Dokumentation1.4. FTP sichern
Es gibt Optionen in /etc/vsftpd.conf um vsftpd sicherer zu machen. Beispielsweise können Benutzer durch das Entfernen von Kommentaren auf ihre Home-Verzeichnisse beschränkt werden:
chroot_local_user = JA
Sie können eine bestimmte Liste von Benutzern auch nur auf ihre Home-Verzeichnisse beschränken:
chroot_list_enable=JA chroot_list_file=/etc/vsftpd.chroot_list
Nachdem Sie die obigen Optionen auskommentiert haben, erstellen Sie eine /etc/vsftpd.chroot_list enthält eine Liste von Benutzern, einen pro Zeile. Dann starten Sie vsftpd neu:
sudo systemctl starte vsftpd.service neu
Auch die /etc/ftpusers Datei ist eine Liste der Benutzer, die es sind nicht erlaubt FTP-Zugang. Die Standardliste umfasst Root, Daemon, Niemand usw. Um den FTP-Zugriff für weitere Benutzer zu deaktivieren, fügen Sie sie einfach zur Liste hinzu.
FTP kann auch mit verschlüsselt werden FTPS. Anders als SFTP, FTPS ist FTP über Secure Socket Layer (SSL). SFTP ist eine FTP-ähnliche Sitzung über eine verschlüsselte Verbindung SSH Verbindung. Ein wesentlicher Unterschied besteht darin, dass Benutzer von SFTP über eine verfügen müssen Schale Konto auf dem System, anstelle eines Nologin Hülse. Für einige Umgebungen, beispielsweise einen gemeinsam genutzten Webhost, ist es möglicherweise nicht ideal, allen Benutzern eine Shell zur Verfügung zu stellen. Es ist jedoch möglich, solche Konten nur auf SFTP zu beschränken und die Shell-Interaktion zu deaktivieren. Weitere Informationen finden Sie im Abschnitt über OpenSSH-Server.
Zu konfigurieren FTPS, Edit /etc/vsftpd.conf und unten hinzufügen:
ssl_enable=Ja
Beachten Sie auch die zertifikats- und schlüsselbezogenen Optionen:
rsa_cert_file=/etc/ssl/certs/ssl-cert-snakeoil.pem rsa_private_key_file=/etc/ssl/private/ssl-cert-snakeoil.key
Standardmäßig sind diese Optionen auf das Zertifikat und den Schlüssel eingestellt, die vom Paket ssl-cert bereitgestellt werden. In einer Produktionsumgebung sollten diese durch ein Zertifikat und einen Schlüssel ersetzt werden, die für den jeweiligen Host generiert wurden. Weitere Informationen zu Zertifikaten finden Sie in Abschnitt 5, „Zertifikate“ [S. 198].
Starten Sie nun vsftpd neu, und nicht anonyme Benutzer werden zur Verwendung gezwungen FTPS:
sudo systemctl starte vsftpd.service neu
Um Benutzern mit einer Shell von zu ermöglichen /usr/sbin/nologin Zugriff auf FTP, aber keinen Shell-Zugriff, bearbeiten / etc / shells
Hinzufügen der Nologin Schale:
# /etc/shells: gültige Login-Shells
/bin/csh
/ Bin / sh
/usr/bin/en
/usr/bin/ksh
/bin/ksch
/usr/bin/rc
/usr/bin/tcsh
/ bin / tcsh
/usr/bin/esh
/bin/Bindestrich
/ bin / bash
/bin/rbash
/usr/bin/screen
/usr/sbin/nologin
Dies ist notwendig, da vsftpd standardmäßig PAM zur Authentifizierung verwendet und das /etc/pam.d/vsftpd
Die Konfigurationsdatei enthält:
Authentifizierung erforderlich pam_shells.so
Das Muscheln Das PAM-Modul schränkt den Zugriff auf die im aufgeführten Shells ein / etc / shells Datei.
Die meisten gängigen FTP-Clients können für die Verbindung über FTPS konfiguriert werden. Der LFTP-Befehlszeilen-FTP-Client kann auch FTPS verwenden.