Ställ in Pure-FTPd med TLS på Debian 9

Pure-FTPd är en snabb och lätt FTP-server byggd med säkerhet i åtanke. I den här handledningen kommer jag att visa dig hur du installerar och använder Pure FTP i fyra enkla steg. Den här guiden förklarar hur du installerar Pure FTPd på Debian 9.

Steg ett - Installation

Pure-FTPd finns i Debians stabila arkiv, så det finns inget behov av att lägga till några ytterligare arkiv till ditt system.

Kör följande kommando med root-privilegier:

apt install -y pure-ftpd-common pure-ftpd 

Steg två - Konfiguration

Det finns många alternativ du kan använda för att ändra programmets beteende. Dessa alternativ kan tillämpas på Pure-FTPds demon vid start eller så kan du göra dem beständiga genom att skapa de nödvändiga filerna i confkatalogen.

Vi vill:

• Skapa virtuella användare.
• Skapa hemkataloger för användare automatiskt.
• Begränsa ( chroot) användare att endast ha tillgång till sin egen hemkatalog.

Aktivera Pure-FTPds databas och inaktivera PAM- och Unix-autentisering för att möjliggöra virtuella användare:

ln -s /etc/pure-ftpd/conf/PureDB /etc/pure-ftpd/auth/50pure
echo no > /etc/pure-ftpd/conf/PAMAuthentication
echo no > /etc/pure-ftpd/conf/UnixAuthentication

Ställ in Pure-FTPd för att skapa hemkataloger för användare vid deras första inloggning:

echo "yes" > /etc/pure-ftpd/conf/CreateHomeDir

Chroot alla.

echo "yes" > /etc/pure-ftpd/conf/ChrootEveryone

Om du är intresserad av att lära dig om andra alternativ, besök den officiella dokumentationssidan .

Steg tre - Skapa användare

Pure-FTPd kan hantera virtuella användare, vilket innebär att de hålls i Pure-FTPds databas och inte är relaterade till Linux-systemanvändare.

För att Pure-FTPd ska kunna hantera filer med virtuella användare måste vi skapa en Linux-användare och grupp där alla virtuella användare kommer att associeras. Alla virtuella användare kan använda samma systemanvändare och grupp så länge de har chrootats.

Kör följande kommandon för att skapa systemanvändaren och gruppen:

groupadd ftpusr
useradd -g ftpusr -d /dev/null -s /etc ftpusr

Obs : Vi vill inte att den här användaren ska ha en hemkatalog eller inloggningsmöjlighet.

Skapa vår FTP-rotkatalog:

mkdir /home/FTP

Skapa en virtuell användare i Pure-FTPd:

pure-pw useradd alex -u ftpusr -g ftpusr -d /home/FTP/alex 

Vi har lagt till vår första virtuella användare ( alex) och kopplat den till systemanvändare/-grupp ( ftpusr). Alla filer som du skriver med alexkommer att ägas av ftpusrpå systemet.

Uppdatera Pure-FTPds databas:

pure-pw mkdb

Kontrollera användarens information:

pure-pw show alex

Login              : alex
Password           : <encrypted password>
UID                : 1000 (ftpusr)
GID                : 1000 (ftpusr)
Directory          : /home/FTP/alex/./
Full name          : 
Download bandwidth : 0 Kb (unlimited)
Upload   bandwidth : 0 Kb (unlimited)
Max files          : 0 (unlimited)
Max size           : 0 Mb (unlimited)
Ratio              : 0:0 (unlimited:unlimited)
Allowed local  IPs : 
Denied  local  IPs : 
Allowed client IPs : 
Denied  client IPs : 
Time restrictions  : 0000-0000 (unlimited)
Max sim sessions   : 0 (unlimited)

För att göra livet enklare, använd följande skript för att lägga till FTP-konton:

echo -e  '#!/bin/bash\nread -p "Enter UserName: " usrname\npure-pw useradd $usrname -u ftpusr -g ftpusr -d /home/FTP/$usrname && pure-pw mkdb'  > /usr/sbin/ftp-createacc

chmod u+x /usr/sbin/ftp-createacc

Nu är det enkelt att skapa FTP-konton:

ftp-createacc

Enter UserName: mike
Password: 
Enter it again:

Steg fyra - TLS-stöd

Först måste vi installera OpenSSL.

apt install -y openssl

Tvinga Pure-FTPd att använda TLS, eller så kan vi göra det valfritt vilket innebär att både osäkra och TLS-anslutningar accepteras

# force TLS
echo 2 > /etc/pure-ftpd/conf/TLS

# insecure + TLS
echo 1 > /etc/pure-ftpd/conf/TLS

Skapa en katalog för att lagra våra nycklar.

mkdir -p /etc/ssl/pure-ftpd

Skapa en paketnyckel (privat nyckel och publik nyckel).

openssl req -x509 -nodes -days 730 -newkey rsa:2048 -keyout /etc/ssl/private/pure-ftpd.pem -out /etc/ssl/private/pure-ftpd.pem

Starta om pure-ftpddemonen.

systemctl restart pure-ftpd

Om du har en brandvägg installerad på ditt system, eller din server ligger bakom NAT, måste du definiera passiva portar i Pure-FTPd och öppna dessa portar i din brandvägg, annars kommer du att få fel som dessa:

Server sent passive reply with unroutable address. Passive mode failed.

Failed to retrieve directory listing.

500 I won't open a connection to 192.168.1.4 (only to 10.10.10.10).

Ställ in passiva portar i Pure-FTPd:

echo "40110 42210" > /etc/pure-ftpd/conf/PassivePortRange

Starta om för pure-ftpdatt tillämpa ändringen.

systemctl restart pure-ftpd

Öppna inkommande portintervall från 40110 till 42210 , protokoll TCP i din brandvägg .

FTP är osäkert till sin natur, men det är också snabbt och enkelt att installera. För en säkrare lösning, använd SFTP istället.