Vsftpd ("FTP Daemon shumë i sigurt") është një server FTP për sisteme të ngjashme me UNIX, duke përfshirë CentOS / RHEL / Fedora dhe shpërndarje të tjera Linux. Ai mbështet IPv6, SSL, bllokimin e përdoruesve në drejtoritë e tyre të shtëpisë dhe shumë veçori të tjera të avancuara. Në temën time "Instalimi i vsftpd në CentOS" do të shpjegoj se si mund të instaloni vsftpd në CentOS me shembuj të detajuar.
Hapi 1 - Instalimi i Vsftpd
Ju mund të instaloni shpejt Vsftpd në VPS-në tuaj për ta bërë këtë, ekzekutoni komandën në vijën e komandës:
# yum instalo vsftpd
Ne gjithashtu duhet të instalojmë një klient FTP:
# yum instaloni ftp
Pasi skedarët të kenë përfunduar shkarkimin, atëherë Vsftpd do të jetë në VPS-në tuaj.
Hapi 2 - Konfigurimi i VSFTP
Pas instalimit të VSFTP, mund të personalizoni konfigurimin. Do të bëj një kopje rezervë të skedarit të konfigurimit të paracaktuar (vetëm në rast):
# cp /etc/vsftpd/vsftpd.conf /etc/vsftpd/vsftpd.conf.bk
Hapni skedarin e konfigurimit:
# vim /etc/vsftpd/vsftpd.conf
Një ndryshim i madh që duhet të bëni është të ndryshoni hyrjen për ananimus (nuk kam nevojë për këtë):
[...] anonymous_enable = JO [...]
Përpara këtij ndryshimi, Vsftpd lejonte hyrje anonime në serverin FTP dhe përdoruesit e panjohur mund të hynin në skedarët tanë VPS. Pas kësaj, çkomentoni opsionin local_enable, ndryshojeni në po.
[...] local_enable = PO [...]
Kjo do t'u japë përdoruesve lokalë qasje në FTP.
Çkomentim i mëtejshëm i komandës chroot_local_user. Kur ky varg vendoset në "YES", të gjithë përdoruesit lokalë do të burgosen në të ashtuquajturat burgje brenda kapacitetit të tyre dhe do t'u mohohet qasja në çdo pjesë tjetër të serverit. Ne ofrojmë një chroot për të gjithë përdoruesit:
[...] chroot_local_user = PO [...]
[...] write_enable = PO [...]
Kjo do t'u japë përdoruesve të FTP lejet e shkrimit, gjithashtu, nëse është e nevojshme, çaktivizon portin 20 - do të zvogëlojë privilegjet e VSftpd:
[...] lidh_nga_port_20 = JO [...]
Vendoseni maskën në 022 për t'u siguruar që të gjithë skedarët (644) dhe dosjet (755) që ngarkojmë janë vendosur në të drejtat e duhura
[...] local_umask = 022 [...]
Kam konfiguruar skedarin e konfigurimit, por ende duhet të shtoj përdoruesin (ët). Tani do ta bëj dhe do t'ju tregoj se çfarë dhe si.
Cilësimet shtesë për konfigurimin vsftpd
allow_anon_ssl JO
Parametri YES u mundëson të gjithë përdoruesve anonimë të lidhen nëpërmjet një lidhjeje SSL.
anon_mkdir_write_enable NR
Parametri YES bën të mundur krijimin e drejtorive nga përdorues anonimë (në kushte të caktuara), por për këtë ju duhet të aktivizoni opsionin "write_enable", i cili duhet të ketë leje për të shkruar nga përdoruesit anonimë për direktoriumin prind.
anon_other_write_enable NR
Parametri YES bën të mundur që përdoruesit anonimë të kryejnë jo vetëm operacionet e ngarkimit të skedarëve, krijimit të dosjeve, por edhe fshirjen dhe riemërtimin e tyre.
anon_upload_enable JO
Parametri YES bën të mundur që përdoruesit anonimë të ngarkojnë skedarë në server (duhet të aktivizoni opsionin "write_enable", të cilët duhet të kenë leje shkrimi për përdoruesit anonimë në dosjen e ngarkimit). Ky opsion duhet gjithashtu të aktivizohet në mënyrë që përdoruesit virtualë të mund të ngarkojnë skedarët e tyre, sepse si parazgjedhje, të gjithë përdoruesit virtualë konsiderohen anonimë.
anon_world_readable_only PO
Parametri YES është i nevojshëm në mënyrë që përdoruesit anonimë të mund të shkarkojnë vetëm skedarë që janë të lexueshëm nga të gjithë (në pronësi të përdoruesit ftp).
anonim_aktivizoj PO
Parametri YES u mundëson përdoruesve anonimë të lidhen me serverin e quajtur ftp dhe anonim.
ascii_download_enable JO
Parametri YES ju lejon të zgjidhni modalitetin ASCII për shkarkimin e skedarëve
ascii_upload_enable JO
Parametri YES ju lejon të zgjidhni modalitetin ASCII për ngarkimin e skedarëve
async_abor_enable JO
Parametri YES mundëson përdorimin e një komande të veçantë FTP të njohur si "async ABOR".
sfond PO
Parametri YES mundëson që vsftpd të ekzekutohet në sfond.
check_shell PO
Kujdes! Ky opsion funksionon vetëm për vsftpd të ndërtuar pa "PAM"! Nëse opsioni është vendosur në - JO, atëherë vsftpd nuk kontrollon për guaskën e një përdoruesi lokal në / etc / shells. Zakonisht, nëse guaska e përdoruesit nuk gjendet në / etc / shells, atëherë qasja FTP për atë përdorues do të refuzohet!
chmod_enable PO
Parametri YES i mundëson përdoruesve lokalë të përdorin komandën "SITE CHMOD". Përdoruesit anonimë nuk mund ta përdorin kurrë këtë komandë!
chown_loads JO
Parametri YES bën që pronari të ndryshohet në përdoruesin e specifikuar në opsionin "chown_user-name" për të gjithë skedarët e ngarkuar nga përdorues anonimë.
chroot_list_enable JO
Parametri "YES" ju lejon të krijoni një listë të përdoruesve lokalë për të cilët, pas hyrjes, një "chroot ()" do të ekzekutohet në direktorinë e tyre kryesore. Nëse opsioni "chroot_local_user" është vendosur në "YES", atëherë gjithçka funksionon saktësisht e kundërta: për përdoruesit lokalë në listën e dhënë, "chroot ()" NUK DO të ekzekutohet. Si parazgjedhje, lista e përdoruesve përmbahet në skedarin / etc / vsftpd / chroot_list, mund të specifikoni çdo emër tjetër skedari duke përdorur opsionin "chroot_list_file".
chroot_local_user NO
Opsioni YES bën që përdoruesit lokalë të chroot () në drejtorinë e tyre kryesore pas hyrjes. Kujdes! Ky opsion mund të jetë i dëmshëm për sigurinë, veçanërisht në rastin kur përdoruesi mund të ngarkojë skedarë ose të ketë akses në guaskë. Aktivizoni vetëm nëse e kuptoni se çfarë po bëni!
lidh_nga_porti_20 NR
Opsioni i vendosur në PO ju lejon të përdorni portin 20 (ftp-data) në server për transferimin e të dhënave, për arsye sigurie, disa klientë mund të kërkojnë këtë sjellje nga serveri. Në të kundërt, çaktivizimi i këtij opsioni lejon që vsftpd të funksionojë me më pak privilegje.
debug_ssl JO
Opsioni i vendosur në PO çon në regjistrimin e lidhjeve SSL. (Shtuar në 2.0.6)
mohoj_email_enable JO
Parametri YES ju lejon të ofroni një listë të fjalëkalimeve të stilit të postës elektronike për përdoruesit anonimë (për të cilët qasja do të refuzohet). Si parazgjedhje, lista gjendet në skedarin / etc / vsftpd / banned_emails, por mund të specifikoni një skedar tjetër duke përdorur opsionin banned_email_file.
dirlist_enable PO
Opsioni i vendosur në JO mohon aksesin për të ekzekutuar komandat për të parë përmbajtjen e dosjeve.
dirmessage_enable JO
Parametri YES bën të mundur shfaqjen e mesazheve për përdoruesit që hyjnë në një direktori për herë të parë. Si parazgjedhje, mesazhet janë në skedarët .message, por ju mund të specifikoni një skedar tjetër duke përdorur opsionin message_file.
shkarko_aktivizo PO
Parametri NO ndalon shkarkimin e skedarëve.
dual_log_enable JO
Parametri YES mundëson gjenerimin paralel të dy regjistrave / var / log / xferlog dhe /var/log/vsftpd.log. E para është stili wu-ftpd, i dyti është stili vsftpd.
forca_dot_files NR
Parametri YES mundëson shfaqjen e skedarëve dhe drejtorive, emri i të cilëve fillon me një pikë. Përjashtim bëjnë emrat "." dhe ".."
force_anon_data_ssl NR
Funksionon vetëm nëse opsioni "ssl_enable" është i aktivizuar. Parametri YES detyron lidhjet e të gjithë përdoruesve anonimë në modalitetin SSL gjatë shkarkimit dhe ngarkimit të skedarëve.
force_anon_logins_ssl NR
Funksionon vetëm nëse opsioni ssl_enable është i aktivizuar. Parametri YES detyron të gjithë përdoruesit anonimë të ndërrojnë lidhjet kur dërgojnë një fjalëkalim.
force_local_data_ssl PO
Funksionon vetëm nëse opsioni ssl_enable është i aktivizuar. Parametri YES detyron lidhjet e të gjithë përdoruesve joanonimë në modalitetin SSL kur shkarkojnë dhe ngarkojnë skedarë.
force_local_logins_ssl PO
Funksionon vetëm nëse parametri "ssl_enable" është i aktivizuar. Opsioni YES detyron të gjithë lidhjet e përdoruesve joanonimë në modalitetin SSL kur të dërgohet fjalëkalimi.
guest_aktivizoj JO
Parametri YES thotë se të gjitha lidhjet anonime duhet të trajtohen si lidhje "të ftuar". Hyrja e vizitorit do t'i ricaktohet përdoruesit të specifikuar nga parametri "guest_username".
hide_ids NR
Parametri YES bën që grupi dhe pronari të jenë gjithmonë "ftp" kur shfaqen për të gjithë skedarët dhe drejtoritë.
dëgjoni PO
Parametri YES bën që vsftpd të fillojë në modalitetin daemon. Kjo do të thotë që vsftpd nuk mund të niset nga inetd. Në vend të kësaj, vsftpd ekzekutohet drejtpërdrejt një herë dhe do të trajtojë vetë lidhjet hyrëse.
listen_ipv6 JO
Njësoj si për parametrin e dëgjimit, vetëm vsftpd do të shërbejë IPv6, jo vetëm IPv4. Ky parametër dhe parametri i dëgjimit janë reciprokisht ekskluzivë.
lokal_aktivizoj JO
Parametri YES lejon përdoruesit lokalë të identifikohen përmes FTP (nga / etc / passwd ose të vërtetuara përmes PAM). Ky parametër duhet të aktivizohet nëse doni të organizoni punën e përdoruesve jo anonimë, përfshirë ata virtualë.
lock_upload_files PO
Parametri YES mundëson bllokimin e shkrimit për të gjithë skedarët e ngarkuar. Të gjithë skedarët e shkarkuar kanë një bllokim të përbashkët leximi. Kujdes! Para se të aktivizoni këtë opsion, mbani mend se leximi me qëllim të keq mund të çojë në faktin se përdoruesit që ngarkojnë skedarë nuk do të jenë në gjendje t'i shtojnë ato.
log_ftp_protokolli NR
Opsioni YES bën që të gjitha kërkesat dhe përgjigjet FTP të regjistrohen dhe opsioni xferlog_std_format është i çaktivizuar.
ls_recurse_enable JO
Nëse vendoset në PO, atëherë mundëson përdorimin e "ls -R". Kjo paraqet një rrezik të rëndësishëm sigurie sepse ekzekutimi i "ls -R" në një drejtori të nivelit të lartë që përmban shumë nëndrejtori dhe skedarë mund të jetë shumë intensive me burime.
mdtm_shkruaj PO
Nëse opsioni është vendosur në PO, atëherë ai mundëson MDTM vendosjen e kohës së modifikimit të skedarit (i dobishëm për të kontrolluar aksesin)
no_anon_password NR
Nëse opsioni është vendosur në PO, atëherë vstpd nuk u kërkon përdoruesve anonimë një fjalëkalim.
no_log_lock NR
Opsioni YES i thotë vsftpd të mos bllokojë kur shkruan në skedarët e regjistrit. Zakonisht ky opsion është i çaktivizuar. Në Solaris, në lidhje me sistemin e skedarëve Veritas, ndonjëherë shfaqet një gabim, duke rezultuar në një pezullim kur përpiqeni të bllokoni skedarët e regjistrit.
një_proces_model NR
Për kernelet 2.4, mbështetet një model i ndryshëm sigurie: një proces për lidhje. Ky model është më pak i sigurt, por më produktiv. Mos e aktivizoni nëse nuk kuptoni se çfarë po bëni dhe nëse serveri juaj nuk ka nevojë të mbështesë një numër të madh lidhjesh individuale.
passwd_chroot_enable NR
Nëse opsioni është vendosur në YES, aktivizon së bashku me chroot_local_user, aktivizon chroot () veçmas për secilin përdorues, bazuar në të dhënat për direktorinë e tij kryesore të marra nga / etc / passwd. Në këtë rast, vlera "/./" në rreshtin që specifikon direktorinë kryesore nënkupton një vendndodhje të veçantë në shteg.
pasv_addr_resolve NR
Nëse opsioni është vendosur në YES, ju lejon të përdorni emrin (në vend të adresës IP) në pasv_addres
pasv_enable PO
Nëse opsioni është vendosur në JO, atëherë ai çaktivizon metodën PASV në lidhjen e marrë për marrjen / transmetimin e të dhënave.
pasv_promiscuous NR
Nëse opsioni është vendosur në PO, atëherë ai çaktivizon kontrollin e sigurisë, qëllimi i të cilit është të sigurohet që lidhja për marrjen / transmetimin e të dhënave kryhet nga e njëjta adresë IP si lidhja e kontrollit. Përfshini vetëm nëse e kuptoni se çfarë po bëni! Kjo është e nevojshme vetëm në disa raste kur vendosni tunele të sigurta ose kur mbështetni FXP.
port_aktivizoj PO
Nëse opsioni është vendosur në JO, atëherë ai çaktivizon metodën PORT në lidhjen e marrë për marrjen / transmetimin e të dhënave.
port_promiskuent NR
Nëse opsioni është vendosur në PO, atëherë ai do të çaktivizojë kontrollin e sigurisë PORT, qëllimi i të cilit është të sigurohet që lidhja dalëse të jetë e lidhur saktësisht me klientin. Përfshini vetëm nëse e kuptoni se çfarë po bëni!
kerkoj_certifikim NR
Opsioni YES kërkon që të gjithë klientët SSL të kenë një certifikatë klienti. Zvogëlimi i zbatueshëm për këtë certifikatë kontrollohet nga parametri validate_cert (shtuar në 2.0.6).
run_as_launching_user NO
Vendoseni në PO nëse dëshironi të ekzekutoni vsftpd si përdorues aktual i fillimit. Kjo zakonisht nevojitet në rastet kur qasja në rrënjë nuk është e disponueshme. NJOFTIM SERIOZ! MOS e aktivizoni këtë parametër derisa të jeni plotësisht të vetëdijshëm për atë që po bëni, pasi përdorimi i këtij parametri mund të krijojë një problem serioz sigurie. Është veçanërisht e rëndësishme që vsftpd të mos mund të përdorë / si direktorium rrënjë, dhe gjithashtu të përdorë chroot për të kufizuar aksesin e skedarit kur ky opsion është i aktivizuar (edhe nëse vsftpd po funksionon si rrënjë). Një zgjidhje më pak e përshtatshme mund të jetë përdorimi i deny_file me argumente të tilla si (/*,*..*), por besueshmëria e një zgjidhjeje të tillë nuk mund të krahasohet me chroot, prandaj mos u mbështetni shumë në këtë. Kur përdorni këtë parametër, vendosen kufizime për opsionet e tjera. Për shembull, mos prisni që opsionet e privilegjuara si hyrjet jo anonime, ngarkimet e skedarëve me ndryshimin e pronësisë, lidhja në portin 20 dhe lidhja në portet më të vogla se 1024 dhe të tjera të tilla, të funksionojnë.
safe_email_list_enable NR
Vendosni PO nëse dëshironi që vetëm lista e specifikuar e adresave të postës elektronike të përdoret si fjalëkalime për hyrje anonime. Kjo është e dobishme për të kufizuar disi aksesin në përmbajtjen e serverit pa krijuar përdorues virtualë. Përdoruesve anonimë do t'u refuzohet hyrja nëse fjalëkalimi që ata kanë specifikuar nuk është në listë, i cili ndodhet në skedarin email_password. Formati i skedarit: një fjalëkalim për rresht pa hapësira shtesë. Vendndodhja e parazgjedhur e skedarit është / etc / vsftpd / email_passwords
sesion_mbështetje NR
Nëse vendoset në PO, vsftpd do të përpiqet të mbajë sesione. Kur e bën këtë, do të përpiqet të përditësojë wtmp dhe utmp. Nëse PAM përdoret për autorizim, atëherë vsftpd do të përpiqet gjithashtu të hapë pam_session në hyrje dhe ta mbyllë atë vetëm në daljen e përdoruesit. Nëse nuk keni nevojë për regjistrimin e sesioneve, mund ta çaktivizoni atë dhe gjithashtu mund t'i thoni vsftpd të ekzekutojë më pak procese dhe/ose me më pak privilegje. Modifikimi i wtmp dhe utmp funksionon vetëm nëse vsftpd është ndërtuar me mbështetje PAM.
setproctitle_enable NR
Nëse vendoset në PO, atëherë vsftpd do të përpiqet të shfaqë informacionin e gjendjes së sesionit në listën e procesit. Me fjalë të tjera, emri i procesit i shfaqur do të ndryshohet për të pasqyruar gjendjen e sesionit vsftpd (në gjendje të papunë, shkarkim, etj.) Për arsye sigurie, mund të dëshironi ta lini këtë opsion të çaktivizuar.
ssl_enable JO
Nëse opsioni është vendosur në PO dhe vsftpd është ndërtuar me bibliotekën openSSL, atëherë vsftpd do të trajtojë lidhje të sigurta mbi SSL. Kjo vlen si për lidhjet e kontrollit ashtu edhe për lidhjet e transmetimit të të dhënave. Klienti gjithashtu duhet të mbështesë lidhjet SSL. Përdoreni këtë parametër me kujdes sepse vsftpd mbështetet tërësisht në openSSL për sigurinë SSL dhe nuk mund të garantojë që biblioteka nuk ka gabime.
ssl_request_cert PO
Nëse opsioni është vendosur në PO, atëherë vsftpd kërkon (por nuk ka nevojë) klientin për një certifikatë.
ssl_sslv2 JO
Zbatohet vetëm nëse opsioni ssl_enable është i aktivizuar. Nëse opsioni është caktuar në PO, lidhjet SSL v2 lejohen. Preferohen lidhjet TLS V1.
ssl_sslv3 JO
Zbatohet vetëm nëse opsioni ssl_enable është i aktivizuar. Nëse opsioni është caktuar në PO, lidhjet SSL v3 lejohen. Preferohen lidhjet TLS V1.
ssl_tlsv1 PO
Zbatohet vetëm nëse ssl_enable është i aktivizuar. Nëse opsioni është vendosur në PO, atëherë lidhjet TLS V1 lejohen. Preferohen lidhjet TLS V1.
Shtesat e përdoruesit.
Krijoni një përdorues të ri të quajtur 'ftpuser' dhe caktojini atij direktoriumin kryesor '/ home / ftpuser':
# useradd -d "/ home / ftpuser" -s / sbin / nologin ftpuser
Le të shtojmë një fjalëkalim për përdoruesin e krijuar:
# passwd ftpuser
Krijo një direktori kryesore për këtë përdorues (nëse nuk është shtuar tashmë):
# mkdir -p / shtëpi / ftpuser
# chown -R ftpuser "/ home / ftpuser" # chmod 775 "/ home / ftpuser"
Krijoni një grup 'ftpusers' për përdoruesit e FTP dhe shtoni 'ftpuser' në të:
# groupadd ftpusers # usermod -G ftpusers ftpuser
Rregullat për tabelat IP.
Nëse jeni duke përdorur IPTABLES, duhet të krijoni një rregull përkatës për VSftpd:
# vim / etj / sysconfig / iptables
Shtoni rreshtin e mëposhtëm, përpara linjës REJECT, për të hapur portin 21:
Një gjendje INPUT -m --state NEW -m tcp -p tcp --dport 21 -j ACCEPT
Ruani dhe mbyllni skedarin, si dhe rinisni murin e zjarrit:
# shërbimi iptables rinis
Rifresko Vsftpd:
# rinis shërbimi vsftpd
Shtoni Vsftpd në fillimin për këtë, ekzekutoni:
# chkconfig vsftpd aktivizuar
# chkconfig --levels 235 vsftpd aktiv
Ju mund të kontrolloni nivelet e ekzekutimit si kjo:
# chkconfig --list vsftpd
Ju duhet të merrni diçka të tillë:
Vsftpd 0: jashtë 1: jashtë 2: në 3: në 4: në 5: në 6: jashtë
Ju mund të shihni që serveri po punon normalisht duke ekzekutuar komandën:
# ps -aux | grep vsftpd
Hapi 3 - Shkoni te FTP Server
Pasi të keni instaluar serverin FTP dhe ta konfiguroni atë sipas dëshirës tuaj, mund ta përdorni atë. Mund të hyni në serverin FTP përmes një shfletuesi duke shtypur emrin e domenit në shiritin e adresave dhe të identifikoheni me ID-në përkatëse.
ftp: // site /
Përndryshe, mund të arrini serverin FTP duke përdorur vijën e komandës duke shtypur:
# faqe FTP
Instalimi i vsftpd në CentOS tani ka përfunduar. Pika kryesore është e qartë, detajet (nëse papritmas nuk janë të qarta) më pyesni. Unë mund të ndihmoj.
Tani le të shohim një shembull të organizimit të një serveri FTP bazuar në vsFTPd dhe CentOS 7... Shërbimi FTP do të jetë jashtëzakonisht i dobishëm për çdo organizatë dhe shërbime, për shembull,. Hapi i parë është instalimi i paketave të kërkuara vsftpd:
sudo yum -y instalo vsftpd
Pas kësaj, kopjoni skedarin e cilësimeve në një vend të sigurt, d.m.th. drejtori të veçantë. Siç kam shkruar në artikujt e mëparshëm, kjo është praktikë e mirë dhe aftësia për t'u kthyer në cilësimet e paracaktuara.
sudo mkdir / rezervë
sudo cp /etc/vsftpd/vsftpd.conf / rezervë
Ne gjithashtu instalojmë klientin ftp në serverin e përdorur - mund të jetë i dobishëm në të ardhmen dhe tani kur kontrolloni cilësimet. Instalimi është gjithashtu i thjeshtë:
sudo yum -y instaloni ftp
Konfigurimi i serverit vsFTPd
Pas instalimit të serverit dhe klientit, ne vazhdojmë me konfigurimin e vsftpd. Duhet t'i kushtoni vëmendje menjëherë: Akses anonime në FTP lejohet si parazgjedhje. Cakto anonymous_enable = JO për ta mbajtur serverin të sigurt.
Cilësimi do të bëhet duke redaktuar skedarin e konfigurimit vsftpd.conf:
sudo nano /etc/vsftpd/vsftpd.conf
Le të bëjmë ndryshimet e mëposhtme:
Kjo do të jetë e mjaftueshme që serveri i krijuar FTP të funksionojë siç duhet, për të marrë të dhëna të zgjeruara për parametrat e përdorur - përdorni man (man vsftpd.conf).
Shtimi i një përdoruesi të ri FTP
Krijoni një përdorues të veçantë FTP të quajtur ftpuser dhe drejtorinë e paracaktuar / var / www / your_directory:
useradd -d '/ var / www / path / to / your / dir' -s / sbin / nologin ftpuser
Le të vendosim një fjalëkalim:
Nëse drejtoria kryesore për ftpuser nuk është krijuar ende, atëherë le ta bëjmë tani:
mkdir -p / var / www / path / to / your / dir
chown -R ftpuser '/ var / www / path / to / your / dir'
chmod 775 '/ var / www / path / to / your / dir'
Krijoni një grup 'ftpusers' për përdoruesit e FTP dhe shtoni 'ftpuser' në të:
grupe shto ftpusers
usermod -G ftpusers ftpuser
Konfigurimi i iptables për vsFTPd
Që serveri FTP të funksionojë siç duhet, duhet të bëni cilësimet IPTABLES(shtoni rregulla për FTP). Mësoni më shumë rreth iptables: +.
Hapni skedarin e konfigurimit iptables dhe bëni ndryshimet e mëposhtme:
sudo nano / etj / sysconfig / iptables
-A INPUT -m gjendje —gjendje E RE -m tcp -p tcp —dport 21 -j ACCEPT
Ruani dhe mbyllni skedarin. Rinisni murin e zjarrit me komandën:
sudo systemctl rinisni iptables
Konfigurimi i nisjes automatike të vsFTPd në fillimin e sistemit
chkconfig — nivelet 235 vsftpd në
Le të fillojmë vsFTPd Shërbimi FTP:
Gati. Vendosja e një serveri FTP përfunduar. Ne kontrollojmë punën e tij në nivel lokal.
|Paralajmërim: FTP është i pasigurt! Rekomandohet të përdoret në vend të kësaj.
FTP (ose Protokolli i Transferimit të Skedarit) është një metodë e shkëmbimit të skedarëve midis një serveri lokal dhe një serveri të largët. Ky protokoll është mjaft popullor, por mund ta vërë sistemin në rrezik serioz për shkak të mungesës së kriptimit: FTP transferon të dhënat në tekst të thjeshtë.
Siç u përmend, SFTP është një alternativë e shkëlqyer. Ky protokoll zbaton shkëmbimin e skedarëve duke përdorur protokollin SSH.
shënim: nëse është e nevojshme të përdorni FTP, lidhja mund të mbrohet duke përdorur certifikatat SSL / TLS.
Ky tutorial tregon se si të përdorni certifikatat SSL dhe TLS në vsftpd në një server të dedikuar virtual CentOS 6.4.
Instalimi i vsftpd
Serveri vsftpd mund të shkarkohet nga depot standarde të CentOS. Për të instaluar vsftpd, shkruani:
sudo yum instaloni vsftpd
Serveri vsftpd është i instaluar në VPS. Filloni ta konfiguroni atë.
Konfigurimi bazë vsftpd
Skedari kryesor i konfigurimit vsftpd vsftpd.conf në CentOS ruhet në drejtorinë / etc / vsftpd /. Hapeni atë në një redaktues teksti me privilegje rrënjësore:
Në këtë skedar, ju duhet të ndryshoni disa parametra bazë për të rritur nivelin e sigurisë, si dhe të vendosni parametrat e lidhjes.
Së pari ju duhet të mohoni aksesin për përdoruesit anonimë. Ndonjëherë qasja e hapur për përdoruesit anonimë inkurajohet (për shembull, në rastin e një depoje të hapur skedarësh), por kjo nuk është definitivisht e përshtatshme për një server personal FTP.
anonim_enable = JO
Qasja anonime tani është refuzuar. Prandaj, duhet t'i siguroni sistemit një metodë vërtetimi. Hapni aksesin lokal të përdoruesit (kjo do të thotë që vsftpd do të jetë në gjendje të përdorë hyrjet dhe përdoruesit e sistemit Linux).
Për ta bërë këtë, sigurohuni që të jetë vendosur opsioni i mëposhtëm:
aktivizimi_lokal = PO
Përveç kësaj, ju duhet t'u jepni këtyre përdoruesve leje shkrimi në mënyrë që ata të mund të shkarkojnë dhe modifikojnë përmbajtjen.
shkrim_aktivizoj = PO
Tani duhet t'i kufizojmë përdoruesit në drejtoritë e tyre të shtëpisë. Ekziston një parametër për këtë:
chroot_local_user = PO
Për konfigurimin bazë (jo-SSL) FTP, kjo është e mjaftueshme. Shtimi i funksionalitetit SSL do të përshkruhet më vonë.
Ruani dhe mbyllni skedarin.
Krijo përdorues FTP
Pra, tani përdoruesit lokalë kanë akses në server dhe nuk mund të lundrojnë mbi drejtoritë e shtëpisë (falë mjedisit chroot).
Krijo një përdorues të ri duke përdorur komandën:
sudo adduser ftpuser
Krijo një fjalëkalim për përdoruesin e ri duke shtypur:
sudo passwd ftpuser
CentOS 6.4 përdor një version më të vjetër të vsftpd, kështu që konfigurimi i tij është pak më i lehtë se disa versione më të reja.
Konfigurimi i vsftpd për mbështetje SSL
Gjëja e parë që duhet të bëni është të krijoni një certifikatë SSL. Në fakt, tutoriali përdor TLS, i cili është pasardhësi i SSL dhe është më i sigurt.
Në direktorinë SSL, krijoni një nëndrejtori për të ruajtur skedarët:
sudo mkdir / etc / ssl / private
Përdorni komandën e mëposhtme për të krijuar një certifikatë dhe çelës në një skedar:
openssl req -x509 -nyjet -ditët 365 -newkey rsa: 1024 -keyout /etc/ssl/private/vsftpd.pem -out /etc/ssl/private/vsftpd.pem
Do të ofrohet një listë pyetjesh. Plotësoni fushat me informacionin e duhur. Kushtojini vëmendje të veçantë rreshtit të Emrit të Përbashkët; futni adresën IP të serverit ose domenin në të. Në fakt, pjesa tjetër e fushave mund të lihen bosh.
Injeksion SSL në konfigurimin vsftpd
Tani duhet të modifikoni konfigurimet tuaja vsftpd për të vendosur një lidhje të sigurt.
Hapni skedarin e konfigurimit vsftpd si përdorues rrënjë:
sudo nano /etc/vsftpd/vsftpd.conf
Shkoni në fund të skedarit dhe plotësoni informacionin tuaj SSL / TLS.
Këtu duhet të specifikoni vendndodhjen e certifikatës dhe çelësave. Meqenëse është e gjitha në një skedar, përfshini atë skedar në të dy opsionet:
rsa_cert_file = / etc / ssl / private / vsftpd.pem
rsa_private_key_file = / etc / ssl / private / vsftpd.pem
Më pas, duhet të aktivizoni mbështetjen për këto skedarë dhe të çaktivizoni përdoruesit anonimë. Është gjithashtu e nevojshme të konfiguroni përdorimin e detyruar të SSL për të gjitha lidhjet e përdoruesve jo anonimë kur dërgoni një fjalëkalim ose transferoni të dhëna. Kjo do të rrisë shumë sigurinë.
ssl_enable = PO
allow_anon_ssl = JO
force_local_data_ssl = PO
force_local_logins_ssl = PO
Atëherë duhet të kufizoni llojin e lidhjes në TLS më të sigurt. Për ta bërë këtë, aktivizoni në mënyrë të qartë TLS dhe çaktivizoni SSL:
ssl_tlsv1 = PO
ssl_sslv2 = JO
ssl_sslv3 = JO
Në fund, shtoni parametrat e mëposhtëm:
Kërkoj_ssl_ripërdorim = JO
ssl_ciphers = LARTË
Ruani dhe mbyllni skedarin.
Rinisni vsftpd për të aktivizuar cilësimet e reja:
sudo /etc/init.d/vsftpd rinis
Për të konfiguruar vsftpd që të fillojë automatikisht në nisjen e serverit, përdorni:
sudo chkconfig vsftpd aktivizuar
Lidhja me vsftpd me FileZilla
Lidhjet SSL dhe TLS mbështeten nga shumica e klientëve modernë FTP. Ky seksion ju tregon se si të konfiguroni FileZilla për të përdorur lidhje të sigurta (për shkak të natyrës së tyre ndër-platformë).
shënim: Supozohet se klienti është instaluar tashmë.
Hapni FileZilla. Klikoni në Site Manager.
Do të shfaqet një ndërfaqe e re, në të klikoni butonin New Site në këndin e poshtëm të majtë. Specifikoni një emër për lidhjen me serverin në mënyrë që ta identifikoni lehtësisht më vonë.
Në fushën Host, vendosni adresën IP, në menunë rënëse të Protokollit, zgjidhni "FTP - Protokolli i Transferimit të Skedarit". Nga menyja rënëse Kriptimi, zgjidhni Kërkoni FTP të qartë mbi TLS.
Nga menyja Lloji i hyrjes, zgjidhni Kërkoni për fjalëkalim. Në fushën User, futni përdoruesin e krijuar më parë FTP.
Hapi tjetër është treguesi i parë që TLS po përdoret për t'u lidhur me serverin. Paralajmërimi "Çertifikata e serverit është e panjohur. Ju lutemi ekzaminoni me kujdes certifikatën për t'u siguruar që serverit mund t'i besohet ": në këtë fazë, ju duhet të konfirmoni certifikatën.
Informacioni i futur gjatë krijimit të certifikatës duhet të shfaqet në ekran, duke ju lejuar të konfirmoni lidhjen.
Pranoni certifikatën për të vendosur lidhjen.
Rezultatet
Ky udhëzues ofron një opsion konfigurimi më të sigurt. Megjithatë, mund të tregojë edhe disa çështje sigurie. Prandaj, nuk rekomandohet përdorimi i FTP në instalimet me qasje në internet, në raste të tilla është më mirë të drejtoheni te SFTP.
Etiketa:,Protokolli i mirë i vjetër i transferimit FTP ju lejon të transferoni skedarë përmes rrjeteve dhe ka shumë të ngjarë që ta keni hasur ose dëgjuar ndonjëherë për të. Si parazgjedhje, ai përdor portin 21 (kjo ka ndodhur historikisht), dhe tradicionalisht shërben për shkëmbimin e skedarëve midis makinave, sipas skemës klient-server, si dhe shumë protokolle të tjera. FTP është heroi i kohës së tij, dhe sot është në kërkesë të madhe për detyrat e serverëve publikë ftp. Për më tepër, shumë kompani pritëse vazhdojnë të mbështesin këtë protokoll për shkak të lehtësisë së tij për ndarjen e skedarëve.
Në këtë postim, ne do të shikojmë instalimin e një serveri ftp në një sistem operativ CentOS. Për shkak të faktit se është zhvilluar shumë kohë më parë, ftp origjinal nuk është i sigurt për sa i përket kriptimit të trafikut, etj., gjë që sot minon rëndësinë e tij nga standardet moderne të sigurisë. Prandaj, zgjedhja më optimale për shumicën e përdoruesve që kanë nevojë për një server ftp është softueri vsftp(Daemon shumë i sigurt FTP). Vlen të përmendet besueshmëria e tij, si dhe thjeshtësia e konfigurimit të një serveri FTP.
Instalimi i vsftpd
Për të instaluar serverin vsftpd, duhet të identifikoheni si rrënjë, më pas të ekzekutoni komandën:
# yum instalo vsftpd
Kjo paketë përfshihet në depo standarde CentOS dhe nuk duhet të ketë probleme me instalimin e këtij softueri. Pasi të ketë kaluar procesi i instalimit, mund të shtoni fillimin e serverit në fillimin e sistemit:
# chkconfig vsftpd aktivizuar
Pasi të jetë instaluar serveri, konfigurimi bazë lejon që serveri të funksionojë me cilësimet e paracaktuara. Për të bërë ndryshime në cilësimet e konfigurimit, thjesht duhet të redaktoni skedarin e konfigurimit:
/etc/vsftpd/vsftpd.conf
Në këtë rast, rekomandohet të ruani një kopje rezervë të skedarit të konfigurimit përpara se të bëni ndonjë rregullim shtesë. Leximi i dokumentacionit do t'ju lejojë të personalizoni serverin "për veten tuaj" me sa më pak humbje kohe, nervash dhe nuk e dini kurrë. Ai përshkruan qëllimin e shumë parametrave, të cilët nuk do t'i përshkruaj këtu.
Pas kësaj, ju mund të filloni serverin, por ka diçka tjetër që mund ta pengojë serverin të funksionojë, ky është një mur zjarri, pasi në shumicën e rasteve me konfigurimin e serverit, duhet të lejoni lidhjen me serverin tuaj.
Rregullat e Iptables
Hapja e skedarit të konfigurimit iptables:
/ etc / sysconfig / iptables
Shtoni rregulla për serverin ftp:
Iptables -A INPUT -p tcp --dport 21 -j ACCEPT iptables -A OUTPUT -p tcp --sport 20 -j ACCEPT
Mos harroni se rregullat hyjnë në fuqi, iptables duhet të rifillohen.
# shërbimi iptables rinis
Duke ekzekutuar vsftpd
# fillimi i shërbimit vsftpd
Si përfundim, do të doja të theksoja faktin se vsftpd, megjithë lehtësinë e instalimit, është një server mjaft i fuqishëm me një numër të mjaftueshëm të mirash dhe dobie. Midis tyre, do të shënoja veçoritë më të rëndësishme, të tilla si përdoruesit virtualë, cilësimet individuale, kufijtë, cilësimet e veçanta për adresat IP individuale dhe shumë më tepër.
Një shembull i një konfigurimi të thjeshtë të serverit
Redaktoni skedarin e konfigurimit:
# vi /etc/vsftpd/vsftpd.conf
Parandaloni një përdorues që të dalë nga drejtoria kryesore
Chroot_local_user = PO
Ne ndalojmë hyrjen anonime në server
Anonim_aktivizues = JO
Krijoni përdorues FTP
Shto përdorues
# përdorues, shtoni ftpuser
Vendosni një fjalëkalim për përdoruesin e krijuar
# passwd ftpuser
Guxoni, modifikoni skedarin / etc / passwd
Gjeni vargun e përdoruesit ftpuser:
Ftpuser: x: 513: 513 :: / shtëpi / ftpuser: / bin / bash
/ shtëpi / ftp- drejtoria kryesore e përdoruesit;
/ sbin / nologin- ndalimi i aksesit të përdoruesit në sistem;
Për lehtësinë e përdorimit, mund të krijoni një grup për shembull ftpusers, më pas të vendosni të drejtat e duhura në dosjen / home / ftp
Disa nga programet e njohura për t'u lidhur me një server FTP janë FileZilla ose Total Commander.
(cm. ). Gjithashtu në faqen tonë ka një postim se si mund të përdoret midis dy serverëve Linux.
Lidhja është konfiguruar në të njëjtën mënyrë si në rastet e tjera, në cilësimet e lidhjes ne specifikojmë adresën e serverit, emrin e përdoruesit ftpuser, fjalëkalimin.
Drejtoria kryesore mund të hiqet, pasi si parazgjedhje do të jetë / shtëpi / ftp.
Kohët e fundit, një skenar në puff u aktivizua. Skenari u ble, prandaj vendosa të mos merrem me të, por të kontaktoj drejtpërdrejt mbështetjen e shitësit për të sqaruar problemin. Mbështetja u përgjigj shkurt: keni nevojë për qasje në FTP - do ta shohim. Dhe këtu u vara për gjysmë minutë ...
Në fund të fundit, ftp nuk është i instaluar në Kent tim, sepse unë punoj nën SSH. Për më tepër, unë regjistrohem jo me një fjalëkalim, por nën një certifikatë. Nuk mund ta marr dhe t'i jap një çelës SSH, nën të cilin më pas do të jetë e mundur të identifikohesh përgjithmonë në server. Dhe edhe nëse aktivizoni përkohësisht futjen e fjalëkalimit, pse një mbështetje për një skript specifik për një km të caktuar duhet të shohë të gjithë serverin tim dhe çfarë ndodhet në të?
Epo, unë mendoj se vetëm për raste të tilla të veçanta ju duhet të ngrini ftpishechku.
Për fat të mirë, në realitet gjithçka doli të ishte mjaft e shpejtë dhe e thjeshtë, dhe madje bëri një zgjedhje menjëherë - "vsftpd" (FTP Daemon shumë i sigurt). Shpejt. laike. Ndër-platformë. Lehtë për t'u instaluar dhe konfiguruar. Me fjalë të tjera, një nga serverët më të mirë FTP.
Instaloni dhe konfiguroni vsftpd
$ yum instaloni vsftpdPastaj ne redaktojmë skedarin kryesor të konfigurimit, në të cilin ju duhet:
- Izoloni përdoruesit në drejtorinë e tyre kryesore.
- Refuzo qasjen anonime.
| 1
2 | chroot_local_user = PO anonim_enable = JO |
Konfigurimi i përdoruesve të vsftpd
Është e rëndësishme të kuptoni një pikë shumë interesante këtu: nuk keni nevojë të shtoni përdorues shtesë FTP, ata tashmë ekzistojnë. Dhe përdoruesit u shtuan pikërisht kur instaluam AMP në CentOS. Me fjale te tjera - përdoruesi tashmë ka akses të plotë në drejtorinë e tij kryesore gjithçka që mbetet është ta modifikoni për të mundësuar autorizimin nën vsftpd.
Për shembull, ne kemi nevojë për qasje FTP në drejtorinë / var / www / vhosts / të sitit në server, i cili është në pronësi të përdoruesit pothuajse mbi të. Ne bëjmë sa më poshtë:
- Ne shikojmë listën e përdoruesve dhe ndryshojmë direktorinë standarde të shtëpisë në atë që na nevojitet.
- Vendosni përdoruesin në një fjalëkalim për hyrjen në FTP.
Caktimi i drejtorisë kryesore
$ nano / etj / passwd| 1
2 | -pothuajse mbi: x: 500: 500 :: / shtëpi / pothuajse mbi: / kosh / bash + pothuajse më shumë: x: 500: 500 :: / var / www / vhosts / sajti: / sbin / nologin |
Gjithashtu vijon zëvendëso / bin / bash me / sbin / nologin, për të mohuar aksesin e përdoruesit në sistem.
Vendosni një fjalëkalim për përdoruesin
$ passwd pothuajse ka mbaruarEkzekutoni vsftpd
Dhe vetëm pasi të jenë bërë të gjitha cilësimet e mësipërme, ne fillojmë vetë serverin FTP.
fillimi i shërbimit $ vsftpdDhe nëse planifikojmë të përdorim serverin FTP në mënyrë të vazhdueshme, mos harroni ta shtoni atë në fillim.
$ chkconfig vsftpd aktivizohetPërfundime në lidhje me serverin FTP
Nëse do të përdoret FTP në mënyrë të vazhdueshme apo jo, varet nga secili personalisht.
Nga njëra anë, nëse planifikoni të punoni me një direktori (faqe) të veçantë, atëherë një plus i mirë këtu do të jetë që nuk keni nevojë të ngarkoni vazhdimisht skedarë ose drejtori të sapo shkarkuar. Të gjitha operacionet do të kryhen në emër të përdoruesit aktual dhe, në përputhje me rrethanat, të gjitha të drejtat si parazgjedhje do t'i caktohen atij.
Nga ana tjetër, qëllimi im personal për ngritjen e FTP u shpreh që në fillim: kur duhet t'i jepni dikujt qasje të përkohshme në një drejtori të veçantë të izoluar në server / sajt specifik:
- Ndryshoj fjalëkalimin nga hyrja e lëshuar.
- Unë filloj vsftpd.
- Unë jap hyrjen dhe fjalëkalimin nga FTP.
- Unë ndaloj vsftpd.
- Ndryshoj përsëri fjalëkalimin nga i njëjti emër përdoruesi (në rast se herën tjetër lëshohet një emër përdoruesi tjetër).
Nuk ka SSH.
Nuk ka drejtori të panevojshme.
Gjithçka është jashtëzakonisht e arsyeshme dhe sa më e sigurt që të jetë e mundur.
