Settu upp Pure-FTPd með TLS á Debian 9

Pure-FTPd er fljótur og léttur FTP þjónn sem er smíðaður með öryggi í huga. Í þessari kennslu ætla ég að sýna þér hvernig á að setja upp og nota Pure FTP í 4 einföldum skrefum. Þessi handbók útskýrir hvernig á að setja upp Pure FTPd á Debian 9.

Skref eitt - Uppsetning

Pure-FTPd er í stöðugri geymslu Debian, svo það er engin þörf á að bæta neinum viðbótargeymslum við kerfið þitt.

Keyrðu eftirfarandi skipun með rótarréttindi:

apt install -y pure-ftpd-common pure-ftpd 

Skref tvö - Stillingar

Það eru margir valkostir sem þú getur notað til að breyta hegðun forritsins. Þessa valkosti gæti verið notaður á Pure-FTPd púkinn við ræsingu eða þú gætir gert þá viðvarandi með því að búa til nauðsynlegar skrár inni í confmöppunni.

Við viljum:

• Búðu til sýndarnotendur.
• Búðu til heimamöppur fyrir notendur sjálfkrafa.
• Takmarka ( chroot) notendur þannig að þeir hafi aðeins aðgang að eigin heimaskrá.

Virkjaðu gagnagrunn Pure-FTPd og slökktu á PAM og Unix auðkenningu til að gera sýndarnotendum kleift:

ln -s /etc/pure-ftpd/conf/PureDB /etc/pure-ftpd/auth/50pure
echo no > /etc/pure-ftpd/conf/PAMAuthentication
echo no > /etc/pure-ftpd/conf/UnixAuthentication

Stilltu Pure-FTPd til að búa til heimaskrár fyrir notendur við fyrstu innskráningu:

echo "yes" > /etc/pure-ftpd/conf/CreateHomeDir

Chroot alla.

echo "yes" > /etc/pure-ftpd/conf/ChrootEveryone

Ef þú hefur áhuga á að fræðast um aðra valkosti skaltu fara á opinberu skjalasíðuna .

Skref þrjú - Búðu til notendur

Pure-FTPd getur séð um sýndarnotendur, sem þýðir að þeir eru geymdir í gagnagrunni Pure-FTPd og eru ekki tengdir Linux kerfisnotendum.

Til þess að Pure-FTPd geti stjórnað skrám með sýndarnotendum þurfum við að búa til Linux notanda og hóp þar sem allir sýndarnotendur verða tengdir. Allir sýndarnotendur geta notað sama kerfisnotandann og sama hóp svo framarlega sem þeir hafa verið rótaðir.

Keyrðu eftirfarandi skipanir til að búa til kerfisnotandann og hópinn:

groupadd ftpusr
useradd -g ftpusr -d /dev/null -s /etc ftpusr

Athugið : Við viljum ekki að þessi notandi hafi heimaskrá eða innskráningarmöguleika.

Búðu til FTP rótarskrána okkar:

mkdir /home/FTP

Búðu til sýndarnotanda í Pure-FTPd:

pure-pw useradd alex -u ftpusr -g ftpusr -d /home/FTP/alex 

Við höfum bætt við fyrsta sýndarnotandanum okkar ( alex) og tengt hann við kerfisnotanda/hóp ( ftpusr). Allar skrár sem þú skrifar með alexverða í eigu ftpusrkerfisins.

Uppfærðu gagnagrunn Pure-FTPd:

pure-pw mkdb

Athugaðu upplýsingar notandans:

pure-pw show alex

Login              : alex
Password           : <encrypted password>
UID                : 1000 (ftpusr)
GID                : 1000 (ftpusr)
Directory          : /home/FTP/alex/./
Full name          : 
Download bandwidth : 0 Kb (unlimited)
Upload   bandwidth : 0 Kb (unlimited)
Max files          : 0 (unlimited)
Max size           : 0 Mb (unlimited)
Ratio              : 0:0 (unlimited:unlimited)
Allowed local  IPs : 
Denied  local  IPs : 
Allowed client IPs : 
Denied  client IPs : 
Time restrictions  : 0000-0000 (unlimited)
Max sim sessions   : 0 (unlimited)

Til að gera lífið auðveldara skaltu nota eftirfarandi forskrift til að bæta við FTP reikningum:

echo -e  '#!/bin/bash\nread -p "Enter UserName: " usrname\npure-pw useradd $usrname -u ftpusr -g ftpusr -d /home/FTP/$usrname && pure-pw mkdb'  > /usr/sbin/ftp-createacc

chmod u+x /usr/sbin/ftp-createacc

Nú er einfalt að búa til FTP reikninga:

ftp-createacc

Enter UserName: mike
Password: 
Enter it again:

Skref fjögur - TLS stuðningur

Fyrst þurfum við að setja upp OpenSSL.

apt install -y openssl

Þvingaðu Pure-FTPd til að nota TLS, eða við getum gert það valfrjálst sem þýðir að bæði óöruggar og TLS tengingar eru samþykktar

# force TLS
echo 2 > /etc/pure-ftpd/conf/TLS

# insecure + TLS
echo 1 > /etc/pure-ftpd/conf/TLS

Búðu til möppu til að geyma lyklana okkar.

mkdir -p /etc/ssl/pure-ftpd

Búðu til búntlykil (einkalykill og opinber lykill).

openssl req -x509 -nodes -days 730 -newkey rsa:2048 -keyout /etc/ssl/private/pure-ftpd.pem -out /etc/ssl/private/pure-ftpd.pem

Endurræstu pure-ftpdpúkann.

systemctl restart pure-ftpd

Ef þú ert með eldvegg uppsettan á kerfinu þínu, eða þjónninn þinn er á bak við NAT, verður þú að skilgreina óvirkar höfn í Pure-FTPd og opna þessar höfn í eldveggnum þínum, annars færðu villur eins og þessar:

Server sent passive reply with unroutable address. Passive mode failed.

Failed to retrieve directory listing.

500 I won't open a connection to 192.168.1.4 (only to 10.10.10.10).

Stilltu óvirkar höfn í Pure-FTPd:

echo "40110 42210" > /etc/pure-ftpd/conf/PassivePortRange

Endurræstu pure-ftpdtil að beita breytingunni.

systemctl restart pure-ftpd

Í eldveggnum þínum, opnaðu komandi gátt á bilinu 40110 til 42210 , samskiptareglur TCP.

FTP er í eðli sínu óöruggt, en það er líka fljótlegt og auðvelt að setja upp. Fyrir öruggari lausn, notaðu SFTP í staðinn.