Как настроить FTP-сервер с Vsftpd на Raspberry Pi

В этом руководстве объясняется, как установить и настроить FTP-сервер на Raspberry Pi, который вы используете для обмена файлами между вашими устройствами. Мы будем использовать vsftpd — стабильный, безопасный и быстрый FTP-сервер. Мы также покажем вам, как настроить vsftpd, чтобы ограничить пользователей их домашним каталогом и зашифровать всю передачу с помощью SSL / TLS.

Для этого проекта у вас должен быть установлен Raspbian на Raspberry Pi . Для запуска FTP-сервера не требуется графический интерфейс, поэтому мы рекомендуем использовать образ Raspbian Lite и включить SSH .

Установка vsftpd на Raspberry Pi

Пакет vsftpd доступен в стандартных репозиториях Raspbian. Чтобы установить его, выполните следующие команды:

sudo apt updatesudo apt install vsftpd

Служба ftp автоматически запустится после завершения процесса установки. Чтобы проверить это, распечатайте статус услуги:

sudo systemctl status vsftpd

Результат будет выглядеть примерно так, как показано ниже, показывая, что служба vsftpd активна и работает:

● vsftpd.service - vsftpd FTP server
   Loaded: loaded (/lib/systemd/system/vsftpd.service; enabled; vendor preset: enabled)
   Active: active (running) since Wed 2020-10-21 19:00:41 BST; 9s ago
...

Настройка vsftpd

Сервер vsftpd можно настроить, отредактировав файл /etc/vsftpd.conf .

Большинство настроек хорошо документированы в файле конфигурации. Чтобы узнать обо всех доступных вариантах, посетите официальную страницу vsftpd .

Начните с открытия файла конфигурации vsftpd:

sudo nano /etc/vsftpd.conf

1. Доступ по FTP

Чтобы гарантировать, что только локальные пользователи могут получить доступ к FTP-серверу, найдите директивы anonymous_enable и local_enable и убедитесь, что ваша конфигурация соответствует приведенным ниже строкам:

anonymous_enable=NO
local_enable=YES

2. Включение загрузки

Найдите и раскомментируйте директиву write_enable чтобы разрешить изменения файловой системы, такие как загрузка и удаление файлов.

write_enable=YES

3. Chroot Jail

Чтобы предотвратить доступ пользователей FTP к файлам вне их домашних каталогов, раскомментируйте директиву chroot .

chroot_local_user=YES

Когда функция chroot активна, vsftpd откажется загружать файлы, если каталог, в котором заблокированы пользователи, доступен для записи.

Используйте одно из приведенных ниже решений, чтобы сделать среду chroot доступной для записи:

• Метод 1. — Рекомендуемый вариант разрешить загрузку — оставить включенным chroot и настроить каталоги FTP. В этом примере мы создадим каталог ftp внутри дома пользователя, который будет служить uploads каталогом и каталогом загрузки с возможностью записи для загрузки файлов.

  /etc/vsftpd.conf

   user_sub_token = $USER local_root = /home/$USER/ftp

• Метод 2. Другой вариант — добавить следующую директиву в файл конфигурации vsftpd. Используйте эту опцию, если вам необходимо предоставить пользователю доступ с правом записи к его домашнему каталогу.

  /etc/vsftpd.conf

   allow_writeable_chroot = YES

4. Пассивные FTP-соединения

По умолчанию vsftpd использует активный режим. Чтобы использовать пассивный режим, установите минимальный и максимальный диапазон портов:

pasv_min_port=30000
pasv_max_port=31000

vsftpd может использовать любой порт для пассивных FTP-соединений. Когда пассивный режим включен, FTP-клиент открывает соединение с сервером на случайном порте в выбранном вами диапазоне.

5. Ограничение входа пользователя

Вы можете настроить vsftpd так, чтобы разрешать вход только определенным пользователям. Для этого добавьте следующие строки в конец файла:

userlist_enable=YES
userlist_file=/etc/vsftpd.user_list
userlist_deny=NO

Когда эта функция включена, вам необходимо явно указать, какие пользователи могут входить в систему, добавив имена пользователей в файл /etc/vsftpd.user_list (по одному пользователю в строке).

6. Защита передачи с помощью SSL / TLS

Чтобы зашифровать FTP-передачу с помощью SSL / TLS, вам потребуется сертификат SSL и настроить FTP-сервер для его использования.

Вы можете использовать существующий сертификат SSL, подписанный доверенным центром сертификации, или создать самозаверяющий сертификат.

Если у вас есть домен или субдомен, указывающий на IP-адрес FTP-сервера, вы можете легко создать бесплатный SSL-сертификат Let's Encrypt .

В этом руководстве мы создадим самозаверяющий сертификат SSL с помощью команды openssl .

Выполните следующую команду, чтобы создать 2048-битный закрытый ключ и самозаверяющий сертификат, действительный в течение 10 лет. И закрытый ключ, и сертификат будут сохранены в одном файле:

sudo openssl req -x509 -nodes -days 3650 -newkey rsa:2048 -keyout /etc/ssl/private/vsftpd.pem -out /etc/ssl/private/vsftpd.pem

После создания файлов откройте файл конфигурации:

sudo nano /etc/vsftpd.conf

Найти rsa_cert_file и rsa_private_key_file директивы, изменить их значения на pam путь к файлу и установите ssl_enable директиву YES :

rsa_cert_file=/etc/ssl/private/vsftpd.pem
rsa_private_key_file=/etc/ssl/private/vsftpd.pem
ssl_enable=YES

Если не указано иное, FTP-сервер будет использовать только TLS для безопасных соединений.

Перезапустите службу vsftpd

После того, как вы закончите настройку сервера, конфигурационный файл vsftpd (без комментариев) должен выглядеть примерно так:

listen=NO
listen_ipv6=YES
anonymous_enable=NO
local_enable=YES
write_enable=YES
dirmessage_enable=YES
use_localtime=YES
xferlog_enable=YES
connect_from_port_20=YES
chroot_local_user=YES
allow_writeable_chroot=YES
pasv_min_port=30000
pasv_max_port=31000
userlist_enable=YES
userlist_file=/etc/vsftpd.user_list
userlist_deny=NO
secure_chroot_dir=/var/run/vsftpd/empty
pam_service_name=vsftpd
rsa_cert_file=/etc/ssl/private/vsftpd.pem
rsa_private_key_file=/etc/ssl/private/vsftpd.pem
ssl_enable=YES

Сохраните файл и перезапустите службу vsftpd, чтобы изменения вступили в силу:

sudo systemctl restart vsftpd

Открытие брандмауэра

Если вы используете брандмауэр UFW , вам необходимо разрешить FTP-трафик.

Чтобы открыть порт 21 (командный порт FTP), порт 20 (порт данных FTP) и 30000-31000 (диапазон пассивных портов), выполните следующие команды:

sudo ufw allow 20:21/tcpsudo ufw allow 30000:31000/tcp

Перезагрузите правила UFW, отключив и снова включив UFW:

sudo ufw disablesudo ufw enable

Создание пользователя FTP

Чтобы протестировать FTP-сервер, мы создадим нового пользователя.

• Если у вас уже есть пользователь, которому вы хотите предоставить доступ по FTP, пропустите 1-й шаг.
• Если вы установили allow_writeable_chroot=YES в своем файле конфигурации, пропустите 3-й шаг.

1. Создайте нового пользователя с именем newftpuser :

    sudo adduser newftpuser

   При появлении запроса установите пароль пользователя.

2. Добавьте пользователя в список разрешенных пользователей FTP:

    echo "newftpuser" | sudo tee -a /etc/vsftpd.user_list

3. Создайте дерево каталогов FTP и установите правильные разрешения :

    sudo mkdir -p /home/newftpuser/ftp/upload sudo chmod 550 /home/newftpuser/ftp sudo chmod 750 /home/newftpuser/ftp/upload sudo chown -R newftpuser: /home/newftpuser/ftp

   Как обсуждалось в предыдущем разделе, пользователь сможет загружать файлы в каталог ftp/upload .

На этом этапе ваш FTP-сервер полностью функционален, и вы должны иметь возможность подключиться к своему серверу с помощью любого FTP-клиента, такого как FileZilla .

Отключение доступа к оболочке

По умолчанию при создании пользователя, если это не указано явно, пользователь будет иметь доступ к устройству по SSH. Чтобы отключить доступ к оболочке, создайте новую оболочку, которая будет просто печатать сообщение, сообщающее пользователю, что его учетная запись ограничена только доступом по FTP.

Создайте оболочку /bin/ftponly и сделайте ее исполняемой:

echo -e '#!/bin/shnecho "This account is limited to FTP access only."' | sudo tee -a  /bin/ftponlysudo chmod a+x /bin/ftponly

Добавьте новую оболочку в список допустимых оболочек в /etc/shells :

echo "/bin/ftponly" | sudo tee -a /etc/shells

Измените оболочку пользователя на /bin/ftponly :

sudo usermod newftpuser -s /bin/ftponly

Используйте ту же команду, чтобы изменить оболочку всех пользователей, которым вы хотите предоставить только доступ по FTP.

Выводы

Мы показали вам, как установить и настроить безопасный и быстрый FTP-сервер в вашей системе Raspberry Pi.

Если у вас есть какие-либо вопросы или отзывы, не стесняйтесь оставлять комментарии.