FTP (File Transfer Protocol) egy viszonylag régi és a leggyakrabban használt szabványos hálózati protokoll fájlok feltöltésére/letöltésére két számítógép között egy hálózaton keresztül. Azonban az FTP az eredeti bizonytalan, mert továbbítja az adatokat együtt felhasználói hitelesítő adatok (felhasználónév, jelszó) titkosítás nélkül.
figyelmeztetés: ha FTP-t kíván használni, fontolja meg az FTP-kapcsolat SSL/TLS-vel történő konfigurálását (a következő cikk foglalkozik). Ellenkező esetben mindig jobb a biztonságos FTP, például az SFTP használata.,
javasolt olvasni: hogyan kell telepíteni és biztonságos FTP szerver CentOS 7
ebben a bemutatóban, megmutatjuk, hogyan kell telepíteni, konfigurálni és biztonságos FTP szerver (VSFTPD teljes “nagyon biztonságos FTP démon”) az Ubuntu, hogy egy erős biztonsági ellen FTP biztonsági réseket.
1. lépés: Vsftp szerver telepítése Ubuntuban
1. Először frissítenünk kell a Rendszercsomag forráslistáját, majd telepítenünk kell a VSFTPD bináris csomagot az alábbiak szerint:
$ sudo apt-get update$ sudo apt-get install vsftpd
2., A telepítés befejezése után a szolgáltatás kezdetben le lesz tiltva, ezért manuálisan kell elindítanunk az átlagos időre, valamint lehetővé kell tennünk, hogy automatikusan elinduljon a következő rendszerindításról:
3., A következő, ha UFW tűzfal engedélyezve van ( az alapértelmezés szerint nincs engedélyezve) a szerveren, hogy a nyitott portok 21, 20 ahol az FTP daemon figyel, annak érdekében, hogy lehetővé teszi a hozzáférést az FTP szolgáltatás, a távoli gépek, majd adjuk hozzá az új tűzfal szabályok a következők:
$ sudo ufw allow 20/tcp$ sudo ufw allow 21/tcp$ sudo ufw status
2. Lépés: Konfigurálásához Biztosítása VsFTP-Kiszolgáló Ubuntu
4. Most hajtsunk végre néhány konfigurációt az FTP szerver telepítéséhez és biztonságához, először létrehozunk egy biztonsági másolatot az eredeti konfigurációs fájlról / etc / vsftpd / vsftpd.,conf like so:
$ sudo cp /etc/vsftpd.conf /etc/vsftpd.conf.orig
ezután nyissuk meg a vsftpd konfigurációs fájlt.
$ sudo vi /etc/vsftpd.confOR$ sudo nano /etc/vsftpd.conf
a következő opciók hozzáadása/módosítása ezekkel az értékekkel:
anonymous_enable=NO # disable anonymous loginlocal_enable=YES# permit local loginswrite_enable=YES# enable FTP commands which change the filesystemlocal_umask=022 # value of umask for file creation for local usersdirmessage_enable=YES # enable showing of messages when users first enter a new directoryxferlog_enable=YES# a log file will be maintained detailing uploads and downloadsconnect_from_port_20=YES # use port 20 (ftp-data) on the server machine for PORT style connectionsxferlog_std_format=YES # keep standard log file formatlisten=NO # prevent vsftpd from running in standalone modelisten_ipv6=YES # vsftpd will listen on an IPv6 socket instead of an IPv4 onepam_service_name=vsftpd # name of the PAM service vsftpd will useuserlist_enable=YES # enable vsftpd to load a list of usernamestcp_wrappers=YES # turn on tcp wrappers
5. Most konfigurálja a VSFTPD-t, hogy engedélyezze/megtagadja az FTP-hozzáférést a felhasználók számára az /etc/vsftpd felhasználói listafájl alapján.userlist.
vegye figyelembe, hogy alapértelmezés szerint a userlist_file=/etc/vsftpd-ben felsorolt felhasználók.userlist megtagadják belépés hozzáférés userlist_deny=YES opció, ha userlist_enable=YES.,
de a userlist_deny=NO opció megfordítja az alapértelmezett beállítás jelentését, így csak azok a felhasználók, akiknek felhasználóneve kifejezetten szerepel az userlist_file=/etc/vsftpd-ben.a userlist bejelentkezhet az FTP szerverre.
fontos: amikor a felhasználók bejelentkeznek az FTP szerverre, akkor egy chrooted börtönbe kerülnek, ez a helyi gyökérkönyvtár, amely csak az FTP-munkamenet otthoni könyvtáraként működik.
ezután két lehetséges forgatókönyvet fogunk megvizsgálni a chrooted jail (helyi gyökér) könyvtár beállításának módjáról, amint azt az alábbiakban ismertetjük.
6., Ezen a ponton adjuk hozzá/módosítjuk / bontsuk ki a következő két lehetőséget, hogy korlátozzuk az FTP-felhasználókat otthoni könyvtáraikra.
chroot_local_user=YESallow_writeable_chroot=YES
az opció chroot_local_user=YES fontos, hogy a helyi felhasználók kerülnek a chroot börtönben, az otthoni könyvtár alapértelmezés szerint a bejelentkezés után.
és azt is meg kell értenünk, hogy VSFTPD nem teszi lehetővé a chroot jail könyvtár írható, alapértelmezés szerint biztonsági okokból, azonban tudjuk használni a lehetőséget allow_writeable_chroot = igen, hogy tiltsa le ezt a beállítást.
mentse el a fájlt, majd zárja be., Ezután újra kell indítanunk a VSFTPD szolgáltatásokat a fenti változtatások végrehajtásához:
------------- On SystemD ------------- # systemctl restart vsftpd------------- On SysVInit ------------- # service vsftpd restart
3.lépés: Vsftp szerver tesztelése Ubuntuban
7. Most fogjuk tesztelni FTP szerver létrehozásával FTP felhasználó useradd parancs az alábbiak szerint:
$ sudo useradd -m -c "Aaron Kili, Contributor" -s /bin/bash aaronkilik$ sudo passwd aaronkilik
akkor van, hogy kifejezetten felsorolja a felhasználó aaronkilik a fájlban / etc / vsftpd.userlist az echo paranccsal és a tee paranccsal az alábbiak szerint:
$ echo "aaronkilik" | sudo tee -a /etc/vsftpd.userlist$ cat /etc/vsftpd.userlist
8. Most itt az ideje, hogy teszteljük a fenti konfigurációkat, szükség szerint működnek., A névtelen bejelentkezések tesztelésével kezdjük; az alábbi kimenetből egyértelműen láthatjuk, hogy az anonim bejelentkezések nem engedélyezettek az FTP szerveren:
9. Ezután teszteljük, hogy egy felhasználó nem szerepel-e a /etc/vsftpd fájlban.a userlist engedélyt kap a bejelentkezéshez, ami nem igaz a következő kimenetből:
10. Most elvégezzük a végső tesztet annak meghatározására, hogy a felhasználó szerepel-e a /etc/vsftpd fájlban.userlist, ténylegesen elhelyezett saját/saját könyvtárba bejelentkezés után., Ez igaz az alábbi kimenetre:
figyelmeztetés: A allow_writeable_chroot=YES annyira veszélyes lehet, hogy lehetséges biztonsági következményekkel jár, különösen akkor, ha a felhasználók feltöltési engedéllyel rendelkeznek, vagy még inkább, shell hozzáférés. Csak akkor használja, ha pontosan tudja, mit csinál.
meg kell jegyeznünk, hogy ezek a biztonsági következmények nem specifikusak a VSFTPD – re, hanem befolyásolhatják az összes többi FTP démont is, amelyek a helyi felhasználókat a chroot börtönökbe helyezik.,
emiatt az alábbi szakaszban egy biztonságosabb módszert magyarázunk meg egy másik, nem írható helyi gyökérkönyvtár beállítására a felhasználó számára.
4. lépés: konfigurálja az FTP felhasználói otthoni könyvtárakat az Ubuntu
11-ben. Most nyissa meg még egyszer a VSFTPD konfigurációs fájlt.,
$ sudo vi /etc/vsftpd.confOR$ sudo nano /etc/vsftpd.conf
és kommentálja a nem biztonságos opciót a # karakter segítségével az alábbiak szerint:
#allow_writeable_chroot=YES
ezután hozza létre a felhasználó alternatív helyi gyökérkönyvtárát (aaronkilik, a tiéd valószínűleg nem ugyanaz), és állítsa be a szükséges engedélyeket az írási engedélyek letiltásával az összes többi felhasználó számára ehhez a könyvtárhoz:
$ sudo mkdir /home/aaronkilik/ftp$ sudo chown nobody:nogroup /home/aaronkilik/ftp$ sudo chmod a-w /home/aaronkilik/ftp
12., Ezután hozzon létre egy könyvtárat a helyi gyökér alatt a megfelelő engedélyekkel, ahol a felhasználó tárolja fájljait:
utána adja hozzá/módosítsa az alábbi beállításokat a VSFTPD config fájlban a megfelelő értékekkel:
mentse el a fájlt, majd zárja be. Indítsa újra a VSFTPD szolgáltatásokat a legutóbbi beállításokkal:
------------- On SystemD ------------- # systemctl restart vsftpd------------- On SysVInit ------------- # service vsftpd restart
13. Most végezzünk el egy utolsó ellenőrzést, és győződjünk meg róla, hogy a felhasználó helyi gyökérkönyvtára az FTP könyvtár, amelyet a saját könyvtárában hoztunk létre.,
