File Transfer Protocol (FTP) je TCP protokol za preuzimanje datoteka između računara. U prošlosti se koristio i za upload, ali kako ta metoda ne koristi enkripciju, korisničke vjerodajnice kao i podaci koji se prenose u čistom obliku i lako se presreću. Dakle, ako ovdje tražite način da sigurno otpremite i preuzmete datoteke, umjesto toga pogledajte odjeljak o OpenSSH-u u udaljenoj administraciji.
FTP radi na klijent/server modelu. Serverska komponenta se zove FTP demon. Kontinuirano osluškuje FTP zahtjeve udaljenih klijenata. Kada se primi zahtjev, on upravlja prijavom i postavlja vezu. Za vrijeme trajanja sesije izvršava bilo koju naredbu koju šalje FTP klijent.
Pristupom FTP serveru može se upravljati na dva načina:
U anonimnom načinu rada, udaljeni klijenti mogu pristupiti FTP serveru korištenjem zadanog korisničkog naloga koji se zove "anonymous" ili "ftp" i slanjem adrese e-pošte kao lozinke. U Authenticated modu korisnik mora imati račun i lozinku. Ovaj potonji izbor je vrlo nesiguran i ne bi se trebao koristiti osim u posebnim okolnostima. Ako tražite siguran prijenos datoteka, pogledajte SFTP u odjeljku OpenSSH-Server. Pristup korisnika direktorijima i datotekama FTP servera ovisi o dozvolama definiranim za račun koji se koristi prilikom prijave. Kao opšte pravilo, FTP demon će sakriti korijenski direktorij FTP servera i promijeniti ga u FTP Home direktorij. Ovo skriva ostatak sistema datoteka od udaljenih sesija.
vsftpd - Instalacija FTP servera
vsftpd je FTP demon dostupan u Ubuntu-u. Lako se instalira, postavlja i održava. Da biste instalirali vsftpd, možete pokrenuti sljedeću naredbu:
sudo apt install vsftpd
Anonimna FTP konfiguracija
Podrazumevano vsftpd nije konfigurisan da dozvoli anonimno preuzimanje. Ako želite da omogućite anonimno preuzimanje, uredite /etc/vsftpd.conf promjenom:
anonymous_enable=Da
Tokom instalacije kreira se ftp korisnik sa kućnim direktorijumom /srv/ftp. Ovo je zadani FTP direktorij.
Ako želite promijeniti ovu lokaciju, na primjer u /srv/files/ftp, jednostavno kreirajte direktorij na drugoj lokaciji i promijenite početni direktorij ftp korisnika:
sudo mkdir /srv/files/ftp sudo usermod -d /srv/files/ftp ftp
Nakon što izvršite promjenu, ponovo pokrenite vsftpd:
Konačno, kopirajte sve fajlove i direktorijume koje želite da učinite dostupnim putem anonimnog FTP-a na /srv/files/ftp ili /srv/ftp ako želite da koristite podrazumevani.
FTP konfiguracija s provjerom autentičnosti korisnika
Podrazumevano je vsftpd konfigurisan da autentifikuje korisnike sistema i dozvoli im preuzimanje datoteka. Ako želite da korisnici mogu učitavati datoteke, uredite /etc/vsftpd.conf :
write_enable=DA
Sada ponovo pokrenite vsftpd:
sudo systemctl restart vsftpd.service
Sada kada se korisnici sistema prijave na FTP, počeće u svojim kućnim direktorijumima gde mogu da preuzimaju, postavljaju, kreiraju direktorijume, itd.
Slično, prema zadanim postavkama, anonimnim korisnicima nije dozvoljeno da uploaduju datoteke na FTP server. Da promijenite ovu postavku, trebali biste dekomentirati sljedeći red i ponovo pokrenuti vsftpd :
anon_upload_enable=DA
Omogućavanje anonimnog FTP otpremanja može predstavljati ekstremni sigurnosni rizik. Najbolje je ne omogućiti anonimno slanje na servere kojima se pristupa direktno sa Interneta.
Konfiguracijski fajl se sastoji od mnogih konfiguracijskih parametara. Informacije o svakom parametru dostupne su u konfiguracijskoj datoteci. Alternativno, možete pogledati man stranicu, man 5 vsftpd.conf za detalje o svakom parametru.
Osiguravanje FTP-a
Postoje opcije u /etc/vsftpd.conf koje pomažu da vsftpd bude sigurniji. Na primjer, korisnici mogu biti ograničeni na svoje matične direktorije dekomentiranjem:
chroot_local_user=DA
Također možete ograničiti određenu listu korisnika samo na njihove matične direktorije:
chroot_list_enable=DA chroot_list_file=/etc/vsftpd.chroot_list
Nakon dekomentiranja gornjih opcija, kreirajte /etc/vsftpd.chroot_list koji sadrži listu korisnika po jednog po redu. Zatim ponovo pokrenite vsftpd:
sudo systemctl restart vsftpd.service
Takođe, datoteka /etc/ftpusers je lista korisnika kojima je zabranjen FTP pristup. Podrazumevana lista uključuje root, demon, niko, itd. Da biste onemogućili FTP pristup za dodatne korisnike, jednostavno ih dodajte na listu.
FTP se također može šifrirati pomoću FTPS-a. Za razliku od SFTP-a, FTPS je FTP preko Secure Socket Layer (SSL). SFTP je sesija poput FTP-a preko šifrirane SSH veze. Glavna razlika je u tome što korisnici SFTP-a moraju imati shell nalog na sistemu, umjesto nologin shell. Omogućavanje ljuske svim korisnicima možda nije idealno za neka okruženja, kao što je zajednički web host. Međutim, moguće je ograničiti takve račune samo na SFTP i onemogućiti interakciju ljuske. Pogledajte odjeljak o OpenSSH-serveru za više.
Da konfigurišete FTPS, uredite /etc/vsftpd.conf i na dnu dodajte:
Također, obratite pažnju na certifikat i opcije vezane za ključ:
rsa_cert_file=/etc/ssl/certs/ssl-cert-snakeoil.pem rsa_private_key_file=/etc/ssl/private/ssl-cert-snakeoil.key
Podrazumevano su ove opcije postavljene na certifikat i ključ koji pruža ssl-cert paket. U proizvodnom okruženju ovo bi trebalo zamijeniti certifikatom i ključem generiranim za određeni host. Za više informacija o certifikatima pogledajte Certifikati.
Sada ponovo pokrenite vsftpd i neanonimni korisnici će biti primorani da koriste FTPS:
sudo systemctl restart vsftpd.service
Da biste korisnicima sa ljuskom /usr/sbin/nologin omogućili pristup FTP-u, ali nemaju pristup ljusci, uredite /etc/shells dodajući nologin shell:
# /etc/shells: valjane školjke za prijavu /bin/csh /bin/sh /usr/bin/es /usr/bin/ksh /bin/ksh /usr/bin/rc /usr/bin/tcsh /bin/tcsh / usr/bin/esh /bin/dash /bin/bash /bin/rbash /usr/bin/screen /usr/sbin/nologin
Ovo je neophodno jer po defaultu vsftpd koristi PAM za autentifikaciju, a /etc/pam.d/vsftpd konfiguracijska datoteka sadrži:
auth je potreban pam_shells.so
Shells PAM modul ograničava pristup školjkama navedenim u datoteci /etc/shells.
Većina popularnih FTP klijenata može se konfigurirati za povezivanje pomoću FTPS-a. FTP klijent lftp komandne linije takođe ima mogućnost da koristi FTPS.
U ovom vodiču ćemo vam reći kako da instalirate FTP server na VPS koji koristi Ubuntu OS. Koristićemo vsftpd server, koji se smatra najbržim i najsigurnijim FTP serverom za UNIX sisteme.
FTP ili F ile T transfer P rotocol je protokol za prijem i prijenos datoteka na mreži. Koristeći klijent/server model i SSL/TLS sigurnost, FTP omogućava korisnicima da bezbedno, efikasno i pouzdano razmenjuju datoteke sa udaljenim računarima prenosom podataka preko TCP/IP protokola.
FTP radi slično HTTP ili SMTP, s jedinom razlikom što je odgovoran za siguran prijenos podataka od pošiljaoca do primatelja, a ne web stranice od servera do korisnika ili e-pošte preko Interneta. Ovaj vodič pokriva kreiranje FTP servera na Ubuntu OS verziji 16.04.
Napomena: Trenutni vodič je zasnovan na Ubuntu OS verziji 16.04. Ali možete primijeniti iste korake za kreiranje FTP servera na Ubuntu 14.04.
Prije svega, ažurirajmo sve pakete prije instaliranja demona vsftpd. Da biste to učinili, pokrenite naredbu:
Sudo apt-dobi ažuriranje
Pričekajte dok se svi procesi ne završe i vidjet ćete poruku potvrde:
Zatim instalirajte demon vsftpd sa sljedećom naredbom:
Sudo apt-get install vsftpd
Primit ćete obavijest u kojoj se traži potvrda, kliknite Y I Enter za nastavak instalacije.
Kada se instalacija završi, napravimo sigurnosnu kopiju originalne konfiguracijske datoteke kako bismo mogli početi s čistim fajlom postavki:
Sudo cp /etc/vsftpd.conf /etc/vsftpd.conf.original
Sada možemo prijeći na sljedeći korak i konfigurirati firewall.
Korak 2 – Dozvolite FTP saobraćaj na zaštitnom zidu
Da biste omogućili FTP serveru raspoređenom na Ubuntu OS-u da komunicira sa vanjskim svijetom, morate konfigurirati putanju kroz zaštitni zid. Prvo, da vidimo da li je zaštitni zid uključen. Pokrenite sljedeću naredbu da odredite status:
Sudo ufw status
Ako vidite poruku poput ove:
Ufw: komanda nije pronađena
To znači da zaštitni zid nije instaliran i možete preći na sljedeći korak.
Ako izlaz pokaže pravila ili poruku da je zaštitni zid aktivan, morate odrediti kako će obraditi FTP promet. Uradimo sledeće, otvorimo portove 20 i 21 za FTP saobraćaj; portovi 40000-50000 će biti rezervisani kao pasivni opseg portova koji će na kraju biti postavljen u konfiguracionoj datoteci; port 990 će se koristiti kada je TLS omogućen. Pokrenimo sljedeće naredbe:
sudo ufw dozvoli 20/tcp sudo ufw dozvoli 21/tcp sudo ufw dozvoli 990/tcp sudo ufw dozvoli 40000:50000/tcp
Sada pogledajmo status:
Rezultat će izgledati otprilike ovako:
Status izlaza : aktivan Za radnju Od -- -- -- -- -- -- 990 / tcp ALLOW Anywhere 20 / tcp ALLOW Anywhere 21 / tcp ALLOW Anywhere 40000 : 50000 / tcp ALLOW Anywhere 20 / tcp (v6) ALLOW Anywhere v6) 21 / tcp (v6) DOZVOLI Bilo gdje (v6) 990 / tcp (v6) DOZVOLI Bilo gdje (v6) 40000 : 50000 / tcp (v6) DOZVOLI Bilo gdje (v6)Sada su nam svi potrebni portovi otvoreni i dostupni i možemo preći na sljedeći korak.
Korak 3 – Kreirajte korisnički imenik
U trećem koraku kreiranja Ubuntu FTP servera, potrebno je da odaberete korisnika koji će se povezati preko FTP-a. Da biste to učinili, kreirajte novog korisnika pokretanjem sljedeće naredbe:
sudo adduser alexUnesite lozinku i druge detalje kada se to od vas zatraži. U idealnom slučaju, sa sigurnosne perspektive, FTP bi trebao biti ograničen na jedan specifičan direktorij. Vsftpd koristi chroot za kreiranje ove zaštite. Kada je chroot omogućen, lokalni korisnik je ograničen na svoj kućni direktorij (podrazumevano). Međutim, može se dogoditi da zbog sigurnosti vsftpd-a korisnik neće moći ništa kreirati u direktoriju. Ne uklanjamo dozvole pisanja iz kućnog direktorija, umjesto toga napravićemo ftp direktorij koji će se ponašati kao chroot dok je i dalje u njemu moguće pisati, omogućavajući pohranjivanje datoteka. Koristite ovu naredbu da kreirate FTP direktorij:
sudo mkdir /home/alex/ftpPostavi vlasništvo:
sudo chown nobody : nogroup /home/alex/ftpNa kraju, uklonite dozvole za pisanje:
sudo chmod a - w/home/alex/ftpSada, koristeći sljedeću naredbu, provjerite dozvole:
sudo ls - la /home/alex/ftpNa izlazu ćemo vidjeti nešto ovako:
ukupno 8 dr - xr - xr - x 2 niko nogroup 4096 29. jun 11:32 . drwxr - xr - x 3 alex alex 4096 29. jun 11:32 . .U sljedećem koraku kreirat ćemo datoteku koja sadrži direktorije i njihove dozvole:
sudo mkdir /home/alex/ftp/files sudo chown alex : alex /home/alex/ftp/filesI na kraju, dodajmo testnu datoteku u direktorij koji ćemo koristiti kada nešto testiramo:
echo "vsftpd uzorak datoteke" | sudo tee /home/alex/ftp/files/sample. porukaKorak 4 – Podešavanje vsftpd
Za nastavak instaliranja FTP servera na Ubuntu VPS, moramo konfigurirati vsftpd i naš FTP pristup. U ovom vodiču omogućit ćemo jednom korisniku da se poveže preko FTP-a koristeći lokalnu konzolu. Postavka u dva koraka potrebna za ovo je već instalirana u konfiguracijskoj datoteci ( vsftpd.conf). Prvo provjerite da li se postavke u datoteci podudaraju sa onima navedenim u nastavku:
sudo nano /etc/vsftpd. konf. . . # Dozvoliti anonimni FTP? (Podrazumevano onemogućeno). anonymous_enable = NE # # Dekomentirajte ovo da omogućite lokalnim korisnicima da se prijave. local_enable = DA . . .U istom fajlu, nastavimo sa brisanjem # uključiti write_enable:
. . . write_enable = DA . . .Također ćemo dekomentirati Chroot kako bismo bili sigurni da korisnik koji se povezuje preko FTP-a ima pristup datotekama unutar dozvoljenog direktorija:
. . . chroot_local_user = DA . . .Nekoliko novih vrijednosti će također trebati dodati ručno. Možete ih jednostavno zalijepiti na kraj datoteke. Kao prvo, user_sub_token dodajte lokalni_root stazi direktorija. Ovo će omogućiti da konfiguracija radi za trenutnog korisnika i bilo kojeg drugog korisnika koji je dodan kasnije:
user_sub_token=$USER local_root=/home/$USER/ftpKako bismo bili sigurni da je dovoljno veza dostupno, ograničit ćemo broj portova koji se koriste u konfiguracijskoj datoteci:
pasv_min_port = 40000 pasv_max_port = 50000U ovom tutorijalu planiramo dati pristup na individualnoj osnovi, tako da postavimo postavke da daju pristup samo korisnicima koji su direktno dodani na listu:
userlist_enable = DA userlist_file = /etc/vsftpd . lista korisnika userlist_deny = NEZastava userlist_deny je odgovoran za prebacivanje logike, kada je postavljeno na “NE”, samo oni korisnici koji su na listi imaju pristup. Kada završite, kliknite CTRL+X i potvrdite spremanje promjena u datoteci.
Na kraju, nastavimo kreirati i dodavati našeg korisnika u fajl:
echo "alex" | sudo tee - a /etc/vsftpd . lista korisnikaProvjerimo da li je korisnik zaista aktivan pokretanjem naredbe:
mačka /etc/vsftpd. lista korisnikaZaključak bi trebao biti “ alex“, kao što je prikazano na snimku ekrana:
Ponovo pokrenite demon koristeći sljedeću naredbu da započnete promjene postavki:
sudo systemctl restart vsftpdKorak 5 – Izrada sigurnog FTP-a
Prema zadanim postavkama, FTP ne radi nikakvu enkripciju podataka, tako da ćemo koristiti TLS/SSL da se pobrinemo za sigurnost. Kao prvi korak, moramo kreirati SSL certifikat i koristiti ga za osiguranje našeg Ubuntu FTP servera. Prvo, pokrenimo sljedeću naredbu:
Sudo openssl req -x509 -čvorovi -dana 365 -newkey rsa:2048 -keyout /etc/ssl/private/vsftpd.pem -out /etc/ssl/private/vsftpd.pem
Zastava - danačini certifikat važećim godinu dana i uključujemo 2048-bitni RSA privatni ključ u istu naredbu. Kada se od vas zatraži tražene informacije, unesite ih u predviđeno polje.
Nakon kreiranja certifikata, ponovo otvorite konfiguracijsku datoteku:
Sudo nano /etc/vsftpd.conf
Na kraju fajla nalazi se red sa “ _rsa" Komentirajte ova dva reda:
# rsa_cert_file=/etc/ssl/certs/ssl-cert-snakeoil.pem # rsa_private_key_file=/etc/ssl/private/ssl-cert-snakeoil.key
Umjesto toga, usmjerit ćemo konfiguracijsku datoteku na certifikat koji smo kreirali. Dodajte ove redove:
Rsa_cert_file=/etc/ssl/private/vsftpd.pem rsa_private_key_file=/etc/ssl/private/vsftpd.pem
Sada ćemo omogućiti SSL i pobrinuti se da nas kontaktiraju samo korisnici s uključenim SSL-om. Promijenite vrijednost ssl_enable on DA:
ssl_enable = DASada dodajte sljedeće linije da nastavite sa stvaranjem sigurnosti (ovo će spriječiti bilo kakve anonimne veze koje koriste SSL):
Allow_anon_ssl=NE force_local_data_ssl=DA force_local_logins_ssl=DA
Konfigurirajte TLS koristeći:
Ssl_tlsv1=DA ssl_sslv2=NE ssl_sslv3=NE
Ovdje ćemo dodati još 2 opcije. Prvo, ponovna upotreba SSL-a neće biti potrebna jer bi mogla uzrokovati prekide kod velikog broja klijenata. Drugo, koristićemo vrlo siguran šifrirni kod, što će značiti da je dužina ključa jednaka (ili veća od) 128 bita.
Require_ssl_reuse=NEMA ssl_ciphers=VISOKO
Pokrenimo ponovo kako bi promjene stupile na snagu:
Sudo systemctl restart vsftpd
Divno! Dakle, konfigurisali ste FTP server na vašem Ubuntu VPS-u da radi sa SSL/TLS protokolom.
Korak 6 – Provjera veze pomoću FileZilla
Danas FTP klijenti podržavaju postavljanje TLS enkripcije, tako da je ovo odlična prilika da provjerite da li naš Ubuntu FTP server radi kako treba. Za testiranje veze koristit ćemo . Za početak pokrenite FileZilla klikom na ikonu Site Manager.
Kliknite na dugme New Site u prozoru koji se pojavi počnite da popunjavate informacije o Ubuntu FTP serveru.
Popunite obavezna polja informacijama o vašem novokreiranom Ubuntu FTP serveru. Pošto smo ga konfigurisali pomoću TLS-a, možemo provjeriti postavku šifriranja u “ eksplicitni FTP preko TLS-a” pozicija. Konačni prozor postavki izgleda ovako:
Nakon konfigurisanja, pritisnite Povežite se i pojaviće se prozor u kojem se traži da unesete FTP korisničku lozinku.
Konačno, morat ćete provjeriti SSL certifikat na vašem FTP serveru na Ubuntu VPS-u.
Nakon potvrde, na vašem ekranu će se pojaviti osnovni direktorijum sa test fajlom.
Ovo je sve! Sada možete izvršiti bilo koji prijenos datoteka sa vašeg računala na Ubuntu FTP server i nazad.
Zaključak
U ovom vodiču smo išli korak po korak kako bismo stvorili siguran način za lokalnog korisnika za prijenos datoteka putem FTP-a sa SSL/TLS-om na Ubuntu FTP serveru. Također smo testirali veze koristeći FileZilla da bismo bili sigurni da sve radi.
FTP (File Transfer Protocol) – protokol za prijenos datoteka. FTP protokol vam omogućava prijenos i preuzimanje datoteka sa servera. Danas ovaj protokol nije posebno popularan, jer ne podržava enkripciju podataka. Umjesto FTP-a koriste se SFTP protokol (prijenos podataka preko SSH), kao i SCP protokol. Ovaj članak govori o postavljanju redovnog FTP servera zasnovanog na Ubuntu-u.
FTP protokol radi u klijent-server modu. Server stalno sluša zahtjeve udaljenih klijenata na portu 21. Kada se primi zahtjev, on kontrolira ulaz i uspostavlja vezu. Tokom sesije, server izvršava sve naredbe koje pošalje FTP klijent. TCP se koristi kao protokol transportnog sloja. FTP koristi dvije vrste veza za prijenos podataka:
- Kontrolna veza (port 21)
- Podatkovna veza (u aktivnom načinu rada port 20, u pasivnom načinu bilo koji port veći od 1024)
Razdvajanje na kontrolnu vezu i podatkovnu vezu je efikasno. Ovo omogućava da se komande i datoteke prenose nezavisno jedna od druge.
FTP podržava dvije vrste autentifikacije:
- Anonimno (ftp ili anonimna prijava, lozinka – email)
- Ovlašteno (svaki korisnik ima svoju prijavu i lozinku)
Prilikom rada preko FTP protokola mogu se uspostaviti dva načina rada između klijenta i servera: aktivni i pasivni. Kontrolna veza je ista za aktivni i pasivni način rada. Klijent inicira TCP vezu sa dinamičkog porta (1024 - 65535) na port broj 21 na FTP serveru, nakon čega dolazi do autentifikacije. Daljnje radnje ovise o tome koji je način rada odabran.
U aktivnom modu, nakon autentifikacije, klijent također obavještava server o svom broju porta (iz dinamičkog raspona 1024 - 65535) kako bi se server mogao povezati s klijentom radi uspostavljanja podatkovne veze. FTP server se povezuje na navedeni broj porta klijenta koristeći TCP port broj 20 za prijenos podataka.
U pasivnom režimu, nakon autentifikacije, server kaže klijentu broj TCP porta (iz dinamičkog opsega 1024 - 65535) na koji se može povezati da uspostavi vezu za prenos podataka.
Dakle, u aktivnom načinu rada, server je pokretač veze dok se povezuje s klijentom. U pasivnom režimu, inicijator veze je klijent.
Aktivni način rada je “štetan” za klijenta u smislu da kada se server poveže na njega na slučajnom portu, takva veza će najvjerovatnije biti blokirana od strane firewall-a na strani klijenta. Stoga je potrebno otvoriti portove na strani klijenta, što dovodi do sigurnosnih rupa. S druge strane, ovaj način rada će biti koristan za server, jer se za prijenos podataka koristi dobro poznati port 20.
Pasivni način rada je “štetan” za server, ali je “koristan” za klijenta. Klijent će uspostaviti obe konekcije sa serverom, ali jedna od njih će biti na nasumično visokom portu, takvu vezu će blokirati firewall na strani servera.
Pasivni način rada se obično koristi kada postoji zaštitni zid između klijenta i servera.
Najpopularnije FTP komande su:
| Tim | Opis |
| USER | Navedite korisničko ime |
| PASS | Navedite lozinku |
| LIST | Pregledajte sadržaj direktorija |
| CWD | Promjena trenutnog direktorija |
| RETR | Prenesite fajl sa servera na klijenta |
| STOP | Prenesite fajl sa klijenta na server |
| TYPE | Postavite način prijenosa |
| DELE | Izbrišite fajl |
| MDK | Kreirajte direktorij |
| RMD | Izbriši direktorij |
| PASV | Koristite pasivni način rada |
| QUIT | Odjava i prekid veze |
FTP ima tri načina prijenosa:
- Streaming – kontinuirani prijenos podataka kao stream (bez obrade, obrada vrši TCP)
- Blok - FTP dijeli podatke na blokove (zaglavlje, polje podataka, veličina datoteke u bajtovima) i prenosi ih na TCP
- Način kompresije s jednim algoritmom
FTP server je “biblioteka” datoteka na hostingu, koja se koristi za pohranjivanje datoteka različitih formata. Najpopularniji ftp serveri su vsftpd i proftpd. FTP serveri su potrebni za smještaj velikih količina podataka za javno i privatno preuzimanje. Često se serveri koriste za anonimni (gostujući) pristup distribucijama softvera, muzike i fotografija otvorenog koda. Pristup anonimnim korisnicima omogućava, u pravilu, samo pregled direktorija i preuzimanje potrebnih informacija, ali na nekim serverima je obrnuto - postoje posebni direktoriji u koje svaki korisnik može učitati datoteku za dijeljenje.
Kod neanonimnog pristupa postoji više mogućnosti, ali one su ograničene na direktorij u kojem je pristup odobren.
Idemo dalje na postavljanje servera. Radit ćemo s takvom šemom. 
I administrator i korisnik će imati pristup FTP serveru. Administrator i korisnik imaju ovlašteni pristup. U tom slučaju potrebno je konfigurirati prava pristupa tako da administrator ima neograničen pristup, a korisnik pristup samo svom matičnom direktoriju. Također morate konfigurirati anonimni pristup.
U Ubuntu-u, demon vsftpd je dostupan za DHCP server. Instaliramo DHCP server, to se radi naredbom:
testServer$ sudo apt-get install vsftpd
Prema zadanim postavkama, anonimno otpremanje je onemogućeno. Morate promijeniti konfiguraciju u datoteci /etc/vsftpd.conf.
testServer$ sudo nano /etc/vsftpd.conf
Tamo nalazimo liniju “anonymous_enable” i dodjeljujemo joj vrijednost “Yes”. Ova linija je odgovorna za pristup FTP serveru za anonimne korisnike.
Također morate dekomentirati dva reda: “write_enable” i “chroot_local_user”. Prvi red je odgovoran za mogućnost pisanja na server, drugi red blokira mogućnost lokalnih korisnika da se popnu na direktorij viši od njihove matične mape.
Na kraju konfiguracijskog fajla dodajemo dvije postavke:
Ove postavke postavljaju kućne foldere za anonimne i lokalne korisnike.
Sačuvajte konfiguraciju datoteke koristeći kombinaciju tipki Ctrl + X (kada se od vas zatraži da zamijenite trenutnu datoteku, odaberite Da). Zatim morate ponovo pokrenuti FTP server pomoću naredbe
testServer$ sudo servis vsftpd restart
Sljedeća faza je kreiranje korisnika.
Kreirajte superkorisnika naredbom:
testServer$ sudo adduser superuser
Dajte mu lozinku:
testServer$ sudo passwd superuser
Dajemo mu neograničena prava:
testServer$ sudo adduser superuser sudo
Kreirajte redovnog korisnika:
testServer$ sudo adduser korisnik
Dajte mu lozinku:
testServer$ sudo passwd korisnik
Unesite novu UNIX lozinku: 12345
Kreirajte korisničku grupu za upravljanje folderima:
testServer$ sudo addgroup groupl
testServer$ sudo nano /etc/group
Pronađite liniju "groupl" koristeći Ctrl + W.
U ovu liniju dodajemo superkorisnika i korisnika naših korisnika.
Kreirajte foldere za korisnike:
testServer$ sudo mkdir /srv/ftp/upload
testServer$ sudo mkdir /srv/ftp/superuser
testServer$ sudo mkdir /srv/ftp/user
Postavite prava pristupa za foldere:
testServer$ sudo chmod 700 /srv/ftp/superuser
testServer$ sudo chmod 770 /srv/ftp/user
testServer$ sudo chmod 575 /srv/ftp/upload
Promjena vlasnika foldera:
testServer$ sudo chown superuser: /srv/ftp/superuser
testServer$ sudo chown korisnik:groupl /srv/ftp/user
testServer$ sudo chown:groupl /srv/ftp/upload
Tako dobijamo sledeću sliku:
- Samo superkorisnik ima pristup folderu superkorisnika, on je i vlasnik ove fascikle
- I korisnik i superkorisnik imaju pristup korisničkom folderu. To je zato što smo dozvole postavili na 7 7 0. Drugih sedam postavlja puna prava za korisničku grupu groupl, kojoj smo dodali superuser.
- I korisnik i superkorisnik imaju pun pristup folderu za otpremanje. Za sve ostale su postavljene samo dozvole za čitanje i izvršavanje 5 75 . 5 = 101 (binarno). 101~r-x. To jest, drugi korisnici (a to uključuje i anonimne) ne mogu ništa napisati u folder za otpremanje.
Provjeravamo prava pristupa i vlasnike naredbom:
testServer$ ls -l /srv/ftp
Da biste provjerili pristup FTP serveru, potrebno je da unesete u adresnu traku u bilo kojem pretraživaču:
ftp://172.16.1.2
U ovom slučaju, mi smo prijavljeni kao anonimni korisnik, jer ne unosimo ime i lozinku.
Vidimo tri fascikle superuser/, upload/, korisnik/. Pošto smo se prijavili kao anonimni korisnik, imamo pristup samo folderu upload/.
Da biste se prijavili kao superkorisnik, unesite:
ftp:// [email protected]
Unesite svoje korisničko ime: superuser, lozinka: 12345 . Pod superkorisnikom dobijamo pristup svim folderima.
Provjerimo redovnog korisnika posljednji put. Kako biste izbjegli unos korisničkog imena i lozinke svaki put kada se prijavite, u adresnu traku možete napisati sljedeće:
ftp://korisnik: [email protected]
Pod korisnikom možemo ući samo u foldere upload/ I korisnik/. U folder superkorisnik/ Pristup zatvoren.
Podržite projekat
Prijatelji, web stranica Netcloud se razvija svakim danom zahvaljujući vašoj podršci. Planiramo lansirati nove sekcije članaka, kao i neke korisne usluge.
Imate priliku podržati projekat i doprinijeti bilo koji iznos koji smatrate potrebnim.
S vremena na vrijeme svaki administrator sistema ima potrebu za FTP serverom, najčešće zbog potrebe da se osigura automatska razmjena informacija između aplikacija, na primjer, prilikom automatske razmjene distribuirane 1C baze podataka, ili za pristup datotekama na web serveru. Danas ćemo vam reći kako da napravite takav server na Ubuntu platformi za manje od pola sata.
Ali prvo, malo teorije. Protokol FTP (File Transfer Protocol) namijenjen je, kao što i samo ime kaže, za prijenos datoteka i pojavio se 1971. godine, ali uprkos svojoj poodmakloj dobi nastavlja da se široko koristi do danas. Iako je njegova upotreba danas više tehničke prirode, krajnji korisnici obično koriste pretraživač i HTTP protokol za pristup podacima. Prednosti FTP-a uključuju mogućnost nastavka preuzimanja datoteke kada se veza prekine i mogućnost jednako lakog čitanja i pisanja datoteka. Ali postoje i nedostaci, od kojih je najozbiljniji niska sigurnost, pa ovom pitanju treba posvetiti najveću pažnju.
FTP, kao i PPTP, koristi različite veze za slanje naredbi i prijenos podataka. Prilikom pokretanja veze, klijent šalje kontrolne komande portu 21 servera, koji zauzvrat uspostavlja odlaznu vezu za prenos podataka na portu 20, port na strani klijenta se određuje kao rezultat pregovaranja. Međutim, ako je klijent iza NAT-a, konekcija se ne može uspostaviti na ovaj način, pa je razvijen dodatni FTP pasivni način, kada vezu za prijenos podataka uspostavlja ne server, već klijent, ali sa navedenim parametrima. od strane servera. Ove točke treba uzeti u obzir prilikom prosljeđivanja FTP-a i prilikom postavljanja mrežnog filtera.
Za naš server ćemo koristiti vsftpd- jednostavan, brz i siguran FTP server. Budući da će služiti i vanjskim i internim mrežama, ima smisla dodati ovu ulogu našoj . Instalacija servera je izuzetno jednostavna:
Apt-get install vsftpd
Server se konfiguriše preko konfiguracionog fajla /etc/vsftpd.conf ima jednostavnu strukturu, dobro je komentiran i omogućava vam postavljanje servera bez ikakvih instrukcija uz minimalno znanje. Razmotrimo njegove glavne parametre.
Server se može pokrenuti stalno, kao servis, ili pokrenuti kada je potrebno; nama je pogodnija prva opcija:
Slušaj=DA
Ova opcija ima unos koji se međusobno isključuje, kojem treba dati sljedeći oblik:
Listen_ipv6=NE
Dozvolimo samo lokalnim korisnicima da se prijave:
Anonymous_enable=NE
local_enable=DA
Dozvolimo korisnicima da pišu fajlove i naložimo serveru da automatski postavi potrebna prava (755 za foldere i 644 za fajlove):
Write_enable=DA
local_umask=022
Ako trebate postaviti drugačiji skup prava: 775 i 664, tada bi umask trebao biti jednak 002.
Server podrazumevano koristi GMT vreme, tako da su fajlovi podešeni na vašu vremensku zonu, koristite opciju:
Use_localtime=DA
Omogućimo evidenciju otpremljenih i preuzetih fajlova:
Xferlog_enable=DA
Dozvolimo serveru da uspostavi veze za prijenos podataka na portu 20 (aktivan način):
Connect_from_port_20=DA
Sljedeće opcije određuju lokaciju i format za pohranjivanje dnevnika:
Xferlog_file=/var/log/vsftpd.log
xferlog_std_format=DA
Postavimo vremensko ograničenje sesije:
Idle_session_timeout=600
data_connection_timeout=120
Također, iz sigurnosnih razloga, izoliramo korisnika u njegov kućni direktorij i odmah dozvoljavamo upisivanje u njegov root:
Chroot_local_user=DA
allow_writeable_chroot=DA
Da biste ispravno radili s tekstualnim podacima, možete omogućiti podršku za ASCII; to će omogućiti, prilikom prijenosa tekstualne datoteke sa Windows sistema na UNIX (Linux), da ispravno zamijenite prijelome reda iz CR+LF u LF kako biste ispravno prikazali sadržaj i izvršili obrnutu konverziju prilikom prijenosa natrag.
Ascii_upload_enable=DA
ascii_download_enable=DA
Možete omogućiti samo jednu opciju, za otpremanje ili preuzimanje. Imajte na umu da prilikom prijenosa binarne datoteke u ASCII modu, potonji može biti oštećen.
Prilično zanimljiva opcija:
Ls_recurse_enable=DA
Omogućava rekurzivno pretraživanje direktorija, s jedne strane je zgodno, s druge strane može uzrokovati veliko opterećenje na serveru ako, na primjer, dobijete listu direktorija koji sadrži veliki broj datoteka i direktorija.
Sve ostale opcije ostavljamo kao zadane, iako pozdrav servera možete urediti tako što ćete napisati šta god želite:
Ftpd_banner=Dobrodošli na FTP doo Roga i Kopyta
Na kraju konfiguracijske datoteke postavit ćemo postavke za pasivni način rada; preporučljivo je eksplicitno postaviti portove tako da ih možete specificirati tokom prosljeđivanja ako je server iza NAT-a ili u pravilima firewall-a:
Pasv_enable=DA
pasv_min_port=62000
pasv_max_port=62999
Ponovo pokrenite server (ovo se mora uraditi svaki put nakon promjene konfiguracije):
Ponovno pokretanje servisa vsftpd
i pokušajte se povezati s bilo kojim FTP klijentom koristeći vjerodajnice postojećeg korisnika. Moramo ući u njegov kućni imenik i biti izolirani u njemu.
Ako dođe do greške zbog neispravnog rada vsftpd i seccomp sigurnosnog sistema:
500 OOPS: prctl PR_SET_SECCOMP nije uspio
dodajte nedokumentovanu opciju u fajl:
Seccomp_sandbox=NE
Međutim, zapamtite da je FTP nesiguran protokol, tako da dopuštanje bilo kojem lokalnom korisniku na server, kao što je sada učinjeno, nije najbolja opcija. Da bi se izbjegla ova situacija, vsftpd ima ugrađeni mehanizam kontrole korisnika. Dodajmo opciju u konfiguracijski fajl:
Userlist_enable=DA
i kreirajte fajl liste korisnika:
Dodirnite /etc/vsftpd.user_list
Default vsftpd zabranjuje pristup serveru za korisnike navedene na ovoj listi i prije unosa lozinke, tj. implementira princip dozvoljavanja svakom kome nije zabranjeno. Ali bilo bi mnogo bolje da se implementira drugačiji pristup: svakome kome nije dozvoljeno je zabranjeno. One. dopustiti pristup samo određenim korisnicima. Da biste to učinili, dodajte opciju:
Userlist_deny=NE
Sada će samo eksplicitno navedeni korisnici imati pristup FTP serveru; oni bi trebali biti specificirani u vsftpd.user_list jedan po redu, na primjer:
Ivanov
petrov
Osim ako nije drugačije naznačeno, prilikom povezivanja preko FTP-a, korisnici se odvode u njihov kućni direktorij. Ovo nije uvijek zgodno; često ih morate preusmjeriti na drugi direktorij. Ako je ovo zajednički folder za sve, recimo /var/ftp, onda možete postaviti opciju:
Lokalni_root=/var/ftp
Što će sve korisnike preusmjeriti na navedeni direktorij i tamo ih izolirati.
Ovo je najjednostavnija situacija, stvarni zadaci su obično složeniji, recimo da trebamo postaviti korisnika Ivanova kao korijenski direktorij /var/www/example1.com, i Petrov /var/www/example2.com tako da svaki od njih radi sa svojom mapom. U ove svrhe možete koristiti još jednu značajku vsftpd - korisničke postavke koje nadjačavaju postavke glavne konfiguracijske datoteke.
Da biste to učinili, dodajte opciju:
User_config_dir=/etc/vsftpd_user_conf
Zatim ćemo kreirati sam direktorij
Mkdir /etc/vsftpd_user_conf
Da biste postavili vlastite postavke korisnika u ovom direktoriju, trebali biste kreirati datoteku s korisničkim imenom i dodati joj potrebne opcije. Promjene se primjenjuju bez ponovnog pokretanja FTP servera sljedeći put kada se klijent poveže.
Kreirajmo datoteku s postavkama za Ivanov:
Tocuh /etc/vsftpd_user_conf/ivanov
i dodajte mu opciju:
Lokalni_root=/var/www/example1.com
Sljedeći put kada se povežete, korijenski direktorij korisnika će se promijeniti u navedeni. Također u ovoj datoteci možemo postaviti bilo koje lične opcije, na primjer, drugo umask ili dozvole za fajlove. Međutim, ovdje ne možemo koristiti globalne postavke: veze, logovanje, opcije autentifikacije, one će jednostavno biti zanemarene.
Ako trebate sakriti stvarne vlasnike datoteka i mapa, možete koristiti opciju:
Hide_ids=DA
U ovom slučaju, umjesto pravih vlasnika i grupa, bit će naznačen ftp:ftp, što može biti korisno u slučaju javnog servera ili ako na listi korisnika postoje stranci kojima ne želite otkriti prava korisnička imena vašeg sistema.
Kao što vidite, napravili smo FTP server koji radi za manje od pola sata.
F TP (File Transfer Protocol) je standardni mrežni protokol koji se koristi za prijenos datoteka na i sa udaljene mreže. Za sigurniji i brži prijenos podataka koristite SCP.
Postoji mnogo open source FTP servera dostupnih za Linux. Najpopularniji i najčešće korišteni su PureFTPd, ProFTPD i vsftpd. U ovom članku ćemo instalirati vsftpd. Ovo je stabilan, siguran i brz FTP server. Također ćemo vam pokazati kako konfigurirati vsftpd da ograniči pristup korisnika njihovom kućnom direktoriju i šifrira sve prijenose koristeći SSL/TLS.
Iako je ovaj članak napisan za Ubuntu 18.04, iste upute vrijede za Ubuntu 16.04 i bilo koju distribuciju zasnovanu na Debianu, uključujući Debian, Linux Mint i Elementary OS.
Preduvjeti
Instaliranje vsftpd na Ubuntu 18.04
Vsftpd paket je dostupan u spremištima. Da biste ga instalirali, jednostavno pokrenite sljedeće naredbe:
Sudo apt update sudo apt install vsftpd
Usluga vsftpd će se automatski pokrenuti nakon završetka procesa instalacije. Provjerite ispisom statusa usluge:
Sudo systemctl status vsftpd
Izlaz će izgledati otprilike ovako, što ukazuje da je usluga vsftpd aktivna i radi:
* vsftpd.service - vsftpd FTP server Učitano: učitano (/lib/systemd/system/vsftpd.service; omogućeno; unapred podešeno dobavljača: omogućeno) Aktivno: aktivno (pokreće) od pon 15.10.2018 03:38:52 PDT; Prije 10 minuta Glavni PID: 2616 (vsftpd) Zadaci: 1 (ograničenje: 2319) CGroup: /system.slice/vsftpd.service `-2616 /usr/sbin/vsftpd /etc/vsftpd.conf
Postavljanje vsftpd
Vsftpd server se može konfigurisati uređivanjem datoteke /etc/vsftpd.conf. Većina postavki je dokumentirana unutar konfiguracijske datoteke. Za sve dostupne opcije posjetite službenu stranicu vsftpd.
U sljedećim odjeljcima ćemo pogledati neke od važnih postavki potrebnih za postavljanje sigurne vsftpd instalacije.
Započnite otvaranjem konfiguracijske datoteke vsftpd:
Sudo nano /etc/vsftpd.conf
1. FTP pristup
Dozvoljavamo samo lokalnim korisnicima da pristupe FTP serveru, pronađu anonymous_enable i local_enable direktive i provjerimo da li vaša konfiguracija odgovara sljedećim redovima:
/etc/vsftpd.conf
Anonymous_enable=NE local_enable=DA
2. Omogućite preuzimanje
Dekomentirajte postavku write_enable da biste omogućili promjene u sistemu datoteka, kao što je učitavanje i brisanje datoteka.
/etc/vsftpd.conf
Write_enable=DA
3. Chroot
Da biste spriječili korisnike FTP-a da pristupe bilo kojim datotekama izvan njihovih matičnih direktorija, dekomentirajte chroot postavku.
/etc/vsftpd.conf
Chroot_local_user=DA
Prema zadanim postavkama, kako bi se spriječile sigurnosne propuste, kada je chroot omogućen, vsftp će odbiti upload datoteka ako je u direktorij u kojem su korisnici zaključani moguće pisati.
- Metoda 1.– Preporučeni način za omogućavanje preuzimanja je da omogućite chroot i konfigurirate FTP direktorije. U ovom članku ćemo kreirati ftp direktorij unutar korisničkog doma koji će služiti kao chroot i pisati direktorij za otpremanje za upload datoteka.
/etc/vsftpd.conf
User_sub_token=$USER local_root=/home/$USER/ftp
- Metoda 2. Druga opcija je da dodate sljedeću direktivu konfiguracijskoj datoteci vsftpd. Koristite ovu opciju ako morate odobriti pristup pisanju kućnom direktoriju vašeg korisnika.
/etc/vsftpd.conf
Allow_writeable_chroot=DA
4. Pasivne FTP veze
vsftpd može koristiti bilo koji port za pasivne FTP veze. Navest ćemo minimalni i maksimalni raspon portova, a zatim otvoriti raspon u našem firewall-u.
Dodajte sljedeće linije u konfiguracijski fajl:
/etc/vsftpd.conf
Pasv_min_port=30000 pasv_max_port=31000
5. Ograničavanje prijave korisnika
Da biste dozvolili samo određenim korisnicima da se prijave na FTP server, dodajte sljedeće redove na kraj datoteke:
/etc/vsftpd.conf
Userlist_enable=DA userlist_file=/etc/vsftpd.user_list userlist_deny=NE
Kada je ova opcija omogućena, morate eksplicitno odrediti koji korisnici se mogu prijaviti dodavanjem korisničkih imena u datoteku /etc/vsftpd.user_list (jedan korisnik po redu).
6. Osiguravanje prijenosa korištenjem SSL/TLS-a
Da biste šifrirali FTP transfere koristeći SSL/TLS, morate imati SSL certifikat i konfigurirati vaš FTP server da ga koristi.
Možete koristiti onaj koji je potpisao pouzdani autoritet za izdavanje certifikata ili kreirati samopotpisani certifikat.
Ako imate domenu ili poddomenu koja ukazuje na IP adresu vašeg FTP servera, lako možete kreirati besplatni SSL certifikat za enkripciju.
U ovom članku ćemo generirati samopotpisani SSL certifikat pomoću naredbe openssl.
Sljedeća naredba će kreirati 2048-bitni privatni ključ i samopotpisani certifikat koji vrijedi 10 godina. I privatni ključ i certifikat će biti sačuvani u jednoj datoteci:
Sudo openssl req -x509 -čvorovi -dana 3650 -newkey rsa:2048 -keyout /etc/ssl/private/vsftpd.pem -out /etc/ssl/private/vsftpd.pem
Sada kada je SSL certifikat kreiran, otvorite konfiguracijsku datoteku vsftpd:
Sudo nano /etc/vsftpd.conf
Pronađite direktive rsa_cert_file i rsa_private_key_file, promijenite njihovu pam vrijednost u putanji datoteke i postavite ssl_enable direktivu na DA:
/etc/vsftpd.conf
Rsa_cert_file=/etc/ssl/private/vsftpd.pem rsa_private_key_file=/etc/ssl/private/vsftpd.pem ssl_enable=DA
Osim ako nije drugačije navedeno, FTP server će koristiti samo TLS za obezbjeđivanje sigurnih veza.
Ponovo pokrenite vsftpd uslugu
Kada završite sa uređivanjem, konfiguraciona datoteka vsftpd (bez komentara) bi trebala izgledati otprilike ovako:
/etc/vsftpd.conf
Listen=NE listen_ipv6=DA anonymous_enable=NE local_enable=DA write_enable=DA dirmessage_enable=DA use_localtime=DA xferlog_enable=DA connect_from_port_20=DA chroot_local_user=DA secure_name/chrootvm_service=hrootvmd/service d rsa_cert_file=/ etc/ssl/ private/vsftpd.pem rsa_private_key_file=/etc/ssl/private/vsftpd.pem ssl_enable=DA user_sub_token=$USER local_root=/home/$USER/ftp pasv_min_port=30000 pasv_max0_port=31. .us er_list userlist_deny=NE
Sačuvajte datoteku i ponovo pokrenite vsftpd servis da bi promjene stupile na snagu:
Sudo systemctl restart vsftpd
Otvaranje zaštitnog zida
Ako koristite UFW firewall, morate dozvoliti FTP promet.
Da otvorite port 21 (FTP komandni port), port 20 (FTP port za podatke) i 30000-31000 (pasivni opseg portova), pokrenite sledeće komande:
Sudo ufw dozvoli 20:21/tcp sudo ufw dozvoli 30000:31000/tcp
Da bismo izbjegli blokiranje, otvorit ćemo port 22:
Sudo ufw dozvoli OpenSSH
Ponovo učitajte UFW pravila tako što ćete onemogućiti i ponovo omogućiti UFW:
Sudo ufw disablesudo ufw omogućiti
Za testiranje promjena:
Sudo ufw status Status: aktivan Za radnju od -- ------ ---- 20:21/tcp ALLOW Anywhere 30000:31000/tcp ALLOW Anywhere OpenSSH ALLOW Anywhere 20:21/tcp (v6) ALLOW Anywhere (v6) ) 30000:31000/tcp (v6) DOZVOLI Bilo gdje (v6) OpenSSH (v6) DOZVOLI Bilo gdje (v6)
Kreiranje FTP korisnika
Da bismo testirali naš FTP server, kreiraćemo novog korisnika.
- Ako već imate korisnika kojem želite dati FTP pristup, preskočite prvi korak.
- Ako ste postavili allow_writeable_chroot=YES u svom konfiguracionom fajlu, preskočite korak 3.
- Kreirajte novog korisnika po imenu newftpuser: sudo adduser newftpuser
- Dodajte korisnika na listu dozvoljenih FTP korisnika: echo "newftpuser" | sudo tee -a /etc/vsftpd.user_list
- Kreirajte stablo FTP direktorija i postavite ispravna dopuštenja: sudo mkdir -p /home/newftpuser/ftp/uploadsudo chmod 550 /home/newftpuser/ftpsudo chmod 750 /home/newftpuser/ftp/uploadsudo chown -R newftpuser: /newftpuser: /newftpuser: /newftpuser /ftp
Kao što je objašnjeno u prethodnom odjeljku, korisnik će moći učitati svoje datoteke u ftp/upload direktorij.
U ovom trenutku, vaš FTP server je potpuno funkcionalan i trebali biste biti u mogućnosti da se povežete na vaš server sa bilo kojim koji se može konfigurirati da koristi TLS enkripciju, kao što je FileZilla.
Onemogućavanje pristupa ljusci
Podrazumevano, prilikom kreiranja korisnika, osim ako nije eksplicitno navedeno, korisnik će imati pristup SSH serveru.
Da bismo onemogućili pristup ljusci, kreiraćemo novu ljusku koja će jednostavno ispisati poruku koja kaže korisniku da je njihov nalog ograničen samo na FTP pristup.
Kreirajte ljusku /bin/ftponly i učinite je izvršnom:
Echo -e "#!/bin/sh\necho "Ovaj nalog je ograničen samo na FTP pristup." | sudo tee -a /bin/ftponlysudo chmod a+x /bin/ftponly
Dodajte novu ljusku na listu važećih školjki u /etc/shells datoteci
Echo "/bin/ftponly" | sudo tee -a /etc/shells
Promijenite korisničku ljusku u /bin/ftponly:
Sudo usermod newftpuser -s /bin/ftponly
Zaključak
U ovom članku naučili ste kako da instalirate i konfigurišete siguran i brz FTP server na vašem Ubuntu 18.04 sistemu.
