Como configurar o servidor ftp com vsftpd no debian 9

FTP (File Transfer Protocol) é um protocolo de rede padrão usado para transferir arquivos de e para uma rede remota. Para transferências de dados mais seguras e mais rápidas, use SCP ou SFTP.

Existem muitos servidores FTP de código aberto disponíveis para Linux. Os mais populares e amplamente utilizados são PureFTPd, ProFTPD e vsftpd.

Este tutorial explica como instalar e configurar o vsftpd (Very Secure Ftp Daemon) no Debian 9. vsftpd, um servidor FTP estável, seguro e rápido. Também mostraremos como configurar o vsftpd para restringir os usuários ao diretório inicial e criptografar toda a transmissão com SSL / TLS.

Pré-requisitos

O usuário no qual você efetuou login deve ter privilégios de sudo para poder instalar pacotes.

Instalando o vsftpd no Debian 9

O pacote vsftpd está disponível nos repositórios Debian. A instalação é bem direta:

sudo apt update sudo apt install vsftpd

O serviço vsftpd será iniciado automaticamente após a conclusão do processo de instalação. Verifique-o imprimindo o status do serviço:

sudo systemctl status vsftpd

A saída será semelhante a abaixo, mostrando que o serviço vsftpd está ativo e em execução:

● vsftpd.service - vsftpd FTP server Loaded: loaded (/lib/systemd/system/vsftpd.service; enabled; vendor preset: enabled) Active: active (running) since Mon 2018-12-10 11:42:51 UTC; 53s ago Main PID: 1394 (vsftpd) CGroup: /system.slice/vsftpd.service └─1394 /usr/sbin/vsftpd /etc/vsftpd.conf

Configurando vsftpd

O servidor vsftpd pode ser configurado modificando o arquivo vsftpd.conf , encontrado no diretório /etc

A maioria das configurações está bem documentada dentro do arquivo de configuração. Para todas as opções disponíveis, visite a página oficial do vsftpd.

Nas seções a seguir, abordaremos algumas configurações importantes necessárias para configurar uma instalação segura do vsftpd.

Comece abrindo o arquivo de configuração vsftpd:

sudo nano /etc/vsftpd.conf

1. Acesso FTP

Localize as diretivas anonymous_enable e local_enable e verifique se sua configuração corresponde às linhas abaixo:

/etc/vsftpd.conf

anonymous_enable=NO local_enable=YES

Isso garante que apenas os usuários locais possam acessar o servidor FTP.

2. Habilitando uploads

Remova o comentário da configuração write_enable para permitir alterações no sistema de arquivos, como upload e exclusão de arquivos.

/etc/vsftpd.conf

write_enable=YES

3. Cadeia de Chroot

Para impedir que os usuários do FTP acessem arquivos fora de seus diretórios pessoais, remova o comentário da configuração chroot .

/etc/vsftpd.conf

chroot_local_user=YES

Por padrão, para evitar uma vulnerabilidade de segurança, quando o chroot está ativado, o vsftpd se recusará a enviar arquivos se o diretório em que os usuários estiverem bloqueados for gravável.

Use um dos métodos abaixo para permitir uploads quando o chroot está ativado.

• Método 1. - O método recomendado para permitir o upload é manter o chroot ativado e configurar os diretórios FTP. Neste tutorial, criaremos um diretório ftp dentro da página inicial do usuário que servirá como chroot e um diretório de uploads graváveis ​​para upload de arquivos.

  /etc/vsftpd.conf

  user_sub_token=$USER local_root=/home/$USER/ftp

  Método 2. - Outra opção é adicionar a seguinte diretiva no arquivo de configuração vsftpd. Use esta opção se precisar conceder acesso gravável ao seu usuário no diretório inicial.

  /etc/vsftpd.conf

  allow_writeable_chroot=YES

4. Conexões FTP passivas

O vsftpd pode usar qualquer porta para conexões FTP passivas. Especificaremos o intervalo mínimo e máximo de portas e, posteriormente, abriremos o intervalo em nosso firewall.

Adicione as seguintes linhas ao arquivo de configuração:

/etc/vsftpd.conf

pasv_min_port=30000 pasv_max_port=31000

5. Limitando o login do usuário

Para permitir que apenas alguns usuários efetuem login no servidor FTP, adicione as seguintes linhas no final do arquivo:

/etc/vsftpd.conf

userlist_enable=YES userlist_file=/etc/vsftpd.user_list userlist_deny=NO

Quando essa opção está ativada, você precisa especificar explicitamente quais usuários podem efetuar login adicionando os nomes de usuário ao arquivo /etc/vsftpd.user_list (um usuário por linha).

6. Protegendo transmissões com SSL / TLS

Para criptografar as transmissões FTP com SSL / TLS, você precisa ter um certificado SSL e configurar o servidor FTP para usá-lo.

Você pode usar um certificado SSL existente assinado por uma Autoridade de Certificação confiável ou criar um certificado autoassinado.

Neste tutorial, geraremos um certificado SSL autoassinado usando o comando openssl .

O comando a seguir criará uma chave privada de 2048 bits e um certificado autoassinado válido por 10 anos. A chave privada e o certificado serão salvos no mesmo arquivo:

sudo openssl req -x509 -nodes -days 3650 -newkey rsa:2048 -keyout /etc/ssl/private/vsftpd.pem -out /etc/ssl/private/vsftpd.pem

Após a criação do certificado SSL, abra o arquivo de configuração vsftpd:

sudo nano /etc/vsftpd.conf

Localize as rsa_cert_file e rsa_private_key_file , altere seus valores para o caminho do arquivo pam e defina a diretiva ssl_enable como YES :

/etc/vsftpd.conf

rsa_cert_file=/etc/ssl/private/vsftpd.pem rsa_private_key_file=/etc/ssl/private/vsftpd.pem ssl_enable=YES

Caso contrário, o servidor FTP usará apenas TLS para fazer conexões seguras.

Reinicie o serviço vsftpd

Depois de concluir a edição, o arquivo de configuração vsftpd (excluindo comentários) deve ser algo como isto:

/etc/vsftpd.conf

listen=NO listen_ipv6=YES anonymous_enable=NO local_enable=YES write_enable=YES dirmessage_enable=YES use_localtime=YES xferlog_enable=YES connect_from_port_20=YES chroot_local_user=YES secure_chroot_dir=/var/run/vsftpd/empty pam_service_name=vsftpd rsa_cert_file=/etc/ssl/certs/ssl-cert-snakeoil.pem rsa_private_key_file=/etc/ssl/private/ssl-cert-snakeoil.key ssl_enable=YES user_sub_token=$USER local_root=/home/$USER/ftp pasv_min_port=30000 pasv_max_port=31000 userlist_enable=YES userlist_file=/etc/vsftpd.user_list userlist_deny=NO

Salve o arquivo e reinicie o serviço vsftpd para que as alterações entrem em vigor:

sudo systemctl restart vsftpd

Abrindo o Firewall

Para abrir a porta 21 (porta de comando FTP), porta 20 (porta de dados FTP) e 30000-31000 (intervalo de portas passivas), execute os seguintes comandos:

sudo ufw allow 20:21/tcp sudo ufw allow 30000:31000/tcp

Para evitar ser bloqueado, também abriremos a porta 22 :

sudo ufw allow OpenSSH

Recarregue as regras do UFW desativando e reativando o UFW:

sudo ufw disable sudo ufw enable

Para verificar as alterações, execute:

sudo ufw status

Status: active To Action From -- ------ ---- 20:21/tcp ALLOW Anywhere 30000:31000/tcp ALLOW Anywhere OpenSSH ALLOW Anywhere 20:21/tcp (v6) ALLOW Anywhere (v6) 30000:31000/tcp (v6) ALLOW Anywhere (v6) OpenSSH (v6) ALLOW Anywhere (v6)

Criando usuário FTP

Para testar nosso servidor FTP, criaremos um novo usuário.

• Se você já possui um usuário que deseja conceder acesso ao FTP, pule a 1ª etapa. Se você definir allow_writeable_chroot=YES no seu arquivo de configuração, pule a 3ª etapa.

1. Crie um novo usuário chamado newftpuser :

   sudo adduser newftpuser

   Adicione o usuário à lista de usuários de FTP permitidos:

   echo "newftpuser" | sudo tee -a /etc/vsftpd.user_list

   Crie a árvore de diretórios FTP e defina as permissões corretas:

   sudo mkdir -p /home/newftpuser/ftp/upload sudo chmod 550 /home/newftpuser/ftp sudo chmod 750 /home/newftpuser/ftp/upload sudo chown -R newftpuser: /home/newftpuser/ftp

   Conforme discutido na seção anterior, o usuário poderá fazer upload de seus arquivos no diretório ftp/upload .

Nesse ponto, seu servidor FTP está totalmente funcional e você poderá se conectar ao servidor usando qualquer cliente FTP que possa ser configurado para usar a criptografia TLS, como o FileZilla.

Desativando o acesso ao shell

Por padrão, ao criar um usuário, se não for especificado explicitamente, o usuário terá acesso SSH ao servidor.

Para desativar o acesso ao shell, criaremos um novo shell que simplesmente imprimirá uma mensagem informando ao usuário que sua conta está limitada apenas ao acesso ao FTP.

Crie o shell /bin/ftponly e torne-o executável:

echo -e '#!/bin/sh\necho "This account is limited to FTP access only."' | sudo tee -a /bin/ftponly echo -e '#!/bin/sh\necho "This account is limited to FTP access only."' | sudo tee -a /bin/ftponly sudo chmod a+x /bin/ftponly

Anexe o novo shell à lista de shells válidos no arquivo /etc/shells :

echo "/bin/ftponly" | sudo tee -a /etc/shells

Mude o shell do usuário para /bin/ftponly :

sudo usermod newftpuser -s /bin/ftponly

Use o mesmo comando para alterar o shell de todos os usuários que você deseja conceder apenas acesso FTP.

Conclusão

Neste tutorial, você aprendeu como instalar e configurar um servidor FTP seguro e rápido no seu sistema Debian 9.

ftp debian