Установка и настройка ProFTPd на Ubuntu Server

Используемые термины: FTP , Linux , Ubuntu .

Среди возможностей ProFTPd есть использование виртуальных пользователей с uid системных учетных записей, работа по FTP через TLS, использование виртуальных пользователей с хранением их в отдельном файле или базе данных. Мы рассмотрим настройку всех этих возможностей сервера FTP на примере Linux Ubuntu 18.04, 20.04 и 22.04. Инструкция также, во многом, подойдет для настройки на Debian.

Настройка системы

Подготовим нашу операционную систему для корректной работы сервера FTP. Для этого настроим синхронизацию времени и правила в Firewall.

1. Время

Для корректного отображения времени создания файлов, необходимо синхронизировать его с внешним источником. Также необходимо задать корректный часовой пояс. Для этого вводим команду:

* в данном примере мы задаем зону по московскому времени. Список все доступных зон можно посмотреть командой timedatectl list-timezones .

Устанавливаем chrony:

… и разрешаем его запуск при загрузке системы:

2. Брандмауэр

Если в нашем сервере используется фаервол (по умолчанию, он работает с разрешающими правилами), разрешаем порты:

• 20 — для передачи данных.
• 21 — для передачи команд.
• с 60000 по 65535 — набор для пассивного обмена FTP. Данный диапазон может быть любым из свободных, но практика показывает, что данные значения работают стабильнее.

В зависимости от утилиты управления брандмауэром, дальнейшие действия будут отличаться.

а) Iptables

Если для управления netfilter мы используем утилиту Iptables, то вводим команду:

Для сохранения правил можно использовать утилиту:

б) UFW

В ufw команда будет следующей:

3. Настройка имени

Для корректного запуска ProFTPd важно, чтобы имя сервера корректно разрешалось в адрес сервера. Если имя сервера не задано, вводим:

* где ftp.remontka.localnet — имя сервера.

Для разрешения имени оно должно быть внесено в DNS, но если у нас его нет, открываем файл hosts:

И приписываем:

Установка и запуск с базовыми параметрами

Установка ProFTPd на Ubuntu выполняется следующей командой:

Открываем основной конфигурационный файл:

Редактируем значения для параметров:

* где UseIPv6 — разрешаем или запрещает использование IPv6. Если в нашей среде будет использоваться IP версии 6, то значение данной опции должно быть on.

Снимаем комментарий для опции PassivePorts и задаем ей следующее значение:

* где 60000 — 65535 — диапазон динамических портов для пассивного режима.

Разрешаем автозапуск FTP-серверу и перезапускаем его:

Готово — пробуем подключиться к серверу, использую любые FTP-клиенты, например, FileZilla, Total Commander или браузер. В качестве логина и пароля используем учетную запись пользователя Ubuntu.

Если мы хотим использовать выделенную учетную запись для FTP, то создаем ее командой:

Задаем ей пароль:

Если мы хотим, чтобы учетная запись не могла покидать пределы своей домашней директории, в настройках ProFTPd снимаем комментарий с опции:

И перезапускаем сервис:

Шифрование при передаче данных

Следующим этапом настроим передачу данных через TLS.

Устанавливаем пакет:

В конфигурационном файле сервера ftp снимаем комментарий для строки:

Открываем конфигурационный файл tls.conf:

Снимаем комментарии для следующих настроек:

* параметр TLSRequired можно задать в значение off, если мы не хотим требовать от клиента соединения по TLS.

Приводим значение для одного из раскомментированных параметров к следующему:

* мы добавили TLSv1.2 и TLSv1.3 для поддержки более актуальных протоколов шифрования. В противном случае, некоторые старые клиенты могут возвращать ошибку Error in protocol version .

Генерируем сертификат:

* где ftp.remontka.local — имя сервера в формате FQDN (не принципиально).

Открываем файл со списком модулей:

Снимаем комментарий:

Перезапускаем ProFTPd:

Использование виртуальных пользователей

Для безопасности рекомендуется использовать не реальных пользователей системы, а виртуальных. Мы рассмотрим процесс их хранения в файле или базе данных.

Хранение в файле

Создаем виртуального пользователя командой:

* где:

• /etc/proftpd/ftpd.passwd — путь до файла, в котором хранятся пользователи;
• ftpvirt — имя пользователя (логин);
• uid и gid — идентификаторы пользователя и группы системной учетной записи (например, www-data);
• /var/tmp — домашний каталог пользователя;
• /usr/sbin/nologin — оболочка, запрещающая локальный вход пользователя в систему.

Открываем конфигурационный файл proftpd:

Снимаем комментарий или редактируем опцию (если не сделали это раньше):

* данная опция говорит о том, что корневой директорией для пользователя будет домашняя директория. Это нужно, чтобы FTP-пользователи не могли выйти за пределы дозволенного и видеть на сервере сайты друг друга.

Создаем дополнительный конфигурационный файл для proftpd:

Перезапускаем сервис FTP-сервера:

Хранение в MariaDB (MySQL)

Настройку разделим на два этапа:

1. Установку и настройку СУБД.
2. конфигурирование FTP-сервера.

В качестве СУБД будем использовать MariaDB / MySQL.

СУБД

Устанавливаем на Ubuntu СУБД и модуль mysql для ProFTPd:

Разрешаем автозапуск сервиса mariadb:

Задаем пароль для пользователя root в mysql:

Подключаемся к базе данных:

Создаем базу данных для хранения пользователей:

* в данном примере мы создали базу данных proftpd .

Создаем таблицу в созданной базе:

* данной командой мы создаем таблицу users в базе данных proftpd .

Создаем пользователя mariadb для доступа к таблицам базы proftpd:

* мы создали пользователя proftpd_user с паролем proftpd_password , которому дали право подключаться только с локального сервера.

Добавляем FTP-пользователя в таблицу:

* в данном примере мы создаем пользователя sqluser с паролем sqlpassword .

… и отключаемся от базы:

Настройка FTP-сервера

Открываем конфигурационный файл для proftpd:

Снимаем комментарий для подключения файла sql.conf:

Открываем на редактирование файл sql.conf:

Приводим его к виду:

* где нужно обратить внимание на следующие параметры:

• SQLAuthenticate — указываем, что модуль должен выполнять аутентификацию по пользователю.
• SQLAuthTypes — способ хранения пароля в базе. Можно перечислить несколько вариантов. Для наибольшей безопасности мы разрешили хранить пароли только в зашифрованном виде.
• SQLConnectInfo — параметры для подключения к базе. Здесь мы задаем имя и сервер базы данных, а также данные пользователя для подключения.
• SQLUserInfo — информация о таблице, где хранится пользователь. Мы указываем на название таблицы и перечисляем название полей, в которых хранятся нужные сведения.

Создаем дополнительный конфигурационный файл для proftpd:

Открываем файл modules.conf:

Снимаем комментарии для следующих строк:

Перезапускаем сервис FTP-сервера:

Можно пробовать подключаться к базе под пользователем sqluser с паролем sqlpassword .

Настройка прав доступа

Разберем пример, когда нам нужно будет к одной и той же папке дать разные права — одному пользователю только на чтение, другому на чтение и запись.

Добавляем:

* в данном примере мы задаем права для директории /var/tmp . Мы разрешаем запись в директорию только для пользователя ftpvirt , остальные права разрешены для всех.

Устранение проблем

Для решения проблем в работе FTP-сервера можно просмотреть файл журнала. Файлов может быть несколько и они находятся в каталоге /var/log/proftpd. Основной — proftpd.log.

Для просмотра вводим команду:

По умолчанию, настройка лога в конфигурационном файле proftpd выглядит так:

При необходимости, можно настроить дополнительный файл журнала:

* в данном примере в файле /var/log/proftpd/access.log будут храниться логи обращения к файлам; /var/log/proftpd/auth.log — аутентификации.

Не забываем перезагрузить сервис:

Читайте также

Другие инструкции про FTP, которые могут быть полезны:

1. FTP-сервер ProFTPd на CentOS 7

2. Настройка FTP-сервера vsFTPd на CentOS 7

3. Установка и настройка vsFTPd на Ubuntu