FTP（文件傳輸協(xié)議）是一個(gè)較老且最常用的標(biāo)準(zhǔn)網(wǎng)絡(luò)協(xié)議，用于在兩臺(tái)計(jì)算機(jī)之間通過網(wǎng)絡(luò)上傳/下載文件。然而， FTP 最初的時(shí)候并不安全，因?yàn)樗鼉H通過用戶憑證（用戶名和密碼）傳輸數(shù)據(jù)，沒有進(jìn)行加密。

警告：如果你打算使用 FTP， 需要考慮通過 SSL/TLS配置 FTP 連接。否則，使用安全 FTP，比如 SFTP 會(huì)更好一些。

在這個(gè)教程中，我將向你們展示如何在 Ubuntu 中安裝、配置并保護(hù) FTP 服務(wù)器（VSFTPD 的全稱是 “Very Secure FTP Deamon”），從而擁有強(qiáng)大的安全性，能夠防范 FTP 漏洞。

第一步：在 Ubuntu 中安裝 VSFTPD 服務(wù)器

首先，我們需要更新系統(tǒng)安裝包列表，然后像下面這樣安裝 VSFTPD 二進(jìn)制包：

$ sudo apt-get update
$ sudo apt-get install vsftpd

一旦安裝完成，初始情況下服務(wù)被禁用。因此，我們需要手動(dòng)開啟服務(wù)，同時(shí)，啟動(dòng)它使得在下次開機(jī)時(shí)能夠自動(dòng)開啟服務(wù)：

------------- On SystemD -------------
# systemctl start vsftpd
# systemctl enable vsftpd
------------- On SysVInit -------------
# service vsftpd start
# chkconfig --level 35 vsftpd on

接下來，如果你在服務(wù)器上啟用了 UFW 防火墻（默認(rèn)情況下不啟用），那么需要打開端口 20 和 21 —— FTP 守護(hù)進(jìn)程正在監(jiān)聽它們——從而才能允許從遠(yuǎn)程機(jī)器訪問 FTP 服務(wù)，然后，像下面這樣添加新的防火墻規(guī)則：

$ sudo ufw allow 20/tcp
$ sudo ufw allow 21/tcp
$ sudo ufw status

第二步：在 Ubuntu 中配置并保護(hù) VSFTPD 服務(wù)器

讓我們進(jìn)行一些配置來設(shè)置和保護(hù) FTP 服務(wù)器。首先，我們像下面這樣創(chuàng)建一個(gè)原始配置文件 /etc/vsftpd/vsftpd.conf 的備份文件：

$ sudo cp /etc/vsftpd.conf /etc/vsftpd.conf.orig

接下來，打開 vsftpd 配置文件。

$ sudo vi /etc/vsftpd.conf
OR
$ sudo nano /etc/vsftpd.conf

把下面的這些選項(xiàng)添加/改成所展示的值：

anonymous_enable=NO       # 關(guān)閉匿名登錄
local_enable=YES    # 允許本地用戶登錄
write_enable=YES    # 啟用可以修改文件的 FTP 命令
local_umask=022       # 本地用戶創(chuàng)建文件的 umask 值
dirmessage_enable=YES      # 當(dāng)用戶第一次進(jìn)入新目錄時(shí)顯示提示消息
xferlog_enable=YES   # 一個(gè)存有詳細(xì)的上傳和下載信息的日志文件
connect_from_port_20=YES    # 在服務(wù)器上針對(duì) PORT 類型的連接使用端口 20（FTP 數(shù)據(jù)）
xferlog_std_format=YES     # 保持標(biāo)準(zhǔn)日志文件格式
listen=NO        # 阻止 vsftpd 在獨(dú)立模式下運(yùn)行
listen_ipv6=YES       # vsftpd 將監(jiān)聽 ipv6 而不是 IPv4，你可以根據(jù)你的網(wǎng)絡(luò)情況設(shè)置
pam_service_name=vsftpd     # vsftpd 將使用的 PAM 驗(yàn)證設(shè)備的名字
userlist_enable=YES       # 允許 vsftpd 加載用戶名字列表
tcp_wrappers=YES    # 打開 tcp 包裝器

現(xiàn)在，配置 VSFTPD ，基于用戶列表文件/etc/vsftpd.userlist 來允許或拒絕用戶訪問 FTP。

注意，在默認(rèn)情況下，如果通過userlist_enable=YES 啟用了用戶列表，且設(shè)置userlist_deny=YES 時(shí)，那么，用戶列表文件/etc/vsftpd.userlist 中的用戶是不能登錄訪問的。

但是，選項(xiàng)userlist_deny=NO 則反轉(zhuǎn)了默認(rèn)設(shè)置，這種情況下只有用戶名被明確列出在/etc/vsftpd.userlist 中的用戶才允許登錄到 FTP 服務(wù)器。

userlist_enable=YES          # vsftpd 將會(huì)從所給的用戶列表文件中加載用戶名字列表
userlist_file=/etc/vsftpd.userlist  # 存儲(chǔ)用戶名字的列表
userlist_deny=NO

重要的是，當(dāng)用戶登錄 FTP 服務(wù)器以后，他們將進(jìn)入 chrooted 環(huán)境，即當(dāng)在 FTP 會(huì)話時(shí)，其 root 目錄將是其 home 目錄。

接下來，我們來看一看兩種可能的途徑來設(shè)置 chrooted（本地 root）目錄，正如下面所展示的。

這時(shí)，讓我們添加/修改/取消這兩個(gè)選項(xiàng)來將 FTP 用戶限制在其 home 目錄

chroot_local_user=YES
allow_writeable_chroot=YES

選項(xiàng)chroot_local_user=YES 意味著本地用戶將進(jìn)入 chroot 環(huán)境，當(dāng)?shù)卿浺院竽J(rèn)情況下是其 home 目錄。

并且我們要知道，默認(rèn)情況下，出于安全原因，VSFTPD 不允許 chroot 目錄具有可寫權(quán)限。然而，我們可以通過選項(xiàng) allow_writeable_chroot=YES 來改變這個(gè)設(shè)置

保存文件然后關(guān)閉。現(xiàn)在我們需要重啟 VSFTPD 服務(wù)從而使上面的這些更改生效：

------------- On SystemD -------------
# systemctl restart vsftpd
------------- On SysVInit -------------
# service vsftpd restart

第三步：在 Ubuntu 上測(cè)試 VsFTP 服務(wù)器

現(xiàn)在，我們通過使用下面展示的 useradd 命令創(chuàng)建一個(gè) FTP 用戶來測(cè)試 FTP 服務(wù)器：

$ sudo useradd -m -c "Aaron Kili, Contributor" -s /bin/bash aaronkilik
$ sudo passwd aaronkilik

然后，我們需要像下面這樣使用 echo 命令和 tee 命令來明確地列出文件/etc/vsftpd.userlist 中的用戶 aaronkilik：

$ echo "aaronkilik" | sudo tee -a /etc/vsftpd.userlist
$ cat /etc/vsftpd.userlist

現(xiàn)在，是時(shí)候來測(cè)試上面的配置是否具有我們想要的功能了。我們首先測(cè)試匿名登錄；我們可以從下面的輸出中很清楚的看到，在這個(gè) FTP 服務(wù)器中是不允許匿名登錄的：

# ftp 192.168.56.102
Connected to 192.168.56.102 (192.168.56.102).
220 Welcome to TecMint.com FTP service.
Name (192.168.56.102:aaronkilik) : anonymous
530 Permission denied.
Login failed.
ftp> bye
221 Goodbye.

接下來，我們將測(cè)試，如果用戶的名字沒有在文件/etc/vsftpd.userlist 中，是否能夠登錄。從下面的輸出中，我們看到，這是不可以的：

# ftp 192.168.56.102
Connected to 192.168.56.102 (192.168.56.102).
220 Welcome to TecMint.com FTP service.
Name (192.168.56.10:root) : user1
530 Permission denied.
Login failed.
ftp> bye
221 Goodbye.

現(xiàn)在，我們將進(jìn)行最后一項(xiàng)測(cè)試，來確定列在文件/etc/vsftpd.userlist 文件中的用戶登錄以后，是否實(shí)際處于 home 目錄。從下面的輸出中可知，是這樣的：

# ftp 192.168.56.102
Connected to 192.168.56.102 (192.168.56.102).
220 Welcome to TecMint.com FTP service.
Name (192.168.56.102:aaronkilik) : aaronkilik
331 Please specify the password.
Password:
230 Login successful.
Remote system type is UNIX.
Using binary mode to transfer files.
ftp> ls

在 Ubuntu 中確認(rèn) FTP 登錄

警告：設(shè)置選項(xiàng)allow_writeable_chroot=YES 是很危險(xiǎn)的，特別是如果用戶具有上傳權(quán)限，或者可以 shell 訪問的時(shí)候，很可能會(huì)出現(xiàn)安全問題。只有當(dāng)你確切的知道你在做什么的時(shí)候，才可以使用這個(gè)選項(xiàng)。

我們需要注意，這些安全問題不僅會(huì)影響到 VSFTPD，也會(huì)影響讓本地用戶進(jìn)入 chroot 環(huán)境的 FTP daemon。

因?yàn)檫@些原因，在下一步中，我將闡述一個(gè)更安全的方法，來幫助用戶設(shè)置一個(gè)非可寫本地 root 目錄。

第四步：在 Ubuntu 中配置 FTP 用戶的 Home 目錄

現(xiàn)在，再次打開 VSFTPD 配置文件。

$ sudo vi /etc/vsftpd.conf
OR
$ sudo nano /etc/vsftpd.conf

然后像下面這樣用# 把不安全選項(xiàng)注釋了：

#allow_writeable_chroot=YES

接下來，為用戶創(chuàng)建一個(gè)替代的本地 root 目錄（aaronkilik，你的可能和這不一樣），然后設(shè)置目錄權(quán)限，取消其他所有用戶對(duì)此目錄的寫入權(quán)限：

$ sudo mkdir /home/aaronkilik/ftp
$ sudo chown nobody:nogroup /home/aaronkilik/ftp
$ sudo chmod a-w /home/aaronkilik/ftp

然后，在本地 root 目錄下創(chuàng)建一個(gè)具有合適權(quán)限的目錄，用戶將在這兒存儲(chǔ)文件：

$ sudo mkdir /home/aaronkilik/ftp/files
$ sudo chown -R aaronkilk:aaronkilik /home/aaronkilik/ftp/files
$ sudo chmod -R 0770 /home/aaronkilik/ftp/files/

之后，將 VSFTPD 配置文件中的下面這些選項(xiàng)添加/修改為相應(yīng)的值：

user_sub_token=$USER     # 在本地 root 目錄中插入用戶名
local_root=/home/$USER/ftp  # 定義各個(gè)用戶的本地 root 目錄

保存文件并關(guān)閉。然后重啟 VSFTPD 服務(wù)來使上面的設(shè)置生效：

------------- On SystemD -------------
# systemctl restart vsftpd
------------- On SysVInit -------------
# service vsftpd restart

現(xiàn)在，讓我們來最后檢查一下，確保用戶的本地 root 目錄是我們?cè)谒?Home 目錄中創(chuàng)建的 FTP 目錄。

# ftp 192.168.56.102
Connected to 192.168.56.102 (192.168.56.102).
220 Welcome to TecMint.com FTP service.
Name (192.168.56.10:aaronkilik) : aaronkilik
331 Please specify the password.
Password:
230 Login successful.
Remote system type is UNIX.
Using binary mode to transfer files.
ftp> ls

以上就是本文的全部?jī)?nèi)容，希望對(duì)大家的學(xué)習(xí)有所幫助，也希望大家多多支持腳本之家。

最新評(píng)論