FTP（文件传输协议）是用于在远程网络之间传输文件的标准网络协议。

有许多可用于Linux的开源FTP服务器。
最流行和广泛使用的是PureFTPd，ProFTPD和vsftpd。

在本教程中，我们将安装vsftpd（非常安全的Ftp守护程序）。
它是稳定，安全和快速的FTP服务器。
我们还将向我们展示如何配置vsftpd以将用户限制在其主目录中，并使用SSL/TLS加密整个传输。

尽管本教程是针对Ubuntu 18.04编写的，但相同的说明也适用于Ubuntu 16.04和任何基于Debian的发行版，包括Debian，Linux Mint和Elementary OS。

为了更安全，更快速地进行数据传输，请使用SCP或者SFTP。

准备工作

在继续本教程之前，请确保我们以具有sudo特权的用户身份登录。

在Ubuntu 18.04上安装vsftpd

vsftpd软件包可在Ubuntu存储库中找到。
要安装它，只需运行以下命令：

sudo apt updatesudo apt install vsftpd

安装完成后，vsftpd服务将自动启动。
通过打印服务状态进行验证：

sudo systemctl status vsftpd

输出将类似于以下内容，显示vsftpd服务处于活动状态并正在运行：

* vsftpd.service - vsftpd FTP server
   Loaded: loaded (/lib/systemd/system/vsftpd.service; enabled; vendor preset: enabled)
   Active: active (running) since Mon 2015-10-15 03:38:52 PDT; 10min ago
 Main PID: 2616 (vsftpd)
    Tasks: 1 (limit: 2319)
   CGroup: /system.slice/vsftpd.service
           `-2616 /usr/sbin/vsftpd /etc/vsftpd.conf

配置vsftpd

可以通过编辑“ /etc/vsftpd.conf”文件来配置vsftpd服务器。
大多数设置在配置文件中都有详细记录。
有关所有可用选项的信息，请访问官方的vsftpd页面。

在以下各节中，我们将介绍配置安全的vsftpd安装所需的一些重要设置。

首先打开vsftpd配置文件：

sudo nano /etc/vsftpd.conf

1. FTP访问

我们将仅允许本地用户访问FTP服务器，找到“ anonymous_enable”和“ local_enable”指令，并验证配置是否与以下行匹配：

/etc/vsftpd.conf

anonymous_enable=NO
local_enable=YES

2.启用上传

取消注释“ write_enable”设置以允许更改文件系统，例如上载和删除文件。

/etc/vsftpd.conf

write_enable=YES

3. Chroot监狱

为了防止FTP用户访问其主目录之外的任何文件，请取消注释“ chroot”设置。

/etc/vsftpd.conf

chroot_local_user=YES

默认情况下，为防止安全漏洞，启用chroot时，如果用户锁定的目录可写，则vsftpd将拒绝上传文件。

启用chroot时，使用以下方法之一允许上载。

• 方法1-建议的允许上载的方法是保持chroot启用，并配置FTP目录。在本教程中，我们将在用户主目录内创建一个“ ftp”目录，以用作chroot，并创建一个可写的“ uploads”目录以上传文件。/etc/vsftpd.conf

user_sub_token=$USER
local_root=/home/$USER/ftp

• 方法2. -另一个选项是在vsftpd配置文件中添加以下指令。如果必须将用户的可写访问权限授予其主目录，请使用此选项。

allow_writeable_chroot=YES

4.被动FTP连接

vsftpd可以使用任何端口进行被动FTP连接。
我们将指定端口的最小和最大范围，然后在防火墙中打开该范围。

将以下行添加到配置文件：

/etc/vsftpd.conf

pasv_min_port=30000
pasv_max_port=31000

5.限制用户登录

要仅允许某些用户登录FTP服务器，请在文件末尾添加以下几行：

/etc/vsftpd.conf

userlist_enable=YES
userlist_file=/etc/vsftpd.user_list
userlist_deny=NO

启用此选项后，我们需要通过将用户名添加到“ /etc/vsftpd.user_list”文件（每行一个用户）来显式指定哪些用户可以登录。

6.使用SSL/TLS保护传输的安全

为了使用SSL/TLS加密FTP传输，我们需要具有SSL证书并配置FTP服务器以使用它。

我们可以使用由受信任的证书颁发机构签名的现有SSL证书，也可以创建自签名证书。

如果我们有指向FTP服务器IP地址的域或者子域，则可以轻松生成免费的“加密SSL”证书。

我们将使用“ openssl”命令生成一个自签名SSL证书。

以下命令将创建一个有效期为10年的2048位私钥和自签名证书。
私钥和证书都将保存在同一文件中：

sudo openssl req -x509 -nodes -days 3650 -newkey rsa:2048 -keyout /etc/ssl/private/vsftpd.pem -out /etc/ssl/private/vsftpd.pem

创建SSL证书后，打开vsftpd配置文件：

sudo nano /etc/vsftpd.conf

找到“ rsa_cert_file”和“ rsa_private_key_file”指令，将其值更改为“ pam”文件路径，并将“ ssl_enable”指令设置为“ YES”：

/etc/vsftpd.conf

rsa_cert_file=/etc/ssl/private/vsftpd.pem
rsa_private_key_file=/etc/ssl/private/vsftpd.pem
ssl_enable=YES

如果未另外指定，则FTP服务器将仅使用TLS建立安全连接。

重新启动vsftpd服务

完成编辑后，vsftpd配置文件（不包括注释）应如下所示：

/etc/vsftpd.conf

listen=NO
listen_ipv6=YES
anonymous_enable=NO
local_enable=YES
write_enable=YES
dirmessage_enable=YES
use_localtime=YES
xferlog_enable=YES
connect_from_port_20=YES
chroot_local_user=YES
secure_chroot_dir=/var/run/vsftpd/empty
pam_service_name=vsftpd
rsa_cert_file=/etc/ssl/private/vsftpd.pem
rsa_private_key_file=/etc/ssl/private/vsftpd.pem
ssl_enable=YES
user_sub_token=$USER
local_root=/home/$USER/ftp
pasv_min_port=30000
pasv_max_port=31000
userlist_enable=YES
userlist_file=/etc/vsftpd.user_list
userlist_deny=NO

保存文件并重新启动vsftpd服务，以使更改生效：

sudo systemctl restart vsftpd

打开防火墙

如果我们运行的是UFW防火墙，则需要允许FTP通信。

要打开端口“ 21”（FTP命令端口），端口“ 20”（FTP数据端口）和“ 30000-31000”（被动端口范围），请运行以下命令：

sudo ufw allow 20:21/tcpsudo ufw allow 30000:31000/tcp

为避免被锁定，请打开端口“ 22”：

sudo ufw allow OpenSSH

通过禁用和重新启用UFW重新加载UFW规则：

sudo ufw disablesudo ufw enable

要验证更改运行：

sudo ufw status

Status: active
To                         Action      From
--                         ------      ---
20:21/tcp                  ALLOW       Anywhere
30000:31000/tcp            ALLOW       Anywhere
OpenSSH                    ALLOW       Anywhere
20:21/tcp (v6)             ALLOW       Anywhere (v6)
30000:31000/tcp (v6)       ALLOW       Anywhere (v6)
OpenSSH (v6)               ALLOW       Anywhere (v6)

创建FTP用户

为了测试我们的FTP服务器，我们将创建一个新用户。

• 如果我们已经有要授予FTP访问权限的用户，请跳过第一步。
• 如果在配置文件中设置“ allow_writeable_chroot = YES”，请跳过第3步。
• 创建一个名为“ newftpuser”的新用户：

sudo adduser newftpuser

• 将用户添加到允许的FTP用户列表中：

echo "newftpuser" | sudo tee -a /etc/vsftpd.user_list

• 创建FTP目录树并设置正确的权限：

sudo mkdir -p /home/newftpuser/ftp/uploadsudo chmod 550 /home/newftpuser/ftpsudo chmod 750 /home/newftpuser/ftp/uploadsudo chown -R newftpuser: /home/newftpuser/ftp

如上一节所述，用户将能够将其文件上传到“ ftp/upload”目录。

至此，FTP服务器已完全正常运行，我们应该能够使用可以配置为使用TLS加密的任何FTP客户端（例如FileZilla）连接到服务器。

禁用shell程序访问

默认情况下，在创建用户时，如果未明确指定，则该用户将具有对服务器的SSH访问权限。

要禁用shell程序访问，我们将创建一个新的shell程序，该shell程序将仅打印一条消息，告诉用户其帐户仅限于FTP访问。

创建“/bin/ftponly” shell并使其可执行：

echo -e '#!/bin/sh\necho "This account is limited to FTP access only."' | sudo tee -a  /bin/ftponlysudo chmod a+x /bin/ftponly

将新的shell程序添加到“/etc/shells”文件中的有效shell程序列表中：

echo "/bin/ftponly" | sudo tee -a /etc/shells

将用户shell更改为“/bin/ftponly”：

sudo usermod newftpuser -s /bin/ftponly

使用相同的命令来更改仅要授予FTP访问权限的所有用户的shell。