Seadistage Pure-FTPd TLS-iga Debian 9-s

Pure-FTPd on kiire ja kerge FTP-server, mis on loodud turvalisust silmas pidades. Selles õpetuses näitan teile, kuidas Pure FTP-d installida ja kasutada nelja lihtsa sammuga. See juhend selgitab, kuidas installida Pure FTPd Debian 9-le.

Esimene samm – paigaldamine

Pure-FTPd on Debiani stabiilses hoidlas, seega pole vaja oma süsteemi täiendavaid hoidlaid lisada.

Käivitage järgmine käsk juurõigustega:

apt install -y pure-ftpd-common pure-ftpd 

Teine samm – konfigureerimine

Rakenduse käitumise muutmiseks saate kasutada palju võimalusi. Neid valikuid saab rakendada Pure-FTPd deemonile käivitamisel või muuta need püsivaks, luues confkataloogis vajalikud failid .

Me tahame:

• Looge virtuaalseid kasutajaid.
• Looge kasutajatele automaatselt kodukataloogid.
• Piirake ( chroot) kasutajatel juurdepääsu ainult oma kodukataloogile.

Virtuaalsete kasutajate lubamiseks lubage Pure-FTPd andmebaas ja keelake PAM-i ja Unixi autentimine:

ln -s /etc/pure-ftpd/conf/PureDB /etc/pure-ftpd/auth/50pure
echo no > /etc/pure-ftpd/conf/PAMAuthentication
echo no > /etc/pure-ftpd/conf/UnixAuthentication

Seadke Pure-FTPd looma kodukatalooge kasutajatele nende esimesel sisselogimisel:

echo "yes" > /etc/pure-ftpd/conf/CreateHomeDir

Chroot kõigile.

echo "yes" > /etc/pure-ftpd/conf/ChrootEveryone

Kui olete huvitatud muude võimaluste kohta, külastage ametlikku dokumentatsiooni lehte .

Kolmas samm – kasutajate loomine

Pure-FTPd saab hakkama virtuaalsete kasutajatega, mis tähendab, et neid hoitakse Pure-FTPd andmebaasis ega ole seotud Linuxi süsteemi kasutajatega.

Selleks, et Pure-FTPd saaks virtuaalsete kasutajatega faile hallata, peame looma Linuxi kasutaja ja rühma, kuhu kõik virtuaalsed kasutajad on seotud. Kõik virtuaalsed kasutajad saavad kasutada sama süsteemi kasutajat ja gruppi seni, kuni nad on chrootitud.

Süsteemi kasutaja ja rühma loomiseks käivitage järgmised käsud:

groupadd ftpusr
useradd -g ftpusr -d /dev/null -s /etc ftpusr

Märkus : me ei taha, et sellel kasutajal oleks kodukataloog või sisselogimisvõimalus.

Looge meie FTP juurkataloog:

mkdir /home/FTP

Looge Pure-FTPd-s virtuaalne kasutaja:

pure-pw useradd alex -u ftpusr -g ftpusr -d /home/FTP/alex 

Oleme lisanud oma esimese virtuaalse kasutaja ( alex) ja seostanud selle süsteemi kasutaja/rühmaga ( ftpusr). Kõik failid, millega kirjutate, alexkuuluvad ftpusrsüsteemis.

Värskenda Pure-FTPd andmebaasi:

pure-pw mkdb

Kontrollige kasutaja teavet:

pure-pw show alex

Login              : alex
Password           : <encrypted password>
UID                : 1000 (ftpusr)
GID                : 1000 (ftpusr)
Directory          : /home/FTP/alex/./
Full name          : 
Download bandwidth : 0 Kb (unlimited)
Upload   bandwidth : 0 Kb (unlimited)
Max files          : 0 (unlimited)
Max size           : 0 Mb (unlimited)
Ratio              : 0:0 (unlimited:unlimited)
Allowed local  IPs : 
Denied  local  IPs : 
Allowed client IPs : 
Denied  client IPs : 
Time restrictions  : 0000-0000 (unlimited)
Max sim sessions   : 0 (unlimited)

Elu lihtsamaks muutmiseks kasutage FTP-kontode lisamiseks järgmist skripti:

echo -e  '#!/bin/bash\nread -p "Enter UserName: " usrname\npure-pw useradd $usrname -u ftpusr -g ftpusr -d /home/FTP/$usrname && pure-pw mkdb'  > /usr/sbin/ftp-createacc

chmod u+x /usr/sbin/ftp-createacc

Nüüd on FTP-kontode loomine lihtne:

ftp-createacc

Enter UserName: mike
Password: 
Enter it again:

Neljas samm – TLS-i tugi

Esiteks peame installima OpenSSL-i.

apt install -y openssl

Sundige Pure-FTPd kasutama TLS-i või saame selle valikuliseks muuta, mis tähendab, et aktsepteeritakse nii ebaturvalisi kui ka TLS-ühendusi

# force TLS
echo 2 > /etc/pure-ftpd/conf/TLS

# insecure + TLS
echo 1 > /etc/pure-ftpd/conf/TLS

Looge meie võtmete salvestamiseks kataloog.

mkdir -p /etc/ssl/pure-ftpd

Looge komplekti võti (privaatvõti ja avalik võti).

openssl req -x509 -nodes -days 730 -newkey rsa:2048 -keyout /etc/ssl/private/pure-ftpd.pem -out /etc/ssl/private/pure-ftpd.pem

Taaskäivitage pure-ftpddeemon.

systemctl restart pure-ftpd

Kui teie süsteemi on installitud tulemüür või teie server on NAT-i taga, peate Pure-FTPd-s määratlema passiivsed pordid ja avama need pordid oma tulemüüris, vastasel juhul kuvatakse järgmised vead:

Server sent passive reply with unroutable address. Passive mode failed.

Failed to retrieve directory listing.

500 I won't open a connection to 192.168.1.4 (only to 10.10.10.10).

Määrake Pure-FTPd passiivsed pordid:

echo "40110 42210" > /etc/pure-ftpd/conf/PassivePortRange

Muudatuse rakendamiseks taaskäivitage pure-ftpd.

systemctl restart pure-ftpd

Avage tulemüüris sissetulevate pordi vahemik 40110 kuni 42210 , protokoll TCP.

FTP on oma olemuselt ebaturvaline, kuid seda on ka kiire ja lihtne seadistada. Turvalisema lahenduse jaoks kasutage selle asemel SFTP-d.