Статья последний раз была обновлена 04.03.2023
sudo apt-get install proftpd-basicВ процессе установки выбираем ответ standalone, т.е. самостоятельный запуск FTP-сервера, а не через суперсервер inetd.2. Пусть каталоги будущих пользователей будут находится в /home/ftp . Создаем этот каталог:
sudo mkdir /home/ftpПусть у нас будут два пользователя: vasya и petr. Для каждого из них заведем отдельную папку в каталоге /home/ftp:
sudo mkdir /home/ftp/vasyasudo mkdir /home/ftp/petr3. Перед тем, как создавать пользователей нашего FTP-сервера, необходимо отметить следующее. Поскольку эти пользователи являются виртуальными по отношению к ОС, то возникает проблема обращения к каталогам и файлам FTP-сервера. Предположение о том, что доступ к файлам и каталогам будет осуществлять сам FTP-сервер с именем proftpd и группой nogroup, неверно. При обращении к кокому-либо файлу будет использоваться UID и GID конкретного пользователя FTP-сервера. Поэтому логично будет создавать пользователей с такими же UID, что и у какого-либо реального пользователя в системе, прописанного в /etc/passwd . Далее в качестве такого пользователя возмем сам proftpd . Чтобы узнать его UID, выполним команду:
cat /etc/passwd | grep proftpdрезультат будет примерно таким
proftpd:x:110:65534::/var/run/proftpd:/bin/falseСледовательно, пользователей будем создавать с UID 110.3.1 Создаем пользователей vasya и petr:
sudo ftpasswd --passwd --file=/etc/proftpd/ftpd.passwd --name=vasya --shell=/bin/false --home=/home/ftp/vasya --uid=110 --gid=65500sudo ftpasswd --passwd --file=/etc/proftpd/ftpd.passwd --name=petr --shell=/bin/false --home=/home/ftp/petr --uid=110 --gid=65501sudo chown -R proftpd:nogroup /home/ftp4. Правим конфигурационный файл /etc/proftpd/proftpd.conf :
Include /etc/proftpd/modules.conf# Отключаем использование протокола IP v6UseIPv6 off# Имя FTP-сервераServerName "Ubunftp"# Режим запуска FTP-сервераServerType standaloneDeferWelcome off# Порт, который будет слушать FTP-серверPort 21# выдавать многострочные сообщения в стандарте RFC 959 или RFC 2228MultilineRFC2228 onDefaultServer onShowSymlinks on# Таймаут на передачу - вошел и не начал передачу (мс.)TimeoutNoTransfer 600# Подвисание во время передачи файлов (мс.)TimeoutStalled 600# Таймут бездействия после входа (мс.)TimeoutIdle 1200# Сообщение, которое будет показываться пользователю при входеDisplayLogin welcome.msgListOptions "-l"# Запретить закачивать файлы, начинающиеся на точкуDenyFilter *.*/# Максимальное количество дочерних процессовMaxInstances 30# Пользователь, под которым будет запускаться FTP-серверUser proftpd# Группа, с которой будет запускаться FTP-серверGroup nogroup# Маска (права доступа) для файлов (первое значение 022) и каталогов (второе значение 022), создаваемых в каталогахUmask 022 022# Разрешить перезаписывать существующие файлыAllowOverwrite on# Для каждого пользователя в качестве корневого каталога устанавливаем его домашнюю папку. В этом случае пользователь не сможет выйти выше, т.е. попасть в /home/ftp или /home/ftp/petrDefaultRoot ~# Настраиваем права доступа к пользовательским каталогам# для каталога /ftp/vasya:<Directory /home/ftp/vasya># Пусть vasya не сможет редактировать содержимое каталога (закачивать файлы, создавать папки, ...)<Limit WRITE>DenyALL</Limit># , но сможет читать файлы<Limit READ>AllowUser vasya</Limit># и, как исключение из первого правила, удалять их<Limit DELE>AllowUser vasya</Limit></Directory># для каталога /ftp/petr:<Directory /home/ftp/petr># Пусть petr имеет полный доступ к своей папке (закачивать файлы, скачивать файлы, создавать папки, удалять )<Limit WRITE>AllowUser petr</Limit></Directory># Настраиваем логиTransferLog /var/log/proftpd/xferlogSystemLog /var/log/proftpd/proftpd.log# Отключаем проверку командного интерпретатора пользователяRequireValidShell off# указываем файл с учетными записями для авторизации пользователейAuthUserFile /etc/proftpd/ftpd.passwd# Include other custom configuration filesInclude /etc/proftpd/conf.d/sudo service proftpd restartДолжно все работать. Проверить работу FTP-сервера можно так:
ftp localhostЧасть 2. FTP-сервер с SSL/TLS-шифрованием на Ubuntu 12.04 LTS6. Сейчас можно прикрутить к нашему серверу SSL/TLS-шифрование. Сначала сгенерируем сертификат и ключ:
openssl req -new -x509 -days 365 -nodes -out /etc/proftpd/proftpd.cert.pem -keyout /etc/proftpd/proftpd.key.pem
7. Теперь отредактируем файл конфигурации /etc/proftpd/tls.conf, но сперва скопируем его, на свякий случай:
cp /etc/proftpd/tls.conf /etc/proftpd/tls.conf.old
и добавляем в /etc/proftpd/tls.conf следующее:
TLSEngine on
TLSLog /var/log/proftpd/tls.log
TLSProtocol SSLv23
TLSOptions NoCertRequest
TLSRSACertificateFile /etc/proftpd/proftpd.cert.pem
TLSRSACertificateKeyFile /etc/proftpd/proftpd.key.pem
TLSVerifyClient off
# если хотите всё таки разрешить обычное соединение, поставьте TLSRequired off
TLSRequired on
8. В конец конфигурационного файла /etc/proftpd/proftpd.conf добавим строку
Include /etc/proftpd/tls.conf
9. Перезапускаем Proftpd:
sudo service proftpd restart
Сейчас проверим, работает ли шифрование. Установим ftp-ssl :
sudo apt-get install ftp-sslи попробуем подключиться:
ftp-ssl localhostЕсли после ввода логина и пароля выходит приглашение ftp> , значит все работает.На Windows мне не удалось подключиться к такому FTP ни через Total Commander (с плагинами), ни через FileZilla Client: в /var/log/proftpd/tls.log было видно, что соединение заканчивается с ошибкой
SSL/TLS required but absent on control channel, denying ... commandПо видимому, эта ошибка возникала из-за того, что клиент начинал подключаться так, как подключается к обычному FTP, в то время, как требовалось установление SSL/TLS сессии. Подключиться смог только CoreFTP. Но для этого пришлось в /etc/proftpd/proftpd.conf добавить следующее:
<IfModule mod_tls.c>
TLSOptions NoSessionReuseRequired
</IfModule>
Эта опция, как я понял, отменяем требование к клиенту работать в одной продолжиющейся сессии. Клиент может выполнять новую команду, создав новую SSL сессию. Это и делает CoreFTP. На рисунке ниже привожу настройки соединения CoreFTP.
Часть 3. SFTP-сервер на базе ProFTPd и Ubuntu 12.04 10. Теперь попробуем приктутить SFTP.Закомментируем все строки в /etc/proftpd/proftpd.conf, относящиеся к использованию tls, а именно:
#<IfModule mod_tls.c>
#TLSOptions NoSessionReuseRequired
#</IfModule>
...
#Include /etc/proftpd/tls.conf
Продолжаем реадктировать конфигурационный файл /etc/proftpd/proftpd.conf: добавляем следующее
#Если есть модуль SFTP, то применять следующие настройки
<IfModule mod_sftp.c>
SFTPEngine on
SFTPHostKey /etc/ssh/ssh_host_dsa_key
SFTPHostKey /etc/ssh/ssh_host_rsa_key
SFTPLog /var/log/proftpd/sftp.log
SFTPCompression delayed
SFTPAuthMethods password # метод авторизации - пароль
</IfModule>
http://tnadm.blogspot.ru/2012/08/ftp-proftpd-ubuntu-1204-lts.html
Кандидат технических наук, доцент кафедры ИУ-6 (Компьютерные системы и сети) Московского государственного технического университета им. Н. Э. Баумана. Самый молодой в России PhD in Computer Science. Эксперт в области компьютерных технологий и программирования.
Стаж: 8 лет.
Образование: МГТУ им. Н. Э. Баумана, к.т.н.
- Как узнать IP-адрес по MAC-адресу - 07.04.2023
- Пинг проходит, а страницы в браузере не открываются - 07.04.2023
- Что если сайт пингуется «извне», но не открывается из под «локалки»? - 07.04.2023