Dokumentasi<Sebelumnya | Konten | Selanjutnya>
1.4. Mengamankan FTP
Ada pilihan di /etc/vsftpd.conf untuk membantu membuat vsftpd lebih aman. Misalnya pengguna dapat dibatasi ke direktori home mereka dengan membatalkan komentar:
chroot_local_user=YA
Anda juga dapat membatasi daftar pengguna tertentu hanya ke direktori home mereka:
chroot_list_enable=YA chroot_list_file=/etc/vsftpd.chroot_list
Setelah menghapus komentar pada opsi di atas, buat /etc/vsftpd.chroot_list berisi daftar pengguna satu per baris. Kemudian restart vsftpd:
sudo systemctl restart vsftpd.service
Juga /etc/ftpusers file adalah daftar pengguna yang dianulir akses FTP. Daftar default termasuk root, daemon, none, dll. Untuk menonaktifkan akses FTP untuk pengguna tambahan, cukup tambahkan mereka ke daftar.
FTP juga dapat dienkripsi menggunakan FTPS. Berbeda dari SFTP, FTPS adalah FTP melalui Secure Socket Layer (SSL). SFTP adalah sesi seperti FTP melalui terenkripsi SSH koneksi. Perbedaan utama adalah bahwa pengguna SFTP harus memiliki tempurung akun di sistem, bukan a tidak masuk kerang. Memberikan shell kepada semua pengguna mungkin tidak ideal untuk beberapa lingkungan, seperti host web bersama. Namun, dimungkinkan untuk membatasi akun tersebut hanya untuk SFTP dan menonaktifkan interaksi shell. Lihat bagian di OpenSSH-Server untuk informasi lebih lanjut.
Untuk mengkonfigurasi FTPS, sunting /etc/vsftpd.conf dan di bagian bawah tambahkan:
ssl_enable=Ya
Perhatikan juga sertifikat dan opsi terkait kunci:
rsa_cert_file=/etc/ssl/certs/ssl-cert-snakeoil.pem rsa_private_key_file=/etc/ssl/private/ssl-cert-snakeoil.key
Secara default, opsi ini disetel ke sertifikat dan kunci yang disediakan oleh paket ssl-cert. Dalam lingkungan produksi ini harus diganti dengan sertifikat dan kunci yang dibuat untuk host tertentu. Untuk informasi lebih lanjut tentang sertifikat, lihat Bagian 5, “Sertifikat” [hal. 198].
Sekarang restart vsftpd, dan pengguna non-anonim akan dipaksa untuk menggunakan FTPS:
sudo systemctl restart vsftpd.service
Untuk mengizinkan pengguna dengan cangkang /usr/sbin/nologin akses ke FTP, tetapi tidak memiliki akses shell, edit / etc / shells
menambahkan tidak masuk kulit:
# /etc/shells: shell login yang valid
/bin/csh
/ Bin / sh
/usr/bin/es
/usr/bin/ksh
/bin/ksh
/usr/bin/rc
/usr/bin/tcsh
/ bin / tcsh
/usr/bin/esh
/bin/tanda hubung
/ bin / bash
/bin/bash
/usr/bin/layar
/usr/sbin/nologin
Ini diperlukan karena, secara default vsftpd menggunakan PAM untuk otentikasi, dan /etc/pam.d/vsftpd
file konfigurasi berisi:
auth diperlukan pam_shells.so
Grafik kerang Modul PAM membatasi akses ke shell yang terdaftar di / etc / shells file.
Klien FTP paling populer dapat dikonfigurasi untuk terhubung menggunakan FTPS. Klien FTP baris perintah lftp memiliki kemampuan untuk menggunakan FTPS juga.