„Debian 9“ sistemoje nustatykite „Pure-FTPd“ su TLS

Pure-FTPd yra greitas ir lengvas FTP serveris, sukurtas atsižvelgiant į saugumą. Šiame vadove parodysiu, kaip įdiegti ir naudoti „Pure FTP“ atliekant 4 paprastus veiksmus. Šiame vadove paaiškinama, kaip įdiegti Pure FTPd Debian 9.

Pirmas žingsnis – montavimas

Pure-FTPd yra stabilioje Debiano saugykloje, todėl nereikia pridėti jokių papildomų saugyklų į savo sistemą.

Paleiskite šią komandą su root teisėmis:

apt install -y pure-ftpd-common pure-ftpd 

Antras žingsnis – konfigūracija

Yra daug parinkčių, kurias galite naudoti norėdami pakeisti programos elgseną. Šios parinktys gali būti taikomos Pure-FTPd demonui paleidžiant arba galite padaryti jas nuolatines, sukurdami reikalingus failus confkataloge.

Mes norime:

• Sukurkite virtualius vartotojus.
• Automatiškai sukurkite namų katalogus vartotojams.
• Apriboti ( chroot) naudotojus, kad jie turėtų prieigą tik prie savo namų katalogo.

Įgalinkite „Pure-FTPd“ duomenų bazę ir išjunkite PAM ir Unix autentifikavimą, kad įgalintumėte virtualius vartotojus:

ln -s /etc/pure-ftpd/conf/PureDB /etc/pure-ftpd/auth/50pure
echo no > /etc/pure-ftpd/conf/PAMAuthentication
echo no > /etc/pure-ftpd/conf/UnixAuthentication

Nustatykite Pure-FTPd, kad sukurtumėte namų katalogus vartotojams pirmą kartą prisijungus:

echo "yes" > /etc/pure-ftpd/conf/CreateHomeDir

Chroot visiems.

echo "yes" > /etc/pure-ftpd/conf/ChrootEveryone

Jei norite sužinoti apie kitas parinktis, apsilankykite oficialiame dokumentacijos puslapyje .

Trečias žingsnis – sukurkite vartotojus

Pure-FTPd gali valdyti virtualius vartotojus, o tai reiškia, kad jie yra saugomi Pure-FTPd duomenų bazėje ir nėra susiję su Linux sistemos vartotojais.

Kad Pure-FTPd galėtų valdyti failus su virtualiais vartotojais, turime sukurti Linux vartotoją ir grupę, su kuria bus susieti visi virtualūs vartotojai. Visi virtualūs vartotojai gali naudoti tą patį sistemos vartotoją ir grupę tol, kol jie yra chrootuoti.

Vykdykite šias komandas, kad sukurtumėte sistemos vartotoją ir grupę:

groupadd ftpusr
useradd -g ftpusr -d /dev/null -s /etc ftpusr

Pastaba : nenorime, kad šis vartotojas turėtų namų katalogą ar prisijungimo galimybę.

Sukurkite mūsų FTP šakninį katalogą:

mkdir /home/FTP

Sukurkite virtualų vartotoją „Pure-FTPd“:

pure-pw useradd alex -u ftpusr -g ftpusr -d /home/FTP/alex 

Pridėjome pirmąjį virtualų vartotoją ( alex) ir susiejome jį su sistemos vartotoju / grupe ( ftpusr). Visi failai, su kuriais rašote, alexpriklausys ftpusrsistemoje.

Atnaujinkite Pure-FTPd duomenų bazę:

pure-pw mkdb

Patikrinkite vartotojo informaciją:

pure-pw show alex

Login              : alex
Password           : <encrypted password>
UID                : 1000 (ftpusr)
GID                : 1000 (ftpusr)
Directory          : /home/FTP/alex/./
Full name          : 
Download bandwidth : 0 Kb (unlimited)
Upload   bandwidth : 0 Kb (unlimited)
Max files          : 0 (unlimited)
Max size           : 0 Mb (unlimited)
Ratio              : 0:0 (unlimited:unlimited)
Allowed local  IPs : 
Denied  local  IPs : 
Allowed client IPs : 
Denied  client IPs : 
Time restrictions  : 0000-0000 (unlimited)
Max sim sessions   : 0 (unlimited)

Norėdami palengvinti gyvenimą, naudokite šį scenarijų, kad pridėtumėte FTP paskyras:

echo -e  '#!/bin/bash\nread -p "Enter UserName: " usrname\npure-pw useradd $usrname -u ftpusr -g ftpusr -d /home/FTP/$usrname && pure-pw mkdb'  > /usr/sbin/ftp-createacc

chmod u+x /usr/sbin/ftp-createacc

Dabar sukurti FTP paskyras paprasta:

ftp-createacc

Enter UserName: mike
Password: 
Enter it again:

Ketvirtas žingsnis – TLS palaikymas

Pirmiausia turime įdiegti OpenSSL.

apt install -y openssl

Priverskite Pure-FTPd naudoti TLS arba galime padaryti jį neprivaloma, o tai reiškia, kad priimami ir nesaugūs, ir TLS ryšiai

# force TLS
echo 2 > /etc/pure-ftpd/conf/TLS

# insecure + TLS
echo 1 > /etc/pure-ftpd/conf/TLS

Sukurkite katalogą mūsų raktams saugoti.

mkdir -p /etc/ssl/pure-ftpd

Sugeneruokite paketo raktą (privatų raktą ir viešąjį raktą).

openssl req -x509 -nodes -days 730 -newkey rsa:2048 -keyout /etc/ssl/private/pure-ftpd.pem -out /etc/ssl/private/pure-ftpd.pem

Iš naujo paleiskite pure-ftpddemoną.

systemctl restart pure-ftpd

Jei jūsų sistemoje įdiegta ugniasienė arba jūsų serveris yra už NAT, turite apibrėžti pasyviuosius prievadus Pure-FTPd ir atidaryti šiuos prievadus savo užkardoje, kitaip gausite tokias klaidas kaip:

Server sent passive reply with unroutable address. Passive mode failed.

Failed to retrieve directory listing.

500 I won't open a connection to 192.168.1.4 (only to 10.10.10.10).

Nustatykite pasyviuosius prievadus Pure-FTPd:

echo "40110 42210" > /etc/pure-ftpd/conf/PassivePortRange

Paleiskite iš naujo, pure-ftpdkad pritaikytumėte pakeitimą.

systemctl restart pure-ftpd

Užkardoje atidarykite įeinančio prievado diapazoną nuo 40110 iki 42210 , TCP protokolas.

FTP iš prigimties yra nesaugus, tačiau jį taip pat greitai ir lengva nustatyti. Norėdami gauti saugesnį sprendimą, naudokite SFTP.