790      技術社區[雲棲]

如何在 Ubuntu 下安裝和配置 FTP 服務器

FTP（文件傳輸協議）是一個較老且最常用的標準網絡協議，用於在兩台計算機之間通過網絡上傳/下載文件。然而， FTP 最初的時候並不安全，因為它僅通過用戶憑證（用戶名和密碼）傳輸數據，沒有進行加密。

警告：如果你打算使用 FTP， 需要考慮通過 SSL/TLS（將在下篇文章中討論）配置 FTP 連接。否則，使用安全 FTP，比如 SFTP 會更好一些。

推薦閱讀：如何在 CentOS 7 中安裝並保護 FTP 服務器

在這個教程中，我將向你們展示如何在 Ubuntu 中安裝、配置並保護 FTP 服務器（VSFTPD 的全稱是 “Very Secure FTP Deamon”），從而擁有強大的安全性，能夠防範 FTP 漏洞。

第一步：在 Ubuntu 中安裝 VSFTPD 服務器

1、首先，我們需要更新係統安裝包列表，然後像下麵這樣安裝 VSFTPD 二進製包：

1. $ sudo apt-get update
2. $ sudo apt-get install vsftpd

2、一旦安裝完成，初始情況下服務被禁用。因此，我們需要手動開啟服務，同時，啟動它使得在下次開機時能夠自動開啟服務：

1. ------------- On SystemD -------------
2. # systemctl start vsftpd
3. # systemctl enable vsftpd
4. ------------- On SysVInit -------------
5. # service vsftpd start
6. # chkconfig --level 35 vsftpd on

3、接下來，如果你在服務器上啟用了 UFW 防火牆（默認情況下不啟用），那麼需要打開端口 20 和 21 —— FTP 守護進程正在監聽它們——從而才能允許從遠程機器訪問 FTP 服務，然後，像下麵這樣添加新的防火牆規則：

1. $ sudo ufw allow 20/tcp
2. $ sudo ufw allow 21/tcp
3. $ sudo ufw status

第二步：在 Ubuntu 中配置並保護 VSFTPD 服務器

4、讓我們進行一些配置來設置和保護 FTP 服務器。首先，我們像下麵這樣創建一個原始配置文件/etc/vsftpd/vsftpd.conf 的備份文件：

1. $ sudo cp /etc/vsftpd.conf /etc/vsftpd.conf.orig

接下來，打開 vsftpd 配置文件。

1. $ sudo vi /etc/vsftpd.conf
2. OR
3. $ sudo nano /etc/vsftpd.conf

把下麵的這些選項添加/改成所展示的值：

1. anonymous_enable=NO # 關閉匿名登錄
2. local_enable=YES # 允許本地用戶登錄
3. write_enable=YES # 啟用可以修改文件的 FTP 命令
4. local_umask=022 # 本地用戶創建文件的 umask 值
5. dirmessage_enable=YES # 當用戶第一次進入新目錄時顯示提示消息
6. xferlog_enable=YES # 一個存有詳細的上傳和下載信息的日誌文件
7. connect_from_port_20=YES # 在服務器上針對 PORT 類型的連接使用端口 20（FTP 數據）
8. xferlog_std_format=YES # 保持標準日誌文件格式
9. listen=NO # 阻止 vsftpd 在獨立模式下運行
10. listen_ipv6=YES # vsftpd 將監聽 ipv6 而不是 IPv4，你可以根據你的網絡情況設置
11. pam_service_name=vsftpd # vsftpd 將使用的 PAM 驗證設備的名字
12. userlist_enable=YES # 允許 vsftpd 加載用戶名字列表
13. tcp_wrappers=YES # 打開 tcp 包裝器

5、現在，配置 VSFTPD ，基於用戶列表文件 /etc/vsftpd.userlist 來允許或拒絕用戶訪問 FTP。

注意，在默認情況下，如果通過 userlist_enable=YES 啟用了用戶列表，且設置 userlist_deny=YES 時，那麼，用戶列表文件 /etc/vsftpd.userlist 中的用戶是不能登錄訪問的。

但是，選項 userlist_deny=NO 則反轉了默認設置，這種情況下隻有用戶名被明確列出在 /etc/vsftpd.userlist 中的用戶才允許登錄到 FTP 服務器。

1. userlist_enable=YES # vsftpd 將會從所給的用戶列表文件中加載用戶名字列表
2. userlist_file=/etc/vsftpd.userlist # 存儲用戶名字的列表
3. userlist_deny=NO

重要的是，當用戶登錄 FTP 服務器以後，他們將進入 chrooted 環境，即當在 FTP 會話時，其 root 目錄將是其 home 目錄。

接下來，我們來看一看兩種可能的途徑來設置 chrooted（本地 root）目錄，正如下麵所展示的。

6、這時，讓我們添加/修改/取消這兩個選項來將 FTP 用戶限製在其 home 目錄

1. chroot_local_user=YES
2. allow_writeable_chroot=YES

選項 chroot_local_user=YES 意味著本地用戶將進入 chroot 環境，當登錄以後默認情況下是其 home 目錄。

並且我們要知道，默認情況下，出於安全原因，VSFTPD 不允許 chroot 目錄具有可寫權限。然而，我們可以通過選項 allow_writeable_chroot=YES 來改變這個設置

保存文件然後關閉。現在我們需要重啟 VSFTPD 服務從而使上麵的這些更改生效：

1. ------------- On SystemD -------------
2. # systemctl restart vsftpd
3. ------------- On SysVInit -------------
4. # service vsftpd restart

第三步：在 Ubuntu 上測試 VsFTP 服務器

7、現在，我們通過使用下麵展示的 useradd 命令創建一個 FTP 用戶來測試 FTP 服務器：

1. $ sudo useradd -m -c "Aaron Kili, Contributor" -s /bin/bash aaronkilik
2. $ sudo passwd aaronkilik

然後，我們需要像下麵這樣使用 echo 命令和 tee 命令來明確地列出文件 /etc/vsftpd.userlist 中的用戶 aaronkilik：

1. $ echo "aaronkilik" | sudo tee -a /etc/vsftpd.userlist
2. $ cat /etc/vsftpd.userlist

8、現在，是時候來測試上麵的配置是否具有我們想要的功能了。我們首先測試匿名登錄；我們可以從下麵的輸出中很清楚的看到，在這個 FTP 服務器中是不允許匿名登錄的：

1. # ftp 192.168.56.102
2. Connected to 192.168.56.102 (192.168.56.102).
3. 220 Welcome to TecMint.com FTP service.
4. Name (192.168.56.102:aaronkilik) : anonymous
5. 530 Permission denied.
6. Login failed.
7. ftp> bye
8. 221 Goodbye.

9、接下來，我們將測試，如果用戶的名字沒有在文件 /etc/vsftpd.userlist 中，是否能夠登錄。從下麵的輸出中，我們看到，這是不可以的：

1. # ftp 192.168.56.102
2. Connected to 192.168.56.102 (192.168.56.102).
3. 220 Welcome to TecMint.com FTP service.
4. Name (192.168.56.10:root) : user1
5. 530 Permission denied.
6. Login failed.
7. ftp> bye
8. 221 Goodbye.

10、現在，我們將進行最後一項測試，來確定列在文件 /etc/vsftpd.userlist 文件中的用戶登錄以後，是否實際處於 home 目錄。從下麵的輸出中可知，是這樣的：

1. # ftp 192.168.56.102
2. Connected to 192.168.56.102 (192.168.56.102).
3. 220 Welcome to TecMint.com FTP service.
4. Name (192.168.56.102:aaronkilik) : aaronkilik
5. 331 Please specify the password.
6. Password:
7. 230 Login successful.
8. Remote system type is UNIX.
9. Using binary mode to transfer files.
10. ftp> ls

在 Ubuntu 中確認 FTP 登錄

警告：設置選項 allow_writeable_chroot=YES 是很危險的，特別是如果用戶具有上傳權限，或者可以 shell 訪問的時候，很可能會出現安全問題。隻有當你確切的知道你在做什麼的時候，才可以使用這個選項。

我們需要注意，這些安全問題不僅會影響到 VSFTPD，也會影響讓本地用戶進入 chroot 環境的 FTP daemon。

因為這些原因，在下一步中，我將闡述一個更安全的方法，來幫助用戶設置一個非可寫本地 root 目錄。

第四步：在 Ubuntu 中配置 FTP 用戶的 Home 目錄

11、現在，再次打開 VSFTPD 配置文件。

1. $ sudo vi /etc/vsftpd.conf
2. OR
3. $ sudo nano /etc/vsftpd.conf

然後像下麵這樣用 # 把不安全選項注釋了：

1. #allow_writeable_chroot=YES

接下來，為用戶創建一個替代的本地 root 目錄（aaronkilik，你的可能和這不一樣），然後設置目錄權限，取消其他所有用戶對此目錄的寫入權限：

1. $ sudo mkdir /home/aaronkilik/ftp
2. $ sudo chown nobody:nogroup /home/aaronkilik/ftp
3. $ sudo chmod a-w /home/aaronkilik/ftp

12、然後，在本地 root 目錄下創建一個具有合適權限的目錄，用戶將在這兒存儲文件：

1. $ sudo mkdir /home/aaronkilik/ftp/files
2. $ sudo chown -R aaronkilk:aaronkilik /home/aaronkilik/ftp/files
3. $ sudo chmod -R 0770 /home/aaronkilik/ftp/files/

之後，將 VSFTPD 配置文件中的下麵這些選項添加/修改為相應的值：

1. user_sub_token=$USER # 在本地 root 目錄中插入用戶名
2. local_root=/home/$USER/ftp # 定義各個用戶的本地 root 目錄

保存文件並關閉。然後重啟 VSFTPD 服務來使上麵的設置生效：

1. ------------- On SystemD -------------
2. # systemctl restart vsftpd
3. ------------- On SysVInit -------------
4. # service vsftpd restart

13、現在，讓我們來最後檢查一下，確保用戶的本地 root 目錄是我們在他的 Home 目錄中創建的 FTP 目錄。

1. # ftp 192.168.56.102
2. Connected to 192.168.56.102 (192.168.56.102).
3. 220 Welcome to TecMint.com FTP service.
4. Name (192.168.56.10:aaronkilik) : aaronkilik
5. 331 Please specify the password.
6. Password:
7. 230 Login successful.
8. Remote system type is UNIX.
9. Using binary mode to transfer files.
10. ftp> ls

FTP 用戶 Home 目錄登錄

原文發布時間為：2017-03-17

本文來自雲棲社區合作夥伴“Linux中國”

最後更新：2017-05-24 16:02:18

  上一篇：  響應式網站為什麼能成為主流的建站技術

  下一篇：  《STM32庫開發實戰指南：基於STM32F4》----第3章 初識STM32 3.1 什麼是STM32