ubuntu 使用 vsftpd 基於系統用戶配置相互隔離的 ftp (ftps) 服務
- 2020 年 5 月 4 日
- 筆記
- ubuntu ftp, ubuntu sftp, ubuntu vsftpd, vsftpd
我們在日常使用 UbuntuServer 服務器時,經常會直接使用基於 ssh 的 sftp 連接服務器直接進行文件上傳和下載,不過這個方式其實有一定的安全隱患,當一個團隊有多個人員,需要連接服務器去發佈時,如果使用 ssh 則意味着需要將系統的 賬戶和密碼 告知對方,別人就不僅擁有了 sftp 的連接權限,同時也擁有了 ssh 的連接權限,意味着可以直接登陸服務器,而且 對方使用 sftp 登陸之後可以看到服務器上全部的文件,這顯示是不符合預期的,我們要的僅僅是給對方提供一個 ftp 文件上傳下載的權限,並且最好能夠限定到具體的目錄。
針對上面的痛點,我也百度看過不少解決方案,有人說可以 通過配置 賬戶的 shell ,比如 /usr/sbin/nologin 來實現 賬戶禁止 ssh 登陸,只保留 sftp 權限,然而我按照多個文章的教程,進行反覆操作之後,發現這樣的配置確實禁止對應賬戶遠程登陸 ssh 了,但是,,,sftp 也連不上了,,所以在反覆實驗之後,選擇放棄,這時回歸最原始的點,想想我需要的是一個ftp服務來提供文件上傳下載的方法,為何不直接獨立配置 ftp 服務,順着這個思路,我找到了 Linux Server 下非常優秀的一款軟件 vsftpd,這款軟件 支持 ftp, ftps(隱式加密), ftpes(顯示加密) ,可以完美解決我們的需求,接下來開始我們的正文,在 Ubuntu Server 配置 vsftpd 實現不同通過賬戶,指向不同的文件夾,並且禁用賬戶的 shell 登陸功能。
sudo apt-get update #刷新軟件源信息
sudo apt-get vsftpd #安裝 vsftpd
sudo vim /etc/vsftpd.conf 安裝好之後開始編輯配置文件,進行如下幾項的調整,有些配置項在配置文件中本來存在,修改對應的值即可,有些則不存在需要手動編寫,在操作的時候小夥伴要注意
listen=YES #開啟監聽 ipv4 地址
listen_ipv6=NO #關閉監聽 ipv6 地址,ipv4 和 ipv6 不可以同時監聽,否則會無法啟動
chroot_local_user=YES #限定用戶只能操作主目錄
write_enable=YES #開啟文件寫入功能
ssl_enable=YES #開啟 ssl 加密功能,默認為 ftpes 顯示加密
ssl_tlsv1=YES #開啟 tlsv1 加密支持,默認為 tlsv1
ssl_sslv2=YES #開啟 sslv2 協議支持
ssl_sslv3=YES #開啟 sslv3 協議支持
implicit_ssl=YES #指定ssl 加密方式為隱式加密(該項開啟之後 ftp 工作於 ftps 隱式加密模式下,ftps 模式端口默認為 990,需要特意指定端口為 990,如果不開啟則,不需要修改端口)
listen_port=990 #設定ftp服務端口 (默認情況不需要指定端口值,implicit_ssl=YES 時才需要該端口配置,個人推薦使用隱式加密,連接更加穩定)
file_open_mode=0777 #配置 用戶默認上傳的文件權限為 0777
pasv_min_port=6000 #被動連接模式 最小端口
pasv_max_port=7000 #被動連接模式最大端口
pasv_enable=YES #啟用被動連接模式
pasv_address=x.x.x.x #服務器對應的外部IP地址(雲服務器,這裡一定要填寫外網ip地址,如果在內網中使用這邊,這行配置可以直接注釋)
經過上面的調整,vsftpd 模塊就算配置完成了,大家可能在百度的時候可能會看到別人還要配置其他很多選項,但是那些其實沒必要了,vsftpd 的默認配置,在加上我們上面的調整就相對來說比較完美了,下面介紹三個 vsftpd 的常用命令。
sudo service vsftpd start #啟動 vsftpd
sudo service vsftpd restart #重啟 vsftpd
sudo service vsftpd stop #停止 vsftpd
vsftpd服務安裝完成之後,就可以創建賬戶來進行測試,我們今天教大家的方法,賬戶是基於系統賬戶來配置的,操作如下:
vim /etc/shells #編輯系統 shell 規則,加入靜止登陸的 shell 規則,追加在文件最後一行即可
/usr/sbin/nologin #屏蔽 ssh 登陸
sudo useradd xiaoming #創建用戶xiaoming
sudo passwd xiaoming #修改用戶 xiaoming 的密碼
sudo usermod -d /var/www xiaoming #為xiaoming 指定賬戶主目錄
sudo chmod 555 /var/www #去除主目錄的可寫權限 (vsfpd在 chroot_local_user=YES 禁止默認的登陸目錄擁有可寫權限,如果擁有則會無法登陸)
sudo usermod -s /usr/sbin/nologin xiaoming #屏蔽xiaoming對於系統的 ssh 登陸權限 如果要重新放開登陸權限,執行 sudo usermod -s /bin/bash xiaoming
這樣一來我就創建了一個賬戶xiaoming,該賬戶無法使用 ssh 連接系統,但是支持 ftp 登陸系統,ftp 登陸系統之後默認就會進入 ubuntu 中 nginx 默認的網站目錄 /var/www ,這個其實就是我們配置的主目錄,大家可以根據自己需求自己調整,主目錄地址。客戶端這時候可以進行連接測試,客戶端推薦使用 FileZilla 創建一個站點,注意 協議選擇 ftp,加密方式 選擇 要求隱式的 FTP over TLS,如下圖:
FileZilla 這時候應該就可以連接到我們 ftp 服務器了,這時候各位如果進行文件上傳動作,應該會全部失敗,因為我之前設定了主目錄的權限為 555,意味着沒有任何的可寫權限,所以我們需要 在 服務器上提前創建好子目錄,以方便我們使用,操作如下:
sudo mkdir /var/www/www.xxxx.com #創建一個文件夾用於存放 www.xxxx.com 的文件
sudo chmod 777 /var/www/www.xxxx.com #調整創建的文件夾權限為 777
這時候我們重新刷新 ftps 應該就可以看到我們創建的 www.xxxx.com 這個文件夾了,點擊進入這個文件夾,然後進行文件上傳下載刪除動作就會發現全部都可以正常操作了。