Phenquestions
Nastavení serveru FTP (File Transfer Protocol) na počítači se systémem Linux vám umožní přenášet soubory mezi systémem a vzdáleným počítačem. Ukážeme vám, jak nastavit server FTP na CentOS.
Linux již má spoustu serverů FTP s otevřeným zdrojovým kódem, které můžete pro tuto práci použít. To zahrnuje oblíbené servery jako PureFTPd, ProFTPD a vsftpd.
Máte povoleno používat kterýkoli ze serverů FTP, jak chcete. V tomto kurzu však budeme instalovat a používat vsftpd, zkratka pro velmi zabezpečený FTP démon. Jedná se o rychlý, stabilní a bezpečný FTP server, který vám během okamžiku pomůže přenášet soubory do a ze vzdáleného systému.
Nastavení serveru FTP na CentOS
Takže bez dalších okolků začněme:
Instalace vsftpd
Nejprve budeme muset nainstalovat vsftpd na CentOS. Chcete-li to provést, zadejte do terminálu následující příkaz:
$ sudo dnf install vsftpd
S vsftpd nainstalovaným v systému CentOS byste jej měli nakonfigurovat tak, aby se spouštěl a spouštěl automaticky. To lze provést pomocí následujícího příkazu:
$ sudo systemctl povolit vsftpd - nyní
Po dokončení ověřte stav služby vsftpd zadáním tohoto příkazu:
$ sudo systemctl status vsftpd
Zobrazí se výstupní obrazovka podobná té níže. Měli byste vidět, že vsftpd není ve vašem systému CentOS „aktivní“.
Nastavení vsftpd
Pokud je vsftpd aktivní a běží na vašem systému, budete muset nakonfigurovat nastavení serveru. K tomu budete potřebovat přístup k souboru / etc / vsftpd / vsftpd.konfigurační soubor. Toho lze dosáhnout otevřením konfiguračního souboru v nano editoru zadáním následujícího příkazu v terminálu:
$ sudo nano / etc / vsftpd / vsftpd.konf
Se souborem nyní otevřeným v editoru existuje několik změn, které musíte provést pro nastavení vsftpd ve vašem systému. Pojďme je projít jeden po druhém.
1. Nakonfigurujte přístup FTP
Nejprve nakonfigurujeme server FTP tak, aby umožňoval přístup pouze místním uživatelům. Chcete-li to provést, budete muset v souboru najít direktivy anonymous_enable a local_enable a upravit je podle obrázku níže:
Jak vidíte, budete muset nastavit anonymous_enable = NO a local_enable = YES.
2. Povolit nahrávání
Dále budete muset nakonfigurovat server FTP tak, aby umožňoval nahrávání a mazání souborů.
Chcete-li to provést, budete muset vyhledat direktivu write_enable a změnit ji na YES, jak je znázorněno na obrázku.
3. Omezte přihlašování uživatelů
Po dokončení budete chtít omezit celkový počet přihlašovacích údajů uživatelů.E., chcete, aby se na váš FTP server přihlásili pouze někteří uživatelé. Chcete-li to provést, nejprve najděte tento řádek v .conf soubor - userlist_enable = ANO. Poté přidejte do souboru tyto dva řádky:
userlist_file = / etc / vsftpd / user_list userlist_deny = NE
Jako referenci použijte obrázek níže:
Tuto možnost můžete také povolit. Pokud tak učiníte, budete muset výslovně určit, kterým uživatelům chcete udělit přístup k serveru FTP. Chcete-li povolit uživatelům, budete muset přidat jejich uživatelská jména do souboru / etc / vsftpd / user_list s pouze jedním uživatelským jménem v každém řádku.
4. Nastavení pasivních připojení FTP
Můžete také chtít nastavit pasivní připojení FTP.
Zde vám ukážeme, jak můžete určit minimální a maximální rozsah portů přidáním několika řádků uvnitř .soubor conf.
Vše, co musíte udělat, je posunout se dolů na konec souboru a přidat tyto dva řádky, jak je znázorněno na obrázku.
pasv_min_port = 30000 pasv_max_port = 31000
Dále v tomto tutoriálu probereme, jak můžete rozsah otevřít ve firewallu.
5. Nakonfigurujte zabezpečené přenosy pomocí SSL / TLS
Nakonec přichází otázka zabezpečení připojení FTP pomocí SSL / TLS. Chcete-li to provést, musíte mít certifikát SSL a nakonfigurovat server FTP tak, aby jej mohl používat.
Kvůli tomuto výukovému programu však budeme pomocí nástroje OpenSSL generovat certifikát SSL podepsaný svým držitelem a poté jej použijeme k šifrování našeho přenosu FTP.
Nejprve tedy budete muset ke generování nového certifikátu SSL použít OpenSSL. To lze provést zadáním následujícího příkazu do terminálu:
sudo openssl req -x509 -nodes -days 3650 -newkey rsa: 2048 -keyout / etc / vsftpd / vsftpd.pem -out / etc / vsftpd / vsftpd.pem
Spuštěním výše uvedeného příkazu vygenerujete 2048bitový soukromý klíč i certifikát podepsaný svým držitelem. Oba jsou platné deset let a jsou uloženy ve stejném souboru.
Po vytvoření nového certifikátu SSL otevřete konfigurační soubor vsftpd pomocí předchozího příkazu:
sudo nano / etc / vsftpd / vsftpd.konf
Přejděte dolů a přidejte následující řádky, jak je znázorněno na obrázku:
rsa_cert_file = / etc / vsftpd / vsftpd.pem rsa_private_key_file = / etc / vsftpd / vsftpd.pem ssl_enable = ANO
A to je vše. Úspěšně jste nakonfigurovali certifikát SSL pro váš server FTP.
6. Dokončit
Po dokončení znovu zkontrolujte konfigurační soubor vsftpd a zkontrolujte, zda jsou všechna následující nastavení taková, jaká jsou:
anonymous_enable = NE local_enable = ANO write_enable = ANO local_umask = 022 dirmessage_enable = ANO xferlog_enable = ANO connect_from_port_20 = ANO xferlog_std_format = ANO poslouchat = NE poslouchat_ipv6 = ANO pam_service_name = seznam_uživatelů = NO_seznam = seznam_uživatelů = NO_seznam = seznam_uživatelů = seznam_uživatelů = seznam_uživatelů = seznam_uživatelů = seznam_uživatelů = seznam_uživatelů = seznam_uživatelů = seznam_uživatelů = seznam_uživatelů = seznam_uživatelů = seznam_uživatelů = seznam_uživatelů = seznam_uživatelů = seznam_uživatelů = seznam_uživatelů = seznam_uživatelů = seznam_uživatelů = seznam_uživatelů = seznam_uživatelů = seznam_uživatelů = seznam_uživatelů = seznam_uživatelů = seznam_uživatelů = seznam uživatelů = pasv_max_port = 31000 rsa_cert_file = / etc / vsftpd / vsftpd.pem rsa_private_key_file = / etc / vsftpd / vsftpd.pem ssl_enable = ANO
Poté, co se ujistíte, že byly v souboru provedeny všechny výše uvedené změny, budete jej muset uložit. Po uložení restartujte službu vsftpd pomocí následujícího příkazu:
$ sudo systemctl restart vsftpd
Nakonfigurujte bránu firewall
Pokud máte společně se serverem FTP povolenou bránu firewall, musíte bránu firewall nakonfigurovat tak, aby umožňovala přenosy FTP.
K tomu budete muset do terminálu zadat následující příkazy:
$ sudo firewall-cmd --permanent --add-port = 20-21 / tcp
Výše uvedený příkaz otevírá port 21 - což je port příkazu FTP a port 20 - což je datový port FTP.
Budete také muset zadat tento příkaz:
$ sudo firewall-cmd --permanent --add-port = 30000-31000 / tcp
Tento příkaz otevírá rozsah pasivních portů 30000-31000, který jsme nakonfigurovali dříve.
Po dokončení budete muset znovu načíst bránu firewall pomocí následujícího příkazu:
$ firewall-cmd - znovu načíst
Jak vytvořit nového uživatele FTP
Nyní, když jste ve svém systému CentOS nastavili server vsftpd, je čas vytvořit nového uživatele FTP a otestovat to.
Nejprve vytvořme nového uživatele FTP (newftpuser) pomocí následujícího příkazu:
$ sudo adduser newftpuser
Dále budete muset nastavit heslo pro nového uživatele. Chcete-li to provést, použijte tento příkaz:
$ sudo passwd newftpuser
Zkontrolujte, zda je heslo silné a delší než osm znaků.
Po vytvoření nového uživatele jej budete muset přidat do seznamu uživatelů FTP. To lze provést zadáním následujícího příkazu do terminálu:
$ echo "newftpuser" | sudo tee -a / etc / vsftpd / user_list
Nakonec budete muset vytvořit adresářový strom FTP, kde nastavíte všechna správná oprávnění. Chcete-li to provést, budete muset do terminálu zadat následující řadu příkazů:
$ sudo mkdir -p / home / newftpuser / ftp / upload $ sudo chmod 550 / home / newftpuser / ftp $ sudo chmod 750 / home / newftpuser / ftp / upload $ sudo chown -R newftpuser: / home / newftpuser / ftp
Váš FTP server je nyní plně funkční a připravený k použití. Nyní se k němu můžete připojit pomocí libovolného klienta FTP, jako je FileZilla. Jen se ujistěte, že klienta FTP lze také nakonfigurovat tak, aby používal šifrování TLS, protože se používá k šifrování přenosů FTP.
Zakázat přístup do prostředí
Při vytváření nového uživatele FTP byste měli mít na paměti, že pokud nebude výslovně uvedeno, bude mít uživatel přístup SSH k serveru.
Pokud chcete uživateli zakázat přístup k shellu, budete muset vytvořit nový shell, který vytiskne zprávu informující uživatele, že - „Tento účet je omezen pouze na přístup FTP.“
Chcete-li to provést, budete muset do terminálu zadat následující příkaz:
$ echo -e '#!/ bin / sh \ necho "Tento účet je omezen pouze na přístup FTP."'| sudo tee -a / bin / ftponly $ sudo chmod a + x / bin / ftponly
Výše uvedený příkaz vytvoří / bin / ftponly shell a provede jej.
Dále budete muset přidat nový shell do seznamu platných skořápek, které jsou umístěny uvnitř / etc / skořápky soubor. To se provádí pomocí následujícího příkazu:
$ echo "/ bin / ftponly" | sudo tee -a / etc / shells
A jako poslední krok, vše, co musíte udělat, je změnit uživatelský shell na / bin / ftponly pomocí tohoto příkazu:
$ sudo usermod newftpuser -s / bin / ftponly
Pro všechny budoucí uživatele FTP můžete stejným příkazem změnit jejich shell, aby měli pouze přístup FTP.
