Iestatiet Pure-FTPd ar TLS operētājsistēmā Debian 9

Pure-FTPd ir ātrs un viegls FTP serveris, kas izveidots, paturot prātā drošību. Šajā apmācībā es jums parādīšu, kā instalēt un izmantot Pure FTP, veicot 4 vienkāršas darbības. Šajā rokasgrāmatā ir paskaidrots, kā instalēt Pure FTPd operētājsistēmā Debian 9.

Pirmais solis - uzstādīšana

Pure-FTPd atrodas Debian stabilajā repozitorijā, tāpēc jūsu sistēmai nav jāpievieno papildu krātuves.

Palaidiet šo komandu ar root tiesībām:

apt install -y pure-ftpd-common pure-ftpd 

Otrais solis - konfigurācija

Ir daudz iespēju, ko varat izmantot, lai mainītu lietojumprogrammas darbību. Šīs opcijas var tikt lietotas Pure-FTPd dēmonam startēšanas laikā, vai arī varat padarīt tās noturīgas, izveidojot nepieciešamos failus confdirektorijā.

Mēs gribam:

• Izveidojiet virtuālos lietotājus.
• Automātiski izveidojiet mājas direktorijus lietotājiem.
• Ierobežojiet ( chroot) lietotāju piekļuvi tikai savam mājas direktorijam.

Iespējojiet Pure-FTPd datu bāzi un atspējojiet PAM un Unix autentifikāciju, lai iespējotu virtuālos lietotājus:

ln -s /etc/pure-ftpd/conf/PureDB /etc/pure-ftpd/auth/50pure
echo no > /etc/pure-ftpd/conf/PAMAuthentication
echo no > /etc/pure-ftpd/conf/UnixAuthentication

Iestatiet Pure-FTPd, lai izveidotu mājas direktorijus lietotājiem pirmajā pieteikšanās reizē:

echo "yes" > /etc/pure-ftpd/conf/CreateHomeDir

Chroot visiem.

echo "yes" > /etc/pure-ftpd/conf/ChrootEveryone

Ja vēlaties uzzināt par citām iespējām, apmeklējiet oficiālo dokumentācijas lapu .

Trešais solis — izveidojiet lietotājus

Pure-FTPd var apstrādāt virtuālos lietotājus, kas nozīmē, ka tie tiek glabāti Pure-FTPd datu bāzē un nav saistīti ar Linux sistēmas lietotājiem.

Lai Pure-FTPd varētu pārvaldīt failus ar virtuālajiem lietotājiem, mums ir jāizveido Linux lietotājs un grupa, kurā tiks saistīti visi virtuālie lietotāji. Visi virtuālie lietotāji var izmantot vienu un to pašu sistēmas lietotāju un grupu, ja vien tie ir hrootēti.

Palaidiet šādas komandas, lai izveidotu sistēmas lietotāju un grupu:

groupadd ftpusr
useradd -g ftpusr -d /dev/null -s /etc ftpusr

Piezīme : mēs nevēlamies, lai šim lietotājam būtu mājas direktorijs vai pieteikšanās iespēja.

Izveidojiet mūsu FTP saknes direktoriju:

mkdir /home/FTP

Izveidojiet virtuālo lietotāju Pure-FTPd:

pure-pw useradd alex -u ftpusr -g ftpusr -d /home/FTP/alex 

Mēs esam pievienojuši savu pirmo virtuālo lietotāju ( alex) un saistījuši to ar sistēmas lietotāju/grupu ( ftpusr). Visi faili, ar kuriem rakstāt, alexpiederēs ftpusrsistēmā.

Atjaunināt Pure-FTPd datu bāzi:

pure-pw mkdb

Pārbaudiet lietotāja informāciju:

pure-pw show alex

Login              : alex
Password           : <encrypted password>
UID                : 1000 (ftpusr)
GID                : 1000 (ftpusr)
Directory          : /home/FTP/alex/./
Full name          : 
Download bandwidth : 0 Kb (unlimited)
Upload   bandwidth : 0 Kb (unlimited)
Max files          : 0 (unlimited)
Max size           : 0 Mb (unlimited)
Ratio              : 0:0 (unlimited:unlimited)
Allowed local  IPs : 
Denied  local  IPs : 
Allowed client IPs : 
Denied  client IPs : 
Time restrictions  : 0000-0000 (unlimited)
Max sim sessions   : 0 (unlimited)

Lai atvieglotu dzīvi, izmantojiet šo skriptu, lai pievienotu FTP kontus:

echo -e  '#!/bin/bash\nread -p "Enter UserName: " usrname\npure-pw useradd $usrname -u ftpusr -g ftpusr -d /home/FTP/$usrname && pure-pw mkdb'  > /usr/sbin/ftp-createacc

chmod u+x /usr/sbin/ftp-createacc

Tagad FTP kontu izveide ir vienkārša:

ftp-createacc

Enter UserName: mike
Password: 
Enter it again:

Ceturtais solis – TLS atbalsts

Pirmkārt, mums ir jāinstalē OpenSSL.

apt install -y openssl

Piespiediet Pure-FTPd izmantot TLS, vai arī mēs varam padarīt to neobligātu, kas nozīmē, ka tiek pieņemti gan nedroši, gan TLS savienojumi.

# force TLS
echo 2 > /etc/pure-ftpd/conf/TLS

# insecure + TLS
echo 1 > /etc/pure-ftpd/conf/TLS

Izveidojiet direktoriju mūsu atslēgu glabāšanai.

mkdir -p /etc/ssl/pure-ftpd

Ģenerējiet komplekta atslēgu (privāto atslēgu un publisko atslēgu).

openssl req -x509 -nodes -days 730 -newkey rsa:2048 -keyout /etc/ssl/private/pure-ftpd.pem -out /etc/ssl/private/pure-ftpd.pem

Restartējiet pure-ftpddēmonu.

systemctl restart pure-ftpd

Ja jūsu sistēmā ir instalēts ugunsmūris vai jūsu serveris ir aiz NAT, jums Pure-FTPd ir jādefinē pasīvie porti un jāatver šie porti savā ugunsmūrī, pretējā gadījumā jūs saņemsit šādas kļūdas:

Server sent passive reply with unroutable address. Passive mode failed.

Failed to retrieve directory listing.

500 I won't open a connection to 192.168.1.4 (only to 10.10.10.10).

Iestatiet Pure-FTPd pasīvos portus:

echo "40110 42210" > /etc/pure-ftpd/conf/PassivePortRange

Restartējiet, pure-ftpdlai lietotu izmaiņas.

systemctl restart pure-ftpd

Ugunsmūrī atveriet ienākošo portu diapazonu no 40110 līdz 42210 , protokols TCP.

FTP pēc būtības ir nedrošs, taču to ir arī ātri un viegli iestatīt. Lai iegūtu drošāku risinājumu, izmantojiet SFTP.