Instalimi i vsftpd në CentOS. Instalimi i një serveri FTP - VsFTPd - CentOS Wiki

Protokolli i mirë i vjetër Transferet FTP ju lejon të transferoni skedarë përmes rrjeteve dhe ka shumë të ngjarë që ta keni hasur ose dëgjuar ndonjëherë për të. Si parazgjedhje, ai përdor 21 porte (kështu ka ndodhur historikisht) dhe përdoret tradicionalisht për shkëmbimin e skedarëve midis makinave, sipas skemës klient-server, si dhe shumë protokolle të tjera. FTP është heroi i kohës së tij, dhe sot është në kërkesë mjaft të lartë për detyrat e serverëve publikë FTP. Për më tepër, shumë kompani pritëse vazhdojnë të mbështesin këtë protokoll për shkak të lehtësisë së tij për ndarjen e skedarëve.

Në këtë postim do të shikojmë instalimin e një serveri ftp sistemi operativ CentOS. Për shkak të faktit se është zhvilluar shumë kohë më parë, ftp origjinal nuk është i sigurt për sa i përket kriptimit të trafikut, etj., gjë që sot minon rëndësinë e tij nga standardet moderne të sigurisë. Prandaj, shumica zgjedhje optimale për shumicën e përdoruesve që kanë nevojë për një server ftp, softueri është vsftp(Daemon shumë i sigurt FTP). Vlen të përmendet besueshmëria e tij, si dhe lehtësia e konfigurimit. Serverët FTP.

Instalimi i vsftpd
Për të instaluar serverin vsftpd, duhet të identifikoheni si rrënjë, më pas të ekzekutoni komandën:

# yum install vsftpd

Kjo paketë përfshihet në depo standarde CentOS dhe nuk ka probleme me instalimin të këtij softueri Nuk duhet të ketë probleme. Pasi të ketë kaluar procesi i instalimit, mund të shtoni serverin për të filluar në fillimin e sistemit:

# chkconfig vsftpd aktivizuar

Pasi të jetë instaluar serveri, konfigurimin bazë lejon serverin të funksionojë me cilësimet e paracaktuara. Për të bërë ndryshime në cilësimet e konfigurimit, thjesht duhet të redaktoni skedarin e konfigurimit:
/etc/vsftpd/vsftpd.conf

Në këtë rast, rekomandohet të ruani përpara se të konfiguroni diçka më tej. kopje rezervë skedari i konfigurimit. Leximi i dokumentacionit do t'ju lejojë të konfiguroni serverin "për veten tuaj" me sa më pak kohë, nerva dhe nuk e dini kurrë. Ai përshkruan qëllimin e shumë parametrave, të cilët nuk do t'i përshkruaj këtu.
Pas kësaj mund të nisni serverin, por ka edhe një gjë tjetër që mund ta pengojë serverin të funksionojë, ky është një mur zjarri, pasi me shumicën e konfigurimeve të serverit, duhet të lejoni lidhjet me serverin tuaj.

Rregullat në iptables
Hapni skedarin e konfigurimit iptables:

/etc/sysconfig/iptables

Shtoni rregulla për serverin ftp:

Iptables -A INPUT -p tcp --dport 21 -j ACCEPT iptables -A OUTPUT -p tcp --sport 20 -j ACCEPT

Mos harroni, që rregullat të hyjnë në fuqi, iptables duhet të rifillohen.

# shërbimi iptables rinis

Nisja e vsftpd

# fillimi i shërbimit vsftpd

Si përfundim, do të doja të theksoja faktin se vsftpd, megjithë thjeshtësinë e instalimit të tij, është mjaft server i fuqishëm me një numër të mjaftueshëm të mirash dhe gjërash të dobishme. Midis tyre, do të shënoja veçoritë më të rëndësishme, siç janë përdoruesit virtualë, cilësimet individuale, limitet, cilësime të veçanta për adresat IP individuale dhe shumë më tepër.

Shembull i një konfigurimi të thjeshtë të serverit

Redaktimi i skedarit të konfigurimit:

# vi /etc/vsftpd/vsftpd.conf

Parandalimi i përdoruesit që të largohet nga drejtoria kryesore

Chroot_local_user=PO

Ne ndalojmë hyrjen anonime në server

Anonim_aktivizues=JO

Krijimi i përdoruesve të FTP
Shtimi i një përdoruesi

# përdorues, shtoni ftpuser

Vendosni një fjalëkalim për përdoruesin e krijuar

#passwdftpuser

Më pas ne redaktojmë skedarin /etc/passwd
Gjeni linjën e përdoruesit të ftpuser:

Ftpuser:x:513:513::/home/ftpuser:/bin/bash

/home/ftp- drejtoria kryesore e përdoruesit;
/sbin/nologin— ndalimi i aksesit të përdoruesit në sistem;

Për lehtësinë e përdorimit, mund të krijoni një grup, për shembull ftpusers, më pas të vendosni të drejtat e duhura në dosjen /home/ftp

Nje nga programe të njohura për t'u lidhur me një server FTP është FileZilla ose Total Commander
(cm. ). Ekziston gjithashtu një postim në faqen tonë të internetit se si mund të përdoret midis dy serverëve Linux.

Lidhja është konfiguruar në të njëjtën mënyrë si në rastet e tjera në cilësimet e lidhjes ne specifikojmë adresën e serverit, emrin e përdoruesit ftpuser, fjalëkalimin;
Drejtoria rrënjësore mund të mos specifikohet, sepse si parazgjedhje do të jetë /home/ftp.

Vsftpd ("FTP Daemon shumë i sigurt") është një server FTP për të Sisteme të ngjashme me UNIX, duke përfshirë CentOS / RHEL / Fedora dhe të tjerët Shpërndarjet Linux. Ai mbështet IPv6, SSL, duke bllokuar përdoruesit nga drejtoritë e tyre të shtëpisë dhe shumë të tjerë funksione shtesë. Në temën time "Instalimi i vsftpd në CentOS" do të shpjegoj se si mund të instaloni vsftpd në CentOS në shembuj të detajuar.

Hapi 1 - Instalimi i Vsftpd

Mund ta instaloni shpejt Vsftpd në VPS-në tuaj duke ekzekutuar komandën në vijën e komandës:

# yum install vsftpd

Ne gjithashtu duhet të instalojmë një klient FTP:

# yum instaloni ftp

Pasi skedarët të kenë përfunduar shkarkimin, pas së cilës Vsftpd do të jetë në VPS-në tuaj.

Hapi 2 - Vendosja e VSFTP

Pas instalimit të VSFTP, mund të konfiguroni konfigurimin. Do të krijoj një kopje rezervë të skedarit standard të konfigurimit (vetëm në rast):

# cp /etc/vsftpd/vsftpd.conf /etc/vsftpd/vsftpd.conf.bk

Hapni skedarin e konfigurimit:

# vim /etc/vsftpd/vsftpd.conf

Një ndryshim kryesor që duhet të bëni është të ndryshoni hyrjen animus (nuk më duhej kjo):

[...] anonymous_enable=JO [...]

Përpara këtij ndryshimi, Vsftpd lejoi hyrje anonime në server ftp Dhe përdorues të panjohur mund të hyjë në skedarët tanë VPS. Pas kësaj, hiqni komentin nga opsioni local_enable, ndryshoni atë në "po".

[...] local_aktivizohet = PO [...]

Kjo do t'u japë përdoruesve lokalë qasje në FTP.

Më pas, anuloni komandën chroot_local_user. Kur kjo linjë është "PO", gjithçka përdoruesit lokalë do të burgosen në të ashtuquajturat burgje në masën e mundësive të tyre dhe do t'i mohohet qasja në çdo pjesë tjetër të serverit. Ne ofrojmë chroot për të gjithë përdoruesit:

[...] chroot_local_user = PO [...]

[...] write_enable=PO [...]

Kjo do t'u japë përdoruesve të FTP të drejtat e shkrimit, dhe nëse është e nevojshme, çaktivizon portin 20 - do të zvogëlojë privilegjet e VSftpd:

[...] connect_from_port_20=JO [...]

Le ta vendosim maskën në 022 për t'u siguruar që të drejtat e duhura janë vendosur për të gjithë skedarët (644) dhe dosjet (755) që ngarkojmë

[...] local_umask=022 [...]

Unë kam konfiguruar skedarin e konfigurimit, por ende duhet të shtoj përdoruesit. Tani do ta bëj dhe do t'ju tregoj se çfarë dhe si.

Cilësimet shtesë për konfigurimin vsftpd

allow_anon_ssl JO
Parametri YES lejon të gjithë përdoruesit anonimë të lidhen me një lidhje SSL.

anon_mkdir_write_enable NR
Parametri YES bën të mundur krijimin e drejtorive nga përdorues anonimë (në kushte të caktuara), por për këtë ju duhet të aktivizoni opsionin "write_enable", i cili duhet të ketë të drejta anonime të shkrimit për direktoriumin prind.

anon_other_write_enable NR
Parametri YES bën të mundur që përdoruesit anonimë të kryejnë jo vetëm operacionet e ngarkimit të skedarëve dhe krijimit të dosjeve, por edhe fshirjen dhe riemërtimin e tyre.

anon_upload_enable JO
Parametri YES bën të mundur që përdoruesit anonimë të ngarkojnë skedarë në server (duhet të aktivizoni opsionin “write_enable”, të cilët duhet të kenë të drejta shkrimi për përdoruesit anonimë në dosjen e ngarkimit). Ky opsion duhet gjithashtu të aktivizohet në mënyrë që përdoruesit virtualë të mund të ngarkojnë skedarët e tyre, sepse si parazgjedhje, të gjithë përdoruesit virtualë konsiderohen anonimë.

anon_world_readable_only PO
Parametri YES është i nevojshëm në mënyrë që përdoruesit anonimë të mund të shkarkojnë vetëm skedarë që janë të lexueshëm nga të gjithë (pronari i të cilave është përdoruesi i ftp).

anonim_aktivizoj PO
Parametri YES mundëson lidhjen përdoruesit anonimë në një server të quajtur ftp dhe anonim.

ascii_download_enable JO
Parametri YES ju lejon të zgjidhni modalitetin ASCII për shkarkimin e skedarëve

ascii_upload_enable JO
Parametri YES ju lejon të zgjidhni modalitetin ASCII për ngarkimin e skedarëve

async_abor_enable JO
Parametri YES ju lejon të përdorni ekip special FTP, i njohur si "Async ABOR".

sfond PO
Opsioni YES mundëson që vsftpd të ekzekutohet në sfond.

check_shell PO
Kujdes! Ky parametër funksionon vetëm për vsftpd të ndërtuar pa "PAM"! Nëse opsioni është vendosur në JO, atëherë vsftpd nuk kontrollon praninë e një guaskë të përdoruesit lokal në /etc/shells. Në mënyrë tipike, nëse guaska e një përdoruesi nuk gjendet në /etc/shells, atëherë qasja FTP për këtë përdorues do të refuzohet!

chmod_enable PO
Opsioni YES lejon përdoruesin(ët) lokal të përdorin komandën "SITE CHMOD". Përdoruesit anonimë nuk mund ta përdorin kurrë këtë komandë!

chown_loads JO
Opsioni YES bën që të gjithë skedarët e ngarkuar nga përdoruesit anonimë të ndryshojnë pronarin në përdorues të specifikuar në opsionin "chown_user-name".

chroot_list_enable JO
Opsioni "YES" ju lejon të krijoni një listë të përdoruesve lokalë të cilët do të futen chroot() në drejtorinë e tyre kryesore pas hyrjes. Nëse opsioni "chroot_local_user" është vendosur në "YES", atëherë gjithçka funksionon saktësisht e kundërta: për përdoruesit lokalë në listën e dhënë, "chroot()" NUK DO të kryhet. Si parazgjedhje, lista e përdoruesve përmbahet në skedarin /etc/vsftpd/chroot_list, mund të specifikoni çdo emër skedar tjetër duke përdorur opsionin "chroot_list_file".

chroot_local_user NO
Opsioni YES bën që përdoruesit lokalë të futen chroot() në direktorinë e tyre kryesore pas hyrjes. Kujdes! Ky opsion mund të përbëjë rreziqe sigurie, veçanërisht kur përdoruesit mund të ngarkojnë skedarë ose të kenë akses në guaskë. Aktivizoni vetëm nëse e dini se çfarë po bëni!

lidh_nga_porta_20 NR
Opsioni i vendosur në PO bën të mundur përdorimin e portit 20 (ftp-data) në server për arsye sigurie, disa klientë mund të kërkojnë këtë sjellje nga serveri; Përkundrazi, çaktivizimi i këtij opsioni ju lejon të ekzekutoni vsftpd me më pak privilegje.

debug_ssl JO
Opsioni i vendosur në PO bën që funksionimi i lidhjeve përmes SSL të regjistrohet. (Shtuar në 2.0.6)

mohoj_email_enable JO
Opsioni YES ju lejon të jepni një listë të fjalëkalimeve në stil Adresat e emailit për përdoruesit anonimë (për të cilët qasja do të refuzohet). Si parazgjedhje, lista gjendet në skedarin /etc/vsftpd/banned_emails, por mund të specifikoni një skedar tjetër duke përdorur opsionin "banned_email_file".

dirlist_enable PO
Një opsion i vendosur në JO mohon aksesin për të ekzekutuar komandat për të parë përmbajtjen e dosjeve.

dirmessage_enable JO
Parametri YES ju lejon të shfaqni mesazhe për përdoruesit që hyjnë në një direktori për herë të parë. Si parazgjedhje, mesazhet janë në skedarët .message, por ju mund të specifikoni një skedar tjetër duke përdorur opsionin "file_message".

shkarko_aktivizo PO
Opsioni JO parandalon shkarkimin e skedarëve.

dual_log_enable JO
Opsioni YES mundëson gjenerimin paralel të dy regjistrave /var/log/xferlog dhe /var/log/vsftpd.log. E para ka stilin wu-ftpd, e dyta - vsftpd.

forca_dot_files NR
Opsioni YES ju lejon të shfaqni skedarë dhe drejtori, emrat e të cilëve fillojnë me një pikë. Përjashtim bëjnë emrat "." Dhe ".."

force_anon_data_ssl NR
Funksionon vetëm nëse opsioni "ssl_enable" është i aktivizuar. Parametri YES detyron lidhjet e të gjithë përdoruesve anonimë në modalitetin SSL gjatë shkarkimit dhe ngarkimit të skedarëve.

force_anon_logins_ssl NR
Funksionon vetëm nëse opsioni "ssl_enable" është i aktivizuar. Opsioni YES detyron lidhjet për të gjithë përdoruesit anonimë të ndërrohen kur të dorëzohet fjalëkalimi.

force_local_data_ssl PO
Funksionon vetëm nëse opsioni "ssl_enable" është i aktivizuar. Parametri YES detyron lidhjet e të gjithë përdoruesve JO-anonimë në modalitetin SSL gjatë shkarkimit dhe ngarkimit të skedarëve.

force_local_logins_ssl PO
Funksionon vetëm nëse parametri "ssl_enable" është i aktivizuar. Opsioni YES detyron lidhjet e të gjithë përdoruesve JO anonimë në modalitetin SSL kur dërgoni një fjalëkalim.

guest_aktivizoj JO
Opsioni YES specifikon që të gjitha lidhjet anonime duhet të trajtohen si lidhje "të ftuar". Hyrja e vizitorit do t'i ricaktohet përdoruesit të specifikuar nga parametri "guest_username".

hide_ids NR
Opsioni YES bën që grupi dhe pronari të jenë gjithmonë "ftp" kur shfaqen për të gjithë skedarët dhe drejtoritë.

dëgjoni PO
Opsioni YES bën që vsftpd të fillojë në modalitetin daemon. Kjo do të thotë që vsftpd nuk mund të niset nga inetd. Në vend të kësaj, vsftpd fillon drejtpërdrejt një herë dhe më pas trajton vetë lidhjet hyrëse.

listen_ipv6 JO
Njësoj si për parametrin e dëgjimit, vetëm vsftpd do të shërbejë IPv6, jo vetëm IPv4. Ky opsion dhe opsioni i dëgjimit janë reciprokisht ekskluzive.

lokal_aktivizoj JO
Parametri YES ju lejon të identifikoheni me FTP lokale përdoruesit (nga /etc/passwd ose të autorizuar nëpërmjet PAM). Ky parametër duhet të aktivizohet nëse dëshironi të organizoni punën e përdoruesve JO anonimë, duke përfshirë edhe ata virtualë.

lock_upload_files PO
Parametri YES mundëson kyçjen e shkrimit për të gjithë skedarët e shkarkuar. Të gjithë skedarët e shkarkuar kanë një bllokim të përbashkët leximi. Kujdes! Para se të aktivizoni këtë opsion, mbani mend se leximi me qëllim të keq mund të rezultojë që përdoruesit të ngarkojnë skedarë të mos jenë në gjendje të përfundojnë shkrimin e tyre.

log_ftp_protokolli NR
Opsioni YES bën që të gjitha kërkesat dhe përgjigjet FTP të regjistrohen dhe opsioni xferlog_std_format të çaktivizohet.

ls_recurse_enable JO
Nëse opsioni është vendosur në YES, ai mundëson përdorimin e "ls -R". Kjo krijon një rrezik të rëndësishëm sigurie sepse ekzekutimi i "ls -R" në një direktori niveli më i lartë, i cili përmban shumë nëndrejtori dhe skedarë, mund të çojë në konsum shumë të lartë të burimeve.

mdtm_shkruaj PO
Nëse opsioni është vendosur në PO, atëherë ai mundëson vendosjen e MDTM të kohërave të modifikimit të skedarit (i dobishëm për kontrollin e aksesit)

no_anon_password NR
Nëse ky opsion është vendosur në PO, atëherë vstpd nuk u kërkon përdoruesve anonimë një fjalëkalim.

no_log_lock NR
Opsioni YES i thotë vsftpd të mos bllokojë kur shkruan në skedarë log. Zakonisht këtë parametër i fikur. Në Solaris në lidhje me sistemi i skedarëve Veritas ndonjëherë ngec kur përpiqet të bllokojë skedarët e regjistrit.

një_proces_model NR
Për kernelet 2.4, mbështetet një model i ndryshëm sigurie: një proces për lidhje. Ky model është më pak i sigurt, por më produktiv. Mos e aktivizoni nëse nuk e kuptoni se çfarë po bëni dhe nëse serveri juaj nuk ka nevojë për mbështetje sasi e madhe lidhje të veçanta.

passwd_chroot_enable JO
Nëse opsioni është vendosur në YES, ai lejon, së bashku me chroot_local_user, të aktivizojë chroot() veçmas për secilin përdorues, bazuar në të dhënat për direktorinë e tij kryesore të marra nga /etc/passwd. Në këtë rast, vlera "/./" në rreshtin që specifikon direktorinë kryesore nënkupton një vendndodhje të veçantë në shteg.

pasv_addr_resolve NR
Nëse opsioni është vendosur në YES, ju lejon të përdorni një emër (në vend të një adrese IP) në pasv_addres

pasv_enable PO
Nëse opsioni është vendosur në JO, atëherë ai çaktivizon metodën PASV në lidhjen e marrë për marrjen/transmetimin e të dhënave.

pasv_promiscuous NR
Nëse opsioni është vendosur në PO, atëherë ai çaktivizon kontrollin e sigurisë, qëllimi i të cilit është të sigurohet që lidhja për marrjen/transmetimin e të dhënave të bëhet nga e njëjta adresë IP si lidhja e kontrollit. Aktivizoni vetëm nëse e kuptoni se çfarë po bëni! Kjo është e nevojshme vetëm në disa raste kur organizoni tunele të sigurta ose mbështetni FXP.

port_aktivizoj PO
Nëse opsioni është vendosur në JO, atëherë ai çaktivizon metodën PORT në lidhjen e marrë për marrjen/transmetimin e të dhënave.

port_promiskuent NR
Nëse opsioni është vendosur në PO, ai do të çaktivizojë kontrollin e sigurisë PORT, qëllimi i të cilit është të sigurojë që lidhja dalëse të jetë e lidhur me klientin. Aktivizoni vetëm nëse e kuptoni se çfarë po bëni!

kerkoj_certifikim NR
Opsioni YES kërkon që të gjithë klientët SSL të kenë një certifikatë klienti. Reduktimi i vërtetimit i aplikuar në këtë certifikatë kontrollohet nga parametri validate_cert (shtuar në 2.0.6).

run_as_launching_user NO
Vendoseni në PO nëse dëshironi të ekzekutoni vsftpd si përdoruesi që e drejton atë. Kjo zakonisht është e nevojshme në rastet kur qasja nga rrënja e përdoruesit i padisponueshem. SHËNIM SERIOZ! MOS e aktivizoni këtë opsion nëse nuk jeni plotësisht të vetëdijshëm për atë që po bëni, pasi përdorimi i këtij opsioni mund të krijojë një problem serioz sigurie. Është veçanërisht e rëndësishme që vsftpd të mos mund të përdorë / si direktorium rrënjë, dhe gjithashtu të përdorë chroot për të kufizuar aksesin e skedarit kur ky opsion është i aktivizuar (edhe nëse vsftpd funksionon si rrënjë). Më pak zgjidhje e përshtatshme Mund të jetë e mundur të përdoret deny_file me argumente si (/*,*..*), por besueshmëria e kësaj zgjidhjeje nuk mund të krahasohet me chroot, prandaj mos u mbështetni shumë në të. Kur përdoret ky opsion, vendosen kufizime për opsionet e tjera. Për shembull, mos prisni që opsionet që kërkojnë privilegje të funksionojnë, të tilla si hyrjet jo anonime, ngarkimi i skedarëve me një ndryshim në pronësi, lidhja në portin 20 dhe lidhja në portet më të vogla se 1024, si dhe të tjera të tilla.

safe_email_list_enable NR
Vendoseni në PO nëse dëshironi hyrje anonime, vetëm lista e adresave të postës elektronike që keni specifikuar është përdorur si fjalëkalime. Kjo është e dobishme për të kufizuar disi aksesin në përmbajtjen e serverit pa krijuar përdorues virtualë. Përdoruesve anonimë do t'u refuzohet hyrja nëse fjalëkalimi që ata japin nuk është në listën e gjetur në skedarin_mail_password. Formati i skedarit: një fjalëkalim për rresht pa hapësira shtesë. Vendndodhja e parazgjedhur e skedarit: /etc/vsftpd/email_passwords

sesion_mbështetje NR
Nëse ky opsion është vendosur në PO, vsftpd do të përpiqet të mbajë sesione. Në të njëjtën kohë, do të përpiqet të përditësojë wtmp dhe utmp. Nëse PAM përdoret për autorizim, atëherë vsftpd do të përpiqet gjithashtu të hapë pam_session në hyrje dhe ta mbyllë atë vetëm kur përdoruesi të dalë. Nëse nuk keni nevojë për regjistrimin e sesioneve, mund ta çaktivizoni atë dhe mund t'i thoni vsftpd të ekzekutojë më pak procese dhe/ose me privilegje më të ulëta. Modifikimi i wtmp dhe utmp funksionon vetëm nëse vsftpd është ndërtuar me mbështetje PAM.

setproctitle_enable JO
Nëse ky opsion është vendosur në PO, vsftpd do të përpiqet të shfaqë informacionin e gjendjes së sesionit në listën e procesit. Me fjalë të tjera, emri i procesit i shfaqur do të ndryshohet për të pasqyruar gjendjen e sesionit vsftpd (i papunë, shkarkimi, etj.) Për arsye sigurie, mund të jetë më mirë ta lini këtë opsion të çaktivizuar.

ssl_enable JO
Nëse opsioni është vendosur në PO dhe vsftpd është ndërtuar me bibliotekën openSSL, atëherë vsftpd do të shërbejë lidhje të sigurta mbi SSL. Kjo vlen si për lidhjet e kontrollit ashtu edhe për lidhjet e të dhënave. Është gjithashtu e nevojshme që klienti të mbështesë lidhjet SSL. Përdoreni këtë opsion me kujdes sepse vsftpd mbështetet tërësisht në bibliotekën openSSL për të siguruar lidhjet SSL dhe nuk mund të garantojë që biblioteka është pa gabime.

ssl_request_cert PO
Nëse ky opsion është vendosur në PO, vsftpd kërkon (por nuk kërkon) klienti të sigurojë një certifikatë.

ssl_sslv2 JO
Zbatohet vetëm nëse opsioni ssl_enable është i aktivizuar Nëse opsioni është vendosur në PO, lidhjet rreth Protokolli SSL v2. Preferohen lidhjet TLS V1.

ssl_sslv3 JO
Zbatohet vetëm nëse opsioni ssl_enable është i aktivizuar Nëse opsioni është caktuar në PO, lejohen lidhjet duke përdorur protokollin SSL v3. Preferohen lidhjet TLS V1.

ssl_tlsv1 PO
Zbatohet vetëm nëse opsioni ssl_enable është i aktivizuar. Nëse opsioni është vendosur në PO, atëherë lejohen lidhjet duke përdorur protokollin TLS V1. Preferohen lidhjet TLS V1.

Shtimi i përdoruesve.

Le të krijojmë një përdorues të ri të quajtur 'ftpuser' dhe të caktojmë drejtorinë e tij kryesore '/home/ftpuser':

# useradd -d "/home/ftpuser" -s /sbin/nologin ftpuser

Le të shtojmë një fjalëkalim për përdoruesin e krijuar:

#passwdftpuser

Le të krijojmë një direktori kryesore për këtë përdorues (nëse nuk është shtuar tashmë):

# mkdir -p /home/ftpuser

# chown -R ftpuser "/home/ftpuser" # chmod 775 "/home/ftpuser"

Le të krijojmë një grup 'ftpusers' për përdoruesit e FTP dhe të shtojmë 'ftpuser' në të:

# groupadd ftpusers # usermod -G ftpusers ftpuser

Rregullat për tabelat IP.

Nëse përdorni IPTABLES, duhet të krijoni një rregull përkatës për VSftpd:

# vim /etc/sysconfig/iptables

Shto rreshti tjetër, përpara linjës REJECT, për të hapur 21 porte:

NJË HYRJE -m shtet --shtet RI -m tcp -p tcp --dport 21 -j PRANOJ

Ruani dhe mbyllni skedarin, si dhe rinisni murin e zjarrit:

# shërbimi iptables rinis

Rinisni Vsftpd:

# rinis shërbimi vsftpd

Le të shtojmë Vsftpd në fillimin për ta bërë këtë, ekzekutoni:

# chkconfig vsftpd aktivizuar

# chkconfig --levels 235 vsftpd aktiv

Ju mund të kontrolloni nivelet e ekzekutimit si kjo:

# chkconfig --list vsftpd

Ju duhet të merrni diçka të tillë:

Vsftpd 0:off 1:off 2:on 3:on 4:on 5:on 6:off

Ju mund të shihni që serveri po funksionon normalisht duke ekzekutuar komandën:

# ps -aux | grep vsftpd

Hapi 3 - Shkoni te FTP Server

Pasi të keni instaluar serverin FTP dhe ta konfiguroni atë sipas dëshirës tuaj, mund ta përdorni atë. Ju mund të hyni në serverin FTP përmes shfletuesit tuaj duke shtypur Emri i domenit V shiriti i adresave dhe hyni me ID-në e duhur.
ftp://site/
Përndryshe, ju mund të arrini serverin FTP duke përdorur linja e komandës duke shtypur:

# Faqe FTP

Instalimi i vsftpd në CentOS ka përfunduar. Thelbi kryesor është i qartë, detajet (nëse papritmas nuk janë të qarta) më pyesni. Unë mund të ndihmoj.

Kohët e fundit, një skenar i caktuar shkoi keq. Skenari u ble, kjo është arsyeja pse vendosa të mos merrem me të, por të kontaktoj drejtpërdrejt mbështetjen e shitësit për të sqaruar problemin. Mbështetja u përgjigj shkurt: ne kemi nevojë për qasje në FTP - ne do ta shqyrtojmë atë. Dhe këtu kam ngecur për gjysmë minutë ...

Në fund të fundit, FTP nuk është i instaluar në Kent tim, sepse unë punoj nën SSH. Për më tepër, unë hyj jo me një fjalëkalim, por me një certifikatë. Unë nuk mund t'ju jap thjesht një çelës SSH, me të cilin mund të hyni në server gjatë gjithë kohës. Dhe edhe nëse aktivizoni përkohësisht hyrjen me fjalëkalim, pse do të mbështetej skenar specifik për një km të caktuar shikoni të gjithë serverin tim dhe çfarë ndodhet në të?

Epo, mendoj vetëm për ata Raste të veçanta Ju duhet të ngrini ftpishechka.

Për fat të mirë, në realitet gjithçka doli të ishte mjaft e shpejtë dhe e thjeshtë, dhe madje vendosa për zgjedhjen menjëherë - "vsftpd" (FTP Daemon shumë i sigurt). Shpejt. Sigurt. Ndër-platformë. Lehtë për t'u instaluar dhe konfiguruar. Me fjalë të tjera, një nga serverët më të mirë FTP.

Instaloni dhe konfiguroni vsftpd

$ yum instaloni vsftpd

Pastaj ne redaktojmë skedarin kryesor të konfigurimit, në të cilin na duhet:

1. Izoloni përdoruesit në drejtorinë e tyre kryesore.
2. Refuzo qasjen anonime.

$ nano /etc/vsftpd/vsftpd.conf

1 2	chroot_local_user=PO anonymous_enable=JO

Vendosja e përdoruesve të vsftpd

Këtu është shumë e rëndësishme të kuptohet një pikë interesante: Nuk ka nevojë të shtoni përdorues shtesë FTP, ata tashmë ekzistojnë. Dhe përdoruesit u shtuan pikërisht kur instaluam AMP në CentOS. Me fjale te tjera - përdoruesi tashmë ka akses të plotë në drejtorinë e tij të shtëpisë, gjithçka që mbetet është ta modifikoni për të lejuar autorizimin nën vsftpd.

Për shembull, ne kemi nevojë për qasje FTP në drejtorinë /var/www/vhosts/site në server, i cili është në pronësi të përdoruesit pothuajse mbi . Ne bëjmë sa vijon:

1. Ne shikojmë listën e përdoruesve dhe ndryshojmë direktorinë standarde të shtëpisë në atë që na nevojitet.
2. Ne i vendosëm përdoruesit një fjalëkalim për hyrjen në FTP.

Caktimi i një drejtorie kryesore

$ nano /etc/passwd

1 2	-pothuajse:x:500:500::/home/pothuajse:/bin/bash +pothuajse mbi:x:500:500::/var/www/vhosts/site:/sbin/nologin

Ju gjithashtu duhet zëvendësoni /bin/bash me /sbin/nologin për të mohuar aksesin e përdoruesit në sistem.

Ne i japim përdoruesit një fjalëkalim

$passwd pothuajse mbi

Nisni vsftpd

Dhe vetëm pasi të jenë bërë të gjitha cilësimet e përshkruara më sipër, ne hapim vetë serverin FTP.

$service vsftpd start

Dhe nëse planifikojmë të përdorim serverin FTP në mënyrë të vazhdueshme, mos harroni ta shtoni atë në fillim.

$ chkconfig vsftpd aktivizohet

Përfundime në lidhje me serverin FTP

Nëse do të përdoret FTP në mënyrë të vazhdueshme apo jo është një vendim personal për të gjithë.

Nga njëra anë, nëse planifikoni të punoni me një direktori (faqe) specifike, atëherë një avantazh i mirë këtu është se nuk keni nevojë të hiqni vazhdimisht skedarë ose direktori të sapo shkarkuar. Të gjitha operacionet do të kryhen në emër të përdoruesi aktual dhe, në përputhje me rrethanat, të gjitha të drejtat do t'i caktohen atij si parazgjedhje.

Nga ana tjetër, qëllimi im personal për ngritjen e FTP u njoftua që në fillim: kur duhet t'i jepni dikujt akses të përkohshëm në një drejtori të caktuar të izoluar në një server/sajt të caktuar:

1. Unë ndryshoj fjalëkalimin për hyrjen e lëshuar.
2. Unë jam duke filluar vsftpd.
3. Unë ju jap hyrjen dhe fjalëkalimin FTP.
4. Ndalimi i vsftpd.
5. Unë e ndryshoj përsëri fjalëkalimin për të njëjtën hyrje (në rast se herën tjetër lëshohet një hyrje tjetër).

Nuk ka SSH.
Nuk ka drejtori shtesë.
Gjithçka është jashtëzakonisht e arsyeshme dhe sa më e sigurt që të jetë e mundur.

|

Paralajmërim: Protokolli FTP e pasigurt! Rekomandohet të përdoret.

FTP (ose Protokolli i Transferimit të Skedarit) është një metodë për shkëmbimin e skedarëve midis një serveri lokal dhe të largët. Ky protokoll është mjaft popullor, por mund ta ekspozojë sistemin ndaj rreziqeve serioze për shkak të mungesës së kriptimit: FTP transferon të dhënat në tekst të thjeshtë.

Siç është përmendur tashmë, SFTP është alternativë e madhe. Ky protokoll shkëmben skedarë mbi SSH.

shënim: nëse është e nevojshme, përdorni saktësisht Lidhja FTP mund të mbrohet duke përdorur certifikatat SSL/TLS.

Ky tutorial tregon se si të përdorni certifikatat SSL dhe TLS në vsftpd në një privat virtual Serveri CentOS 6.4.

Instalimi i vsftpd

Serveri vsftpd mund të shkarkohet nga depot standarde të CentOS. Për të instaluar vsftpd, shkruani:

sudo yum instaloni vsftpd

Serveri vsftpd është i instaluar në një VPS. Filloni ta konfiguroni atë.

Konfigurimi bazë vsftpd

Skedari kryesor i konfigurimit vsftpd, i quajtur vsftpd.conf në CentOS, ruhet në drejtorinë /etc/vsftpd/. Hapeni brenda redaktori i tekstit me privilegje rrënjësore:

Në këtë skedar, ju duhet të ndryshoni disa parametra bazë për të rritur nivelin e sigurisë, si dhe të vendosni parametrat e lidhjes.

Së pari ju duhet të mohoni aksesin për përdoruesit anonimë. Ndonjehere akses i hapur për përdoruesit anonimë është i mirëpritur (për shembull, në rastin e ruajtjes së skedarëve të hapur), por kjo definitivisht nuk është e përshtatshme për një server personal FTP.

anonymous_enable=JO

Qasja anonime tani është e ndaluar. Prandaj, duhet t'i siguroni sistemit një metodë vërtetimi. Qasje e hapur për përdoruesit lokalë (kjo do të thotë që vsftpd mund të përdorë vërtetimin e përdoruesve të sistemit Linux).

Për ta bërë këtë, sigurohuni që të jetë vendosur cilësimi i mëposhtëm:

local_enable=PO

Ju gjithashtu duhet t'u jepni këtyre përdoruesve leje shkrimi në mënyrë që ata të ngarkojnë dhe modifikojnë përmbajtjen.

write_enable=PO

Tani duhet t'i kufizojmë përdoruesit në drejtoritë e tyre të shtëpisë. Ekziston një parametër për këtë:

chroot_local_user=PO

Për një konfigurim bazë (jo-SSL) FTP kjo është e mjaftueshme. Shtimi i funksionalitetit SSL do të mbulohet më vonë.

Ruani dhe mbyllni skedarin.

Krijimi i një përdoruesi FTP

Pra, tani përdoruesit lokalë kanë akses në server dhe nuk mund të lëvizin përtej drejtorive të tyre të shtëpisë (falë mjedisit chroot).

Krijo një përdorues të ri duke përdorur komandën:

sudo adduser ftpuser

Krijo një fjalëkalim për përdoruesin e ri duke shtypur:

sudo passwd ftpuser

CentOS 6.4 përdor më shumë version i vjeter vsftpd, kështu që konfigurimi i tij është pak më i thjeshtë se disa versione të reja.

Konfigurimi i vsftpd për të mbështetur SSL

Gjëja e parë që duhet të bëni është të krijoni Certifikata SSL. Në fakt, udhëzuesi përdor TLS, një protokoll që është pasardhësi i SSL dhe është më i sigurt.

Në drejtorinë SSL, krijoni një nëndrejtori për të ruajtur skedarët:

sudo mkdir /etc/ssl/private

Përdorni komandën e mëposhtme për të krijuar certifikatën dhe çelësin në një skedar:

openssl req -x509 -nodes -ditat 365 -newkey rsa:1024 -keyout /etc/ssl/private/vsftpd.pem -out /etc/ssl/private/vsftpd.pem

Do të jepet një listë pyetjesh. Plotësoni fushat me informacionin e duhur. Vëmendje e veçantë duhet t'i jepet rreshtit Emri i Përbashkët; Vendosni adresën IP ose domenin e serverit në të. Në fakt, fushat e mbetura nuk kanë nevojë të plotësohen.

Shtimi i SSL në konfigurimin vsftpd

Tani ju duhet të redaktoni konfigurimet vsftpd, duke vendosur një lidhje të sigurt.

Hapni skedarin e konfigurimit vsftpd si rrënjë:

sudo nano /etc/vsftpd/vsftpd.conf

Shkoni në fund të skedarit dhe plotësoni informacionin SSL/TLS.

Këtu duhet të specifikoni vendndodhjen e certifikatës dhe çelësave. Meqenëse kjo është e gjitha në një skedar, specifikoni atë skedar në të dy parametrat:

rsa_cert_file=/etc/ssl/private/vsftpd.pem
rsa_private_key_file=/etc/ssl/private/vsftpd.pem

Më pas, duhet të aktivizoni mbështetjen për këto skedarë dhe të çaktivizoni përdoruesit anonimë. Ju gjithashtu duhet të konfiguroni përdorimi i detyruar SSL për lidhjet e të gjithë përdoruesve JO anonimë kur dërgoni një fjalëkalim ose transferoni të dhëna. Kjo do të rrisë shumë sigurinë.

ssl_enable=PO
allow_anon_ssl=JO
force_local_data_ssl=PO
force_local_logins_ssl=PO

Pastaj ju duhet të kufizoni llojin e lidhjes në më shumë TLS e sigurt. Për ta bërë këtë, aktivizoni në mënyrë të qartë TLS dhe çaktivizoni SSL:

ssl_tlsv1=PO
ssl_sslv2=JO
ssl_sslv3=JO

Në fund, shtoni parametrat e mëposhtëm:

require_ssl_reuse=JO
ssl_ciphers=I LARTË

Ruani dhe mbyllni skedarin.

Rinisni vsftpd për të aktivizuar cilësimet e reja:

sudo /etc/init.d/vsftpd rinis

Për të ngritur nisje automatike vsftpd kur nisni serverin, përdorni:

sudo chkconfig vsftpd aktivizuar

Lidhja me vsftpd duke përdorur FileZilla

Lidhjet SSL dhe TLS mbështeten nga shumica e klientëve modernë FTP. Ky seksion tregon se si të konfiguroni FileZilla për t'u përdorur lidhje të sigurta(për shkak të ndër-platformës së tyre).

shënim: Kjo supozon që klienti është instaluar tashmë.

Hapni FileZilla. Klikoni te Menaxheri i faqes.

do te shfaqet ndërfaqe e re, në të klikoni butonin New Site në këndin e poshtëm majtas. Jepni një emër lidhjeje serveri në mënyrë që ta identifikoni lehtësisht më vonë.

Në fushën Host, vendosni adresën IP, në menunë rënëse të Protokollit, zgjidhni "FTP - Protokolli i Transferimit të Skedarit". Nga menyja rënëse Kriptimi, zgjidhni "Kërkoni FTP të qartë mbi TLS".

Në menynë Lloji i hyrjes, zgjidhni Kërkoni për fjalëkalim. Në fushën User, specifikoni përdoruesin e krijuar më parë FTP.

Hapi tjetër është treguesi i parë që TLS po përdoret kur lidhet me serverin. Paralajmërimi "Çertifikata e serverit është e panjohur. Ju lutemi ekzaminoni me kujdes certifikatën për t'u siguruar që serveri mund t'i besohet": në këtë fazë ju duhet të konfirmoni certifikatën.

Informacioni i futur gjatë krijimit të certifikatës duhet të shfaqet në ekran, duke ju lejuar të konfirmoni lidhjen.

Për të krijuar një lidhje, pranoni certifikatën.

Rezultatet

Ky udhëzues ofron më shumë opsion i sigurt cilësimet. Megjithatë, mund të ketë edhe disa probleme sigurie. Prandaj, përdorimi i FTP në instalimet me qasje në internet nuk rekomandohet në raste të tilla, është më mirë të përdorni SFTP.

Etiketa: ,

Tani le të shohim një shembull të organizimit të një serveri FTP bazuar në vsFTPd Dhe CentOS 7. Shërbimi FTP do të jetë jashtëzakonisht i dobishëm për çdo organizatë dhe shërbime, për shembull, . Para së gjithash, instaloni paketat e kërkuara vsftpd:

sudo yum -y instalo vsftpd

Pas kësaj, kopjoni skedarin e cilësimeve në vend i sigurtë, d.m.th. drejtori të veçantë. Siç kam shkruar në artikujt e mëparshëm, kjo është praktikë e mirë dhe aftësinë për t'u kthyer në cilësimet e paracaktuara.

sudo mkdir / rezervë

sudo cp /etc/vsftpd/vsftpd.conf /backup

Ne gjithashtu instalojmë klient ftp në serverin që po përdorni - ndoshta do të jetë i dobishëm në të ardhmen dhe tani kur kontrolloni cilësimet. Instalimi është gjithashtu i lehtë:

sudo yum -y instaloni ftp

Vendosja e serverit vsFTPd

Pas instalimit të serverit dhe klientit, ne vazhdojmë me konfigurimin e vsftpd. Duhet t'i kushtoni vëmendje menjëherë: Qasje anonime për të FTP aktivizuar si parazgjedhje. Vendos anonymous_enable=JO për të garantuar sigurinë e serverit tuaj.

Konfigurimi do të bëhet duke redaktuar skedarin e konfigurimit vsftpd.conf:

sudo nano /etc/vsftpd/vsftpd.conf

Ne do të bëjmë ndryshimet e mëposhtme:

Kjo do të jetë e mjaftueshme për funksionimin e duhur krijuar server FTP, për të marrë të dhëna të zgjeruara për parametrat e përdorur, përdorni man (man vsftpd.conf).

Shtimi i një përdoruesi të ri FTP

Le të krijojmë një përdorues të veçantë FTP të quajtur ftpuser dhe direktorinë e paracaktuar /var/www/your_directory:

useradd -d '/var/www/path/to/your/dir' -s /sbin/nologin ftpuser

Le të vendosim një fjalëkalim:

Nëse drejtoria e shtëpisë nuk është krijuar ende për ftpuser, le ta bëjmë tani:

mkdir -p /var/www/path/to/your/dir

chown -R ftpuser '/var/www/path/to/your/dir'

chmod 775 "/var/www/path/to/your/dir"

Krijoni një grup 'ftpusers' për përdoruesit e FTP dhe shtoni 'ftpuser' në të:

grupe shto ftpusers

usermod -G ftpusers ftpuser

Vendosja e iptables për vsFTPd

Për të saktë Puna FTP serveri duhet të konfigurohet IPTABLES(shtoni rregulla për FTP). Më shumë informacion rreth iptables: +.

Hapja skedari i konfigurimit iptables dhe bëni ndryshimet e mëposhtme:

sudo nano /etc/sysconfig/iptables
-A INPUT -m gjendje --state NEW -m tcp -p tcp --dport 21 -j ACCEPT

Ruani dhe mbyllni skedarin. Rinisni murin e zjarrit me komandën:

sudo systemctl rinisni iptables

Konfigurimi i nisjes automatike të vsFTPd në fillimin e sistemit

chkconfig --nivelet 235 vsftpd aktiv

Le të fillojmë vsFTPd Shërbimi FTP:

Gati. Konfigurimi i FTP serverët përfunduar. Ne kontrollojmë funksionimin e tij në nivel lokal.