0.113.0



Output
Connected to 203.0.113.0.
220 (vsFTPd 3.0.3)
Name (203.0.113.0:default): sammy
331 Please specify the password.
Password: your_user's_password
230 Login successful.
Remote system type is UNIX.
Using binary mode to transfer files.
ftp>

我们将切换到 files 目录,然后使用 get 命令将我们之前创建的测试文件传输到本地机器:

  1. cd files

  2. get test.txt



Output
227 Entering Passive Mode (203,0,113,0,169,12).
150 Opening BINARY mode data connection for test.txt (16 bytes).
226 Transfer complete.
16 bytes received in 0.0101 seconds (1588 bytes/s)
ftp>

我们将右转并尝试使用新名称上传文件以测试写入权限:

  1. put test.txt upload.txt



Output
227 Entering Passive Mode (203,0,113,0,164,71).
150 Ok to send data.
226 Transfer complete.
16 bytes sent in 0.000894 seconds (17897 bytes/s)

关闭连接:

  1. bye

现在我们已经测试了我们的配置,我们将采取措施进一步保护我们的服务器。

第 6 步 — 保护交易

由于 FTP 不加密传输中的任何数据,包括用户凭据,我们将启用 TTL/SSL 来提供该加密。第一步是创建用于 vsftpd 的 SSL 证书。

我们将使用 openssl 创建一个新证书并使用 -days 标志使其有效期为一年。在同一命令中,我们将添加一个 2048 位 RSA 私钥。然后通过将 -keyout 和 -out 标志设置为相同的值,私钥和证书将位于同一个文件中。

我们将使用以下命令执行此操作:

  1. sudo openssl req -x509 -nodes -days 365 -newkey rsa:2048 -keyout /etc/ssl/private/vsftpd.pem -out /etc/ssl/private/vsftpd.pem

系统将提示您提供证书的地址信息。用您自己的信息代替以下问题:

Output
Generating a 2048 bit RSA private key
............................................................................+++
...........+++
writing new private key to '/etc/ssl/private/vsftpd.pem'
-----
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) [AU]:US
State or Province Name (full name) [Some-State]:NY
Locality Name (eg, city) []:New York City
Organization Name (eg, company) [Internet Widgits Pty Ltd]:DigitalOcean
Organizational Unit Name (eg, section) []:
Common Name (e.g. server FQDN or YOUR name) []: your_IP_address
Email Address []:

有关证书标志的更多详细信息,请参阅 OpenSSL Essentials:使用 SSL 证书、私钥和 CSR

创建证书后,再次打开 vsftpd 配置文件:

  1. sudo nano /etc/vsftpd.conf

在文件底部,您应该有两行以 rsa_ 开头。将它们注释掉,使它们看起来像:

# rsa_cert_file=/etc/ssl/certs/ssl-cert-snakeoil.pem
# rsa_private_key_file=/etc/ssl/private/ssl-cert-snakeoil.key

在它们下面,添加以下指向我们刚刚创建的证书和私钥的行:

rsa_cert_file=/etc/ssl/private/vsftpd.pem
rsa_private_key_file=/etc/ssl/private/vsftpd.pem

之后,我们将强制使用 SSL,这将阻止无法处理 TLS 的客户端进行连接。这是必要的,以确保所有流量都被加密,但可能会迫使您的 FTP 用户更改客户端。将 ssl_enable 更改为 YES:

ssl_enable=YES

之后,添加以下行以明确拒绝通过 SSL 的匿名连接并要求 SSL 用于数据传输和登录:

allow_anon_ssl=NO
force_local_data_ssl=YES
force_local_logins_ssl=YES

在此之后,我们将通过添加以下行将服务器配置为使用 TLS,这是 SSL 的首选继承者:

ssl_tlsv1=YES
ssl_sslv2=NO
ssl_sslv3=NO

最后,我们将添加两个选项。首先,我们不会要求重用 SSL,因为它会破坏许多 FTP 客户端。我们将需要“高”加密密码套件,这目前意味着密钥长度等于或大于 128 位:

require_ssl_reuse=NO
ssl_ciphers=HIGH

完成后,保存并关闭文件。

现在,我们需要重新启动服务器以使更改生效:

  1. sudo systemctl restart vsftpd

此时,我们将无法再连接到不安全的命令行客户端。如果我们尝试,我们会看到类似的东西:

  1. ftp -p 203.0.113.0

  2. Connected to 203.0.113.0.

  3. 220 (vsFTPd 3.0.3)

  4. Name (203.0.113.0:default): sammy

  5. 530 Non-anonymous sessions must use encryption.

  6. ftp: Login failed.

  7. 421 Service not available, remote server has closed connection

  8. ftp>

接下来,我们将验证我们是否可以使用支持 TLS 的客户端进行连接。

第 7 步 — 使用 FileZilla 测试 TLS

大多数现代 FTP 客户端都可以配置为使用 TLS 加密。我们将演示如何使用 FileZilla 进行连接,因为它支持跨平台。请参阅其他客户端的文档。

首次打开 FileZilla 时,在文件一词下方找到站点管理器图标,该图标位于顶行最左侧。点击它:

将打开一个新窗口。点击右下角的“新建站点”按钮:

您必须使用名称或 IP 地址填写“主机”字段。在“加密”下拉菜单下,选择“需要显式 FTP over TLS”。

对于“登录类型”,选择“询问密码”。在“用户”字段中填写您创建的 FTP 用户:

第 8 步 — 禁用 Shell 访问(可选)

如果您因为客户端要求而无法使用 TLS,您可以通过禁用 FTP 用户以任何其他方式登录的能力来获得一些安全性。一种相对直接的防止方法是创建自定义 shell。这不会提供任何加密,但会限制受感染帐户对 FTP 可访问文件的访问。

首先,在 bin 目录中打开一个名为 ftponly 的文件:

  1. sudo nano /bin/ftponly

我们将添加一条消息,告诉用户他们无法登录的原因。粘贴以下内容:

#!/bin/sh
echo "This account is limited to FTP access only."

更改权限以使文件可执行:

  1. sudo chmod a+x /bin/ftponly

打开有效 shell 列表:

  1. sudo nano /etc/shells

在底部,添加:

. . .
/bin/ftponly

使用以下命令更新用户的 shell:

  1. sudo usermod sammy -s /bin/ftponly

现在尝试以 sammy 身份登录:

  1. ssh sammy@203.0.113.0

你应该看到类似的东西:

Output
This account is limited to FTP access only.
Connection to 203.0.113.0 closed.

这确认用户不能再 ssh 到服务器并且仅限于 FTP 访问。

结论

在本教程中,我们介绍了为具有本地帐户的用户设置 FTP。如果您需要使用外部身份验证源,您可能需要查看 vsftpd 对虚拟用户的支持。这通过使用 PAM(可插入身份验证模块)提供了一组丰富的选项,如果您在另一个系统(如 LDAP 或 Kerberos)中管理用户,这是一个不错的选择。

©2015-2025 艾丽卡 support@alaica.com