この記事では、デバイス間でファイルを共有するために使用するFTPサーバーをUbuntu20.04にインストールして構成する方法について説明します。
FTP(ファイル転送プロトコル)は、リモートネットワークとの間でファイルを転送するために使用される標準のネットワークプロトコルです。 Linuxで利用できるオープンソースのFTPサーバーがいくつかあります。最もよく知られ、広く使用されているのは、PureFTPd、ProFTPD、およびvsftpdです。安定した安全で高速なFTPサーバーであるvsftpd(Very Secure Ftp Daemon)をインストールします。また、ユーザーをホームディレクトリに制限し、SSL/TLSを使用して送信全体を暗号化するようにサーバーを構成する方法についても説明します。
FTPは非常に人気のあるプロトコルですが、より安全で高速なデータ転送を行うには、SCPorSFTPを使用する必要があります。
Ubuntu 20.04へのvsftpdのインストール#
vsftpdパッケージはUbuntuリポジトリで利用できます。インストールするには、次のコマンドを実行します。
sudo apt updatesudo apt install vsftpd
インストールプロセスが完了すると、ftpサービスが自動的に開始されます。確認するには、サービスステータスを印刷します:
sudo systemctl status vsftpd出力には、vsftpdサービスがアクティブで実行中であることが示されます。
● vsftpd.service - vsftpd FTP server
Loaded: loaded (/lib/systemd/system/vsftpd.service; enabled; vendor preset: enabled)
Active: active (running) since Tue 2021-03-02 15:17:22 UTC; 3s ago
...
vsftpdの構成#
vsftpdサーバーの構成は、/etc/vsftpd.confに保存されます。 ファイル。
ほとんどのサーバー設定は、ファイル内に十分に文書化されています。利用可能なすべてのオプションについては、vsftpdのドキュメントページにアクセスしてください。
次のセクションでは、安全なvsftpdインストールを構成するために必要ないくつかの重要な設定について説明します。
vsftpd構成ファイルを開くことから始めます:
sudo nano /etc/vsftpd.conf1。 FTPアクセス#
FTPサーバーへのアクセスはローカルユーザーのみに許可されます。 anonymous_enableを検索します およびlocal_enable ディレクティブを使用して、構成が以下の行と一致することを確認します。
anonymous_enable=NO
local_enable=YES
2。アップロードを有効にする#
write_enableを見つけてコメントを外します ファイルのアップロードや削除など、ファイルシステムの変更を許可するディレクティブ:
write_enable=YES
3。 Chroot刑務所#
ローカルFTPユーザーがホームディレクトリ外のファイルにアクセスできないようにするには、chroot_local_userで始まるlneのコメントを解除します。 :
chroot_local_user=YES
デフォルトでは、セキュリティ上の理由から、chrootが有効になっている場合、ユーザーがロックされているディレクトリが書き込み可能である場合、vsftpdはファイルのアップロードを拒否します。
以下の解決策のいずれかを使用して、chrootが有効になっているときにアップロードを許可します。
-
方法1。 -推奨されるオプションは、chroot機能を有効にして、FTPディレクトリを構成することです。この例では、
/etc/vsftpd.confftpを作成します。 ユーザーホーム内のディレクトリ。chrootおよび書き込み可能なuploadsとして機能します。 ファイルをアップロードするためのディレクトリ:user_sub_token=$USER local_root=/home/$USER/ftp -
方法2。 -別のオプションは、
/etc/vsftpd.confallow_writeable_chrootを有効にすることです。 ディレクティブ:allow_writeable_chroot=YESこのオプションは、ユーザーにホームディレクトリへの書き込み可能なアクセスを許可する必要がある場合にのみ使用してください。
4。パッシブFTP接続#
デフォルトでは、vsftpdはアクティブモードを使用します。パッシブモードを使用するには、ポートの最小範囲と最大範囲を設定します。
/etc/vsftpd.confpasv_min_port=30000
pasv_max_port=31000
パッシブFTP接続には任意のポートを使用できます。パッシブモードが有効になっている場合、FTPクライアントは、選択した範囲のランダムなポートでサーバーへの接続を開きます。
5。ユーザーログインの制限#
特定のユーザーのみがログインできるようにvsftpdを構成できます。これを行うには、ファイルの最後に次の行を追加します。
/etc/vsftpd.confuserlist_enable=YES
userlist_file=/etc/vsftpd.user_list
userlist_deny=NO
このオプションを有効にした場合、ユーザー名を/etc/vsftpd.user_listに追加して、ログインできるユーザーを明示的に指定する必要があります。 ファイル(1行に1人のユーザー)。
6。 SSL / TLSを使用した送信の保護#
FTP送信をSSL/TLSで暗号化するには、SSL証明書を取得し、それを使用するようにFTPサーバーを構成する必要があります。
信頼できる認証局によって署名された既存のSSL証明書を使用するか、自己署名証明書を作成できます。
FTPサーバーのIPアドレスを指すドメインまたはサブドメインがある場合は、無料のLet’sEncryptSSL証明書をすばやく生成できます。
10年間有効な2048ビットの秘密鍵と自己署名SSL証明書を生成します:
sudo openssl req -x509 -nodes -days 3650 -newkey rsa:2048 -keyout /etc/ssl/private/vsftpd.pem -out /etc/ssl/private/vsftpd.pem秘密鍵と証明書の両方が同じファイルに保存されます。
SSL証明書が作成されたら、vsftpd構成ファイルを開きます。
sudo nano /etc/vsftpd.conf
rsa_cert_fileを見つけます およびrsa_private_key_file ディレクティブ、値をpamに変更します ファイルパスを設定し、ssl_enableを設定します YESへのディレクティブ :
rsa_cert_file=/etc/ssl/private/vsftpd.pem
rsa_private_key_file=/etc/ssl/private/vsftpd.pem
ssl_enable=YES
特に指定がない限り、FTPサーバーはTLSのみを使用して安全な接続を確立します。
vsftpdサービスを再起動します#
編集が完了すると、vsftpd構成ファイル(コメントを除く)は次のようになります。
/etc/vsftpd.conflisten=NO
listen_ipv6=YES
anonymous_enable=NO
local_enable=YES
write_enable=YES
dirmessage_enable=YES
use_localtime=YES
xferlog_enable=YES
connect_from_port_20=YES
chroot_local_user=YES
secure_chroot_dir=/var/run/vsftpd/empty
pam_service_name=vsftpd
rsa_cert_file=/etc/ssl/private/vsftpd.pem
rsa_private_key_file=/etc/ssl/private/vsftpd.pem
ssl_enable=YES
user_sub_token=$USER
local_root=/home/$USER/ftp
pasv_min_port=30000
pasv_max_port=31000
userlist_enable=YES
userlist_file=/etc/vsftpd.user_list
userlist_deny=NO
ファイルを保存し、vsftpdサービスを再起動して、変更を有効にします。
sudo systemctl restart vsftpdUFWファイアウォールを実行している場合は、FTPトラフィックを許可する必要があります。
ポート21を開くには (FTPコマンドポート)、ポート20 (FTPデータポート)、および30000-31000 (パッシブポート範囲)、次のコマンドを実行します:
sudo ufw allow 20:21/tcpsudo ufw allow 30000:31000/tcp
ロックアウトされないように、ポート22を確認してください 開いています:
sudo ufw allow OpenSSHUFWを無効にしてから再度有効にして、UFWルールをリロードします。
sudo ufw disablesudo ufw enable
変更を確認するには:
sudo ufw statusStatus: active
To Action From
-- ------ ----
20:21/tcp ALLOW Anywhere
30000:31000/tcp ALLOW Anywhere
OpenSSH ALLOW Anywhere
20:21/tcp (v6) ALLOW Anywhere (v6)
30000:31000/tcp (v6) ALLOW Anywhere (v6)
OpenSSH (v6) ALLOW Anywhere (v6)
FTPサーバーをテストするために、新しいユーザーを作成します。
- FTPアクセスを許可するユーザーがすでに存在する場合は、最初の手順をスキップしてください。
-
allow_writeable_chroot=YESを設定した場合 構成ファイルで、3番目のステップをスキップします。
-
newftpuserという名前の新しいユーザーを作成します :sudo adduser newftpuser -
許可されたFTPユーザーリストにユーザーを追加します:
echo "newftpuser" | sudo tee -a /etc/vsftpd.user_list -
FTPディレクトリツリーを作成し、正しい権限を設定します:
sudo mkdir -p /home/newftpuser/ftp/uploadsudo chmod 550 /home/newftpuser/ftpsudo chmod 750 /home/newftpuser/ftp/uploadsudo chown -R newftpuser: /home/newftpuser/ftp前のセクションで説明したように、ユーザーはファイルを
ftp/uploadにアップロードできます。 ディレクトリ。
この時点で、FTPサーバーは完全に機能しています。 FileZillaなど、TLS暗号化を使用するように構成できるFTPクライアントを使用してサーバーに接続できる必要があります。
シェルアクセスの無効化#
デフォルトでは、ユーザーを作成するときに、明示的に指定されていない場合、ユーザーはサーバーへのSSHアクセスを持ちます。シェルアクセスを無効にするには、アカウントがFTPアクセスのみに制限されていることをユーザーに通知するメッセージを出力する新しいシェルを作成します。
次のコマンドを実行して、/bin/ftponlyを作成します ファイルを作成して実行可能にします:
echo -e '#!/bin/sh\necho "This account is limited to FTP access only."' | sudo tee -a /bin/ftponlysudo chmod a+x /bin/ftponly
/etc/shellsの有効なシェルのリストに新しいシェルを追加します ファイル:
echo "/bin/ftponly" | sudo tee -a /etc/shells
ユーザーシェルを/bin/ftponlyに変更します :
sudo usermod newftpuser -s /bin/ftponly同じコマンドを使用して、FTPアクセスのみを許可するすべてのユーザーのシェルを変更できます。