Установка vsftpd на CentOS

Опубликовано: by

Установка vsftpd на CentOS

Vsftpd (‘Very Secure FTP Daemon’ — Очень безопасный FTP-демон) -это FTP-сервер для UNIX-подобных систем, в том числе CentOS / RHEL / Fedora и других дистрибутивов Linux. Он поддерживает IPv6, SSL, блокировку пользователей к своим домашним каталогам и много других дополнительных функций. В своей теме «Установка vsftpd на CentOS»  я расажу как можно установить vsftpd на CentOS в подробных примерах.

Шаг 1 — Установка Vsftpd

Вы можете быстро установить Vsftpd на свою VPS для этого в командной строке выполнить команду:

# yum install vsftpd

Нам также необходимо установить клиент FTP:

# yum install ftp

Как только файлы закончат загружаться, после чего Vsftpd будет на вашей VPS.

Шаг 2 — Настройка VSFTP

После установки VSFTP, вы можете настроить конфигурацию. Я, создам резервную копию стандартного конфигурационного файла ( всякий случай):

# cp /etc/vsftpd/vsftpd.conf /etc/vsftpd/vsftpd.conf.bk

Откройте файл конфигурации:

# vim /etc/vsftpd/vsftpd.conf

Одно основное изменение, которое вы должны сделать это изменить вход для ананимуса (мне это не нужно):

[...]
anonymous_enable=NO
[...]

До этого изменения , в Vsftpd было разрешено анонимные входы на фтп сервер и неизвестные пользователи могли получать доступ к файлам нашей VPS. После этого, раскомментируйте local_enable вариант, измените его на «да».

[...]
local_enable = YES
[...]

Это даст доступ локальным пользователям к ФТП.

Далее раскомментировав команду chroot_local_user. Когда эта строка имеет значение»YES» , все локальные пользователи будут заключены в   так званые тюрьмы в пределах их возможностей и будет отказано в доступе к любой другой части сервера. Предоставляем chroot для всех пользователей:

[...]
chroot_local_user = YES
[...]

Далее, дим пользователям FTP права на запись:

[...]
write_enable=YES
[...]

Это даст пользователям FTP права на запись, так же, по необходимости отключаем 20 порт — уменьшит привилегии VSftpd:

[...]
connect_from_port_20=NO
[...]

Установим маску 022, чтобы быть уверенными в том, что для всех файлов (644) и папок (755) которые мы закачиваем, устанавливаются соответствующие права

[...]
local_umask=022 
[...]

Конфигурационный файл я настроил, но нужно еще добавить пользователя (ей). Сейчас я это сделаю и покажу что и как.

Дополнительные настройки для конфигурации vsftpd

allow_anon_ssl NO
Параметр YES дает возможность подключаться через SSL-соединение всем анонимным пользователям.

anon_mkdir_write_enable NO
Параметр YES дает возможность создавать каталоги анонимными пользователями (при определённых условиях), но для этого нужно будет включить опцию «write_enable»кто му же, должны присутствовать права на запись  анонимными пользователями для родительского каталога.

anon_other_write_enable NO
Параметр YES дает возможность для анонимных пользователях выполнять не только операции закачки файлов, создания папок, но и удалять  и переименовывать их.

anon_upload_enable NO
Параметр YES дает возможность для  анонимных пользователях выполнять закачку файлов на сервер ( нужно включить опцию «write_enable»,кто му же, должны присутствовать права на запись  анонимными пользователями в папке закачки). Эта опция также должен быть включена для того, чтобы виртуальные пользователи смогли закачать свои файлы, т.к по умолчанию, все виртуальные юзеры считаются анонимными.

anon_world_readable_only YES
Параметр YES нужен для того чтобы анонимные пользователи могли скачать только файлы, которые доступные на чтение всем ( владельцем которых является пользователь ftp).

anonymous_enable YES
Параметр YES дает возможность подключения анонимных пользователей к серверу с именами ftp и anonymous.

ascii_download_enable NO
Параметр YES дает возможность выбрать для скачивания файлов режим ASCII

ascii_upload_enable NO
Параметр YES дает возможность выбрать для закачивания файлов режим ASCII

async_abor_enable NO
Параметр YES дает возможность использования специальной команды FTP, известной как «async ABOR».

background YES
Параметр YES включает работу vsftpd в фоновом режиме.

check_shell YES
Внимание! Данный параметр работает только для vsftpd, собранного без «PAM»! Если опция стоит в — NO, то vsftpd не проверяет наличие shell локального пользователя в /etc/shells. Обычно же, если shell пользователя не найден в /etc/shells, то в доступе по FTP этому пользователю будет отказано!

chmod_enable YES
Параметр YES дает возможность локальному пользователю (ям) использовать команду «SITE CHMOD». Анонимные пользователи НИКОГДА не могут использовать данную команду!

chown_uploads NO
Параметр YES приводит к тому, что для всех файлов, которые закачивают анонимные пользователи, владелец будет изменён на пользователя, указанного в опцие «chown_user-name».

chroot_list_enable NO
Параметр «YES» дает возможность создавать список локальных пользователей, для которых после входа будет выполнен «chroot()» в их домашний каталог. Если опция  «chroot_local_user» установлена в «YES», то всё работает с точностью до наоборот: для локальных юзеров в предоставляемом списке НЕ БУДЕТ выполняться «chroot()». По умолчанию, список юзеров содержится в файле /etc/vsftpd/chroot_list, вы можете задать  и любое другое имя файла с помощью опции «chroot_list_file».

chroot_local_user NO
Параметр YES приводит к тому, что после входа, для локальных пользователей будет выполнен chroot() в их домашний каталог. Внимание! Данная опция может нанести ущерб безопасности, особенно в случае, когда юзере могут закачивать файлы или имеют shell доступ. Включайте его только если понимаете, что делаете!

connect_from_port_20 NO
Опция установленная в  YES дает возможность использовать порт 20 (ftp-data) на сервере для передачи данных, по соображениям безопасности, некоторые клиенты могут требовать такого поведения от сервера. Наоборот, выключение данной опции, позволяет запускать vsftpd с меньшими превилегиями.

debug_ssl NO
Опция установленная в YES приводит к протоколированию работы подключений по SSL. (Добавлено в 2.0.6)

deny_email_enable NO
Параметр YES позволяет предоставить список паролей в стиле E-mail адресов для анонимных пользователей (для которых доступ будет запрещён). По умолчанию, список содержится в файле /etc/vsftpd/banned_emails, но можно задать другой файл с помощью опции «banned_email_file».

dirlist_enable YES
Опция установленая в NO запрещает доступ на выполнение команд для просмотра содержимого папок.

dirmessage_enable NO
Параметр YES дает возможность показывать сообщения пользователям, которые первый раз заходят в какой-либо каталог. По умолчанию, сообщения находятся в файлах .message, но можно указать другой файл с помощью опции «message_file».

download_enable YES
Параметр NO запрещает выполнять скачивание файлов.

dual_log_enable NO
Параметр YES включает параллельную генерацию двух журналов /var/log/xferlog и /var/log/vsftpd.log. Первый имеет стиль wu-ftpd, второй — vsftpd.

force_dot_files NO
Параметр YES дает возможность показа файлов и каталогов, имя которых начинается с точки. Исключения составляют имена «.» и «..»

force_anon_data_ssl NO
Работает только если включеа опция «ssl_enable». Параметр YES принудительно переключает соединения всех анонимных пользователей в режим SSL при скачивании и закачивании файлов.

force_anon_logins_ssl NO
Работает только если включена опция «ssl_enable». Параметр YES принудительно переключает соединения всех анонимных пользователей при отправке пароля.

force_local_data_ssl YES
Работает только если включена опция «ssl_enable». Параметр YES принудительно переключает соединения всех НЕ-анонимных пользователей в режим SSL при скачивании и закачивании файлов.

force_local_logins_ssl YES
Работает только если включен параметр «ssl_enable». Параметр YES принудительно переключает соединения всех НЕ-анонимных пользователей в режим SSL при отправке пароля.

guest_enable NO
Параметр YES говорит о том, что все анонимные соединения должны рассматриваться как «гостевые». Гостевой вход будет переназначен на пользователя, который задан параметром «guest_username».

hide_ids NO
Параметр YES приводит к тому, что при показе для всех файлов и каталогов, группа и владелец всегда будут «ftp».

listen YES
Параметр YES приводит к запуску vsftpd в режиме «демона». Это означает, что vsftpd не может быть запущен из inetd. Вместо этого, vsftpd запускается напрямую один раз и далее сам будет обслуживать входящие соединения.

listen_ipv6 NO
Тоже что и для параметра listen, только vsftpd будет обслуживать IPv6, а не только IPv4. Этот параметр и параметр listen являются взаимоисключающими.

local_enable NO
Параметр YES позволяет входить по FTP локальным пользователям (из /etc/passwd или авторизуемых через PAM). Данный параметр должен быть включен, если вы хотите организовать работу НЕ-анонимных пользователей, включая и виртуальных.

lock_upload_files YES
Параметр YES включает блокировку на запись для всех закачиваемых файлов. Все скачиваемые файлы имеют разделяемую блокировку на чтение. Внимание! Перед тем как включить этот параметр помните, что злонамеренное чтение может привести к тому, что пользователи, закачивающие файлы не смогут их дозаписать.

log_ftp_protocol NO
Параметр YES приводит к протоколированию всех запросов и ответов протокола FTP, а также в выключению параметра xferlog_std_format.

ls_recurse_enable NO
Если опция установлена в YES, то она включает использоваение «ls -R». Это создаёт значительный риск безопасности, потому что выполнение «ls -R» для каталога верхнего уровня, который содежит множество подкаталогов и файлов, может привести к очень большому потреблению ресурсов.

mdtm_write YES
Если опция установлена в YES, то он включает MDTM установку времени изменения файлов (полезно для проверки доступа)

no_anon_password NO
Если опция установлена в YES, то vstpd не спрашивает пароля у анонимных пользователей.

no_log_lock NO
Параметр YES говорит vsftpd не выполнять блокировку при записи в файлы журналов. Обычно данный параметр выключен. В Solaris в связке с файловой системой Veritas иногда появляется ошибка, выражающаяся в зависании при попытке установить блокировку на файлы журналов.

one_process_model NO
Для ядер 2.4 поддерживается другая модель безопасности: один процесс на одно соединение. Такая модель менее безопасна, но более производительна. Не включайте, если не понимаете что делаете и если вашему серверу не нужна поддержка огромного количества отдельных соединений.

passwd_chroot_enable NO
Если опция установлена в YES, дает возможность совместно сchroot_local_user, включает chroot() отдельно для каждого пользователя, исходя из данных о его домашнем каталоге, взятых из /etc/passwd. При этом, значение «/./» в строке, задающей домашний каталог, означает отдельное местоположение в пути.

pasv_addr_resolve NO
Если опция установлена в YES, то дает возможность использовать имя (вместо IP адреса) в pasv_addres

pasv_enable YES
Если опция установлена в NO, то она запрещает метод PASV в полученном соединении для приёма/передачи данных.

pasv_promiscuous NO
Если опция установлена в YES, то она запрещает проверку безопасности, назначение которой убедиться, что соединение на приём/передачу данных осуществляется с того же IP-адреса, что и управляющее соединение. Включайте только если понимаете, что вы делаете! Такое необходимо только в некоторых случаях при организации безопасных туннелей или поддержке FXP.

port_enable YES
Если опция установлена в NO, то она запрещает метод PORT в полученном соединении для приёма/передачи данных.

port_promiscuous NO
Если опция установлена в YES, то она запретит проверку безопастности PORT, назначение которой убедиться, что исходяще соединение подключено именно к клиенту. Включайте только если понимаете, что делаете!

require_cert NO
Параметр YES требует от всех SSL клиентов наличия клиентского сертификата. Уменьшение подлинности, применимое к этому сертификату, управляется параметром validate_cert (добавлен в 2.0.6).

run_as_launching_user NO
Установите YES, если вы хотите запускать vsftpd от пользователя, который собственно и производит запуск. Обычно это нужно в тех случаях, когда доступ от пользователя root недоступен. СЕРЬЁЗНЕЙШЕЕ ЗАМЕЧАНИЕ! НЕ включайте этот параметр пока вы полностью не осознаете то, что вы делаете, так как использование этого параметра может создать серьёзную проблему с безопасностью. Особенно важно, чтобы vsftpd не мог использовать / в качестве корневого каталога, а также используйте chroot для ограничения доступа к файлам, когда включен данный параметр (даже если vsftpd запущен от root). Менее подходящим решением может быть использование deny_file с такими аргментами как {/*,*..*}, но надёжность такого решения не может сравниться с chroot, так что сильно на это не полагайтесь. При использовании этого параметра, вводятся ограничения на другие опции. Например не ждите, что будут работать опции требущие привелегий, такие как неанонимные входы, закачка файлов с изменением владельца, соединение по 20 порту и подключение по портам меньше, чем 1024, а также и другие подобные.

secure_email_list_enable NO
Установите YES, если вы хотите, чтобы для анонимных входов, в качестве паролей, использовался только указанный вами список E-mail адресов. Это полезно для некоторого ограничения доступа к содержимому сервера, без создания виртуальных пользователей. Анонимным пользователям будет отказано во входе, если пароль, который они указали не будет в списке, который находится в файл email_password_file. Формат файла: один пароль на строку без дополнительных пробелов. Местоположение файла по умолчанию: /etc/vsftpd/email_passwords

session_support NO
сли опция установлена в YES, vsftpd будет пытаться вести сессии. При этом он будет пытаться обновлять wtmp и utmp. Если для авторизации используется PAM, то vsftpd также будет пытаться открывать pam_session при входе и закрывать его только при выходе пользователя. Если вам не нужно протоколирование сессий, вы можете запретить это, а также вы можете указать vsftpd запускать меньше процессов и/или с меньшими привелегиями. Модификация wtmp и utmp работает только, если vsftpd собран с поддержкой PAM.

setproctitle_enable NO
сли опция установлена в YES, то vsftpd будет пытаться показывать информацию о состояние сессий в списке процессов. Другими словами, показываемое имя процесса будет изменено, чтобы отражать состояние сессии vsftpd (idle, downloading и т.д.) Из соображений безопасности, возможно вам лучше оставить этот параметр выключенным.

ssl_enable NO
сли опция установлена в YES и vsftpd был собран с библиотекой openSSL, то vsftpd будет обслуживать безопасные соединения через SSL. Это относится как к управляющим соединениям, так и к соединениям передающим данные. Также необходимо, чтобы и клиент поддерживал SSL соединения. Используйте этот параметр с осторожностью, потому что vsftpd целиком полагается на библиотеку openSSL в плане безопаснотсти SSL соединений и не может гарантировать, что эта библиотека свободна от ошибок.

ssl_request_cert YES
Если опция установлена в YES, то vsftpd запрашивает (но не делает из этого необходимости) у клиента сертификат.

ssl_sslv2 NO
Применяется только если включена опция  ssl_enable.В случае если установлена опция в YES, допускаются соединения про протоколу SSL v2. Предпочтительными являются соединения по протоколу TLS V1.

ssl_sslv3 NO
Применяется только если включена опция ssl_enable.В случае если установлена опция в YES, допускаются соединения про протоколу SSL v3. Предпочтительными являются соединения по протоколу TLS V1.

ssl_tlsv1 YES
Применяется только если включена опция ssl_enable. В случае если установлена опция в YES, то допускаются соединения про протоколу TLS V1. Предпочтительными являются соединения по протоколу TLS V1.

Добавления пользователей.

Создам нового пользователя, с именем  ‘ftpuser’ и назначим ему домашнюю директорию ‘/home/ftpuser’ :

# useradd -d '/home/ftpuser' -s /sbin/nologin ftpuser

Добавим пароль для созданного пользователя :

# passwd ftpuser

Создадим домашнюю директорию для данного юзера, (если еще не добавили) :

# mkdir -p /home/ftpuser

Чтобы пользователь ftpuser мог читать и писать данные в его домашней папке, изменяем права доступа и владельца :

# chown -R ftpuser '/home/ftpuser'
# chmod 775 '/home/ftpuser'

Создам  группу ‘ftpusers’ для FTP пользователей, и добавляем в нее ‘ftpuser’ :

# groupadd ftpusers
# usermod -G ftpusers ftpuser

Правила для IPtables.

Если Вы используете IPTABLES, необходимо создать соответствующее правило для VSftpd :

# vim /etc/sysconfig/iptables

Добавьте следующую строку, перед REJECT строкой, для открытия 21 порта :

-A INPUT -m state --state NEW -m tcp -p tcp --dport 21 -j ACCEPT

Сохраняем и закрываем файл, а так же ерезапустите фаервол:

# service iptables restart

Перезагрузим Vsftpd :

# service vsftpd restart

Добавим Vsftpd в автозагрузку для этого выполним:

# chkconfig vsftpd on

или

# chkconfig --levels 235 vsftpd on

Проверить уровни запуска можно вот так:

# chkconfig --list vsftpd

Должны получить что-то типа этого:

vsftpd 0:выкл 1:выкл 2:вкл 3:вкл 4:вкл 5:вкл 6:выкл

Посмотреть что сервер работает нормально, можно выполнив команду:

# ps -aux | grep vsftpd

Шаг 3 — Перейти на FTP-сервер

После того, как вы установили FTP -сервер и настроили его по своему вкусу , вы можете получить к нему доступ . Вы можете войти на FTP сервер через браузер , набрав доменное имя в адресной строке и войти в систему с соответствующим ID.
ftp://linux-notes.org/
Кроме того, вы можете добраться до FTP -сервера с помощью командной строки , набрав:

# FTP linux-notes.org

Установка vsftpd на CentOS завершена. Основная суть понятна, детали (если вдруг не понятны) спрашивайте у меня. могу помочь.

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *

Этот сайт использует Akismet для борьбы со спамом. Узнайте, как обрабатываются ваши данные комментариев.