VSFTPD installimine
VSFTPD (Very Secure FTP Daemon) on tarkvaraprogramm, mida kasutatakse FTP konfigureerimiseks serveris. Selles õpetuses kasutatakse VSFTPD-d masina FTP-serveri konfigureerimiseks. Enne VSFTPD installimist värskendage oma serveri hoidlaid, väljastades järgmise käsu.
[meiliga kaitstud]: ~ $ sudo apt-get update -yJärgmisena installige VSFTPD järgmise käsu abil.
[meiliga kaitstud]: ~ $ sudo apt-get install vsftpd -yLõpuks kontrollige installimist, kontrollides vsftpd versiooni järgmise käsuga.
[meiliga kaitstud]: ~ $ vsftpd -v
Ülaltoodud käsk väljastab vsftpd versiooni, kui installimine on edukas.
FTP aktiivses režiimis
Aktiivses režiimis alustab FTP klient seanssi, luues TCP-ühenduse ühenduse kliendi masina suvalistest pordidest serveri 21. porti. Seejärel hakkab klient kuulama juhuslikku porti X andmeside kohta ja teavitab serveri TCP Control ühenduse kaudu, et klient ootab andmesideühendust porti X. Pärast seda loob server andmeside oma porti 20 ja kliendi masina pordi X vahel.
Probleem võib tekkida juhul, kui klient on tulemüüri taga ja port X on blokeeritud. Sellisel juhul ei saa server luua kliendiga andmesideühendust. Selle probleemi vältimiseks kasutatakse FTP-serverit enamasti passiivses režiimis, mida käsitleme edaspidi selles artiklis. Vaikimisi kasutab VSFTPD passiivset režiimi, seega peame selle muutma aktiivseks režiimiks.
Esmalt avage VSFTPD konfiguratsioonifail.
[meiliga kaitstud]: ~ $ sudo nano / etc / vsftpd.konfLisage järgmine rida faili lõppu.
pasv_enable = EI
Samuti veenduge, et valiku 'connect_from_port_20' väärtuseks oleks seatud 'YES."See valik tagab, et andmeside on loodud serveri 20. pordis.
Järgmisena looge kataloog, mida FTP-server failide salvestamiseks kasutab. Selle õpetuse jaoks konfigureerime FTP-serveri juurteeks '/ home / ubuntu / ftp /'.
[meiliga kaitstud]: ~ $ sudo mkdir / home / ubuntu / ftpNüüd määrake see kataloog konfiguratsioonifailis, muutes valikut "local_root". Järgmine parameeter konfigureerib serveri juurtee.
local_root = / kodu / ubuntu / ftp
Võimalus kirjutada_enable peab olema lubatud, et kasutajad saaksid FTP-serverisse kirjutada.
Iga kord, kui muudate konfiguratsioonifaili, taaskäivitage server alati.
[meiliga kaitstud]: ~ $ sudo systemctl taaskäivitage vsftpdKasutaja jaoks parooli määramine
FTP klient loob serveriga ühenduse, kasutades kasutajanime ja parooli. Määrake oma kasutaja parool masinas järgmise käsu abil.
[meiliga kaitstud]: ~ $ sudo passwd ubuntuÜlaltoodud käsk küsib ubuntu kasutaja parooli.
Tulemüüri konfigureerimine aktiivrežiimi jaoks
Kui FTP-d kasutatakse aktiivses režiimis, kasutab FTP-server kliendiga suhtlemiseks kahte porti, porte 21 ja 22. Porti 21 kasutatakse käskude edastamiseks kliendile ja pordi 20 kasutatakse andmete edastamiseks mis tahes suvalisse kliendi porti. Serveri tulemüüri konfigureerimiseks kasutame ufw-d. Installige ufw järgmise käsu abil.
[meiliga kaitstud]: ~ $ sudo apt-get install ufwNüüd avame serveri poolel pordid 20, 21 ja 22 (SSH-ühenduse jaoks).
[meiliga kaitstud]: ~ $ sudo ufw luba suvalisest mis tahes pordi proto TCP-ks
Lubage ja kontrollige ufw olekut järgmiste käskude abil.
[meiliga kaitstud]: ~ $ sudo ufw enable[meiliga kaitstud]: ~ $ sudo ufw olek
MÄRGE: kui konfigureerite oma FTP-serverit pilves, peate lubama turvarühmas ka pordid 20, 21 ja 22.
HOIATUS: Enne ufw lubamist kaugsüsteemis lubage alati port 22 koos vajalike pordidega. Vaikimisi blokeerib UFW liikluse sadamast 22, nii et te ei pääse SSH-ga kaugserverile juurde, kui lubate ufw, lubamata liiklust porti 22.
FTP-kliendi installimine
Nüüd on meie server konfigureeritud aktiivses režiimis ja me pääseme sellele juurde kliendi poolelt. Kliendirakenduse jaoks kasutame ftp-kliendirakendust FileZilla. Installige FileZilla järgmise käsu abil.
[meiliga kaitstud]: ~ $ sudo apt-get install filezilla -yAvage FTP-klientrakendus ja sisestage FTP-serveri avalik IP-aadress ja muud mandaadid.
Klõpsates nuppu „Kiirühendus”, loote ühenduse FTP-serveriga ja teid suunatakse automaatselt konfiguratsioonifaili „/ home / ubuntu / ftp” suvandis „local_root” määratud kataloogi.
Probleemid aktiivses režiimis
FTP kasutamine aktiivses režiimis tekitab probleeme, kui klient on tulemüüri taga. Pärast algsete juhtkäskude sisestamist võib server luua juhusliku pordi kaudu kliendiga andmesideühenduse, võib kliendi tulemüür blokeerida pordi, mis põhjustab andmeedastuse nurjumise. Nende tulemüüriga seotud probleemide lahendamiseks saab FTP-d kasutada passiivses režiimis.
FTP passiivses režiimis
Passiivses režiimis loob klient juhtühenduse serveriga serveri 21. pordis. Seejärel saadab klient spetsiaalse käsu PASV, et teavitada serverit, et andmeside loob serveri asemel klient. Vastuseks saab klient serveri IP ja juhusliku pordi numbri (see pordi number konfigureeritakse serveris). Klient kasutab serveriga andmeside loomiseks seda IP-d ja pordinumbrit. Passiivses režiimis loob nii andme- kui ka kontrollühendused klient, nii et tulemüür ei häiri kliendi ja serveri vahelist suhtlust.
Avage oma lemmikredaktoris FTP konfiguratsioonifail.
[meiliga kaitstud]: ~ $ sudo nano / etc / vsftpd.konfMäärake failis suvand „pasv_enable” väärtuseks „JAH”, et server saaks kliendiga passiivses režiimis suhelda. Samuti määrake serveri juurkataloogi määramiseks valik „local_root” ja määrake valiku „write_enable” väärtuseks „YES”, et kasutajad saaksid faile serverisse üles laadida.
Nagu eelnevalt räägitud, loob andmeside kliendi poolt ning server saadab oma avaliku IP ja juhusliku pordi kliendile andmeühenduse loomiseks. Seda juhuslikku porti serveris saab määrata konfiguratsioonifaili pordivahemikust.
Andmeühendus serveri ja kliendi vahel luuakse porti vahemikus 1024–1048. Pärast konfiguratsioonifaili muutmist taaskäivitage FTP-server.
[meiliga kaitstud]: ~ $ sudo systemctl taaskäivitage vsftpdTulemüüri konfigureerimine passiivses režiimis
Kui kasutame FTP-d passiivses režiimis, luuakse andmeühendus mis tahes pordi 1024–1048 kaudu, seega on vaja lubada kõik need FTP-serveri pordid.
[meiliga kaitstud]: ~ $ sudo ufw lubab ükskõik millisest ükskõik millisesse pordi proto TCP-sse
Pärast kõigi tulemüüri pordide lubamist aktiveerige ufw, käivitades järgmise käsu.
[meiliga kaitstud]: ~ $ sudo ufw enableEnne tulemüüri lubamist lubage serveris alati pordid; muidu ei pääse te oma serverisse SSH kaudu kui ufw, mis vaikimisi blokeerib pordi 22.
Ühenduse testimine
Nüüd oleme seadistanud FTP-serveri passiivses režiimis ja saame kontrollida ftp-ühendust kliendirakendusega. Selleks avage oma süsteemis FileZilla.
Pärast hosti, kasutajanime, parooli ja pordi sisestamist saate nüüd oma serveriga ühenduse luua. Nüüd, kui olete ühendatud passiivses režiimis töötava FTP-serveriga, saate failid serverisse üles laadida.
SSL-sertifikaatide konfigureerimine FTP-serveriga
Vaikimisi loob FTP-server ühenduse kliendi ja serveri vahel turvamata kanali kaudu. Seda tüüpi suhtlust ei tohiks kasutada, kui soovite tundlikke andmeid kliendi ja serveri vahel jagada. Turvalise kanali kaudu suhtlemiseks on vaja kasutada SSL-i sertifikaate.
SSL-sertifikaatide genereerimine
Kasutame SSL-sertifikaate turvalise side loomiseks kliendi ja serveri vahel. Need sertifikaadid genereerime opensl-i abil. Järgmine käsk genereerib teie serveri jaoks SSL-sertifikaadid.
[meiliga kaitstud]: ~ $ sudo openssl req -x509 -nodes -day 365 -newkey rsa: 2048 -keyout / etc / ssl / private / vsftpd.pem -out / etc / ssl / private / vsftpd.pemÜlaltoodud käsu käivitamisel esitatakse teile mõned küsimused. Pärast nendele küsimustele vastamist luuakse sertifikaadid. Sertifikaate saate kontrollida terminalist.
[meiliga kaitstud]: ~ $ sudo ls / etc / ssl / private /
Sertifikaatide kasutamine konfiguratsioonifailis
Nüüd on meie sertifikaadid kasutamiseks valmis. Konfigureerime 'vsftpd.conf-fail SSL-sertifikaatide kasutamiseks suhtlemisel. Avage konfiguratsioonifail järgmise käsuga.
[meiliga kaitstud]: ~ $ sudo nano / etc / vsftpd.konfLisage failide lõppu järgmised read. Need muudatused tagavad, et FTP-server kasutab äsja loodud SSL-sertifikaate kliendiga turvaliseks suhtlemiseks.
ssl_enable = JAHjõu_kohalik_andmete_ssl = EI
force_local_logins_ssl = EI
ssl_tlsv1 = JAH
ssl_sslv2 = EI
ssl_sslv3 = EI
rsa_cert_file = / etc / ssl / private / vsftpd.pem
rsa_private_key_file = / etc / ssl / private / vsftpd.pem
Nende muudatuste rakendamiseks taaskäivitage FTP-server.
[meiliga kaitstud]: ~ $ sudo systemctl taaskäivitage vsftpdPärast serveri taaskäivitamist proovige oma serveriga ühendust luua FileZilla kliendirakenduse abil. Seekord küsib kliendirakendus teilt, kas neid serte usaldada.
Kui teil on usaldusväärse sertifikaadiasutuse sertifikaate, ei tohiks seda hoiatust kuvada. Me lõime oma sertifikaadid kasutades openssl, mis ei ole usaldusväärne sertifikaatide asutus, mistõttu palus ta meie puhul sertifikaadi autentimist. Nüüd saame kliendi ja serveri vahel suhelda turvalise kanali kaudu.
Anonüümne seadistamine
Anonüümse sisselogimise saate lubada ka oma FTP-serveris. Kui see konfiguratsioon on lubatud, saab iga kasutaja FTP-serverisse sisse logida mis tahes kasutajanime ja parooliga. Järgmised konfiguratsioonifaili parameetrid muudavad FTP-serveri anonüümselt ligipääsetavaks.
Ülaltoodud konfiguratsioon määrab anonüümsete kasutajate juurteeks '/ home / ubuntu / ftp / anon' ja see ei küsi parooli, kui anonüümne kasutaja sisse logib.
MÄRGE: Veenduge, et FTP-serveris oleks olemas tee '/ home / ubuntu / ftp / anon'.
Nüüd taaskäivitage FTP-server.
[meiliga kaitstud]: ~ $ sudo systemctl taaskäivitage vsftpdPärast serveri taaskäivitamist proovime serveriga ühenduse luua Google Chrome'i brauseri kaudu. Minge järgmisele URL-ile.
ftp: // 3.8.12.52Ülaltoodud URL viib teid FTP-serveri juurkataloogi, nagu on määratletud konfiguratsioonifailis. Kui anonüümne sisselogimine on keelatud, siis kui proovite brauseri abil FTP-serveriga ühendust luua, küsitakse kõigepealt autentimist ja seejärel suunatakse teid serveri juurkataloogi.
Kohaliku juurdepääsu seadistamine
Samuti võime lubada või blokeerida kohaliku juurdepääsu FTP-serverile, muutes konfiguratsioonifaili. Praegu saame oma FTP-serverile juurde pääseda kohapeal ilma FTP-klientrakendust kasutamata, kuid võime selle juurdepääsu blokeerida. Selleks peame muutma parameetrit 'local_enable'.
Kõigepealt taaskäivitage FTP-server.
[meiliga kaitstud]: ~ $ sudo systemctl taaskäivitage vsftpdPärast serveri taaskäivitamist proovige pääseda FTP-serverile lokaalselt käsurea liidese abil. Logige SSH-ga sisse oma kaugserverisse.
[meiliga kaitstud]: ~ $ ssh ubuntu @ 3.8.12.52 -iNüüd väljastage järgmine käsk FTP-serverisse sisselogimiseks käsurea liidese abil.
[meiliga kaitstud]: ~ $ ftp localhostKui käivitate ülaltoodud käsu, viskab see 500 vea.
Järeldus
Failiedastusprotokolli on juba aastaid kasutatud failide ja dokumentide Interneti kaudu edastamiseks. VSFTPD on üks pakettidest, mida teie arvutis kasutatakse FTP-serverina. VSFTPD sisaldab erinevaid konfiguratsioone, mida saate kasutada oma FTP-serveri kohandamiseks. See õpetus näitas teile, kuidas TLS-iga FTP-serverit turvalisuse tagamiseks konfigureerida. FTP konfiguratsioonide kohta lisateabe saamiseks külastage järgmist linki.
http: // vsftpd.metsalised.org / vsftpd_conf.HTML