GNU/Linux >> Tutoriels Linux >  >> Cent OS

Comment configurer un serveur FTP avec VSFTPD sur CentOS 8

FTP (File Transfer Protocol) est un protocole réseau client-serveur qui permet aux utilisateurs de transférer des fichiers vers et depuis une machine distante.

Il existe de nombreux serveurs FTP open source disponibles pour Linux. Les serveurs les plus populaires et les plus couramment utilisés sont PureFTPd, ProFTPD et vsftpd.

Dans ce didacticiel, nous allons installer vsftpd (Very Secure Ftp Daemon) sur CentOS 8. Il s'agit d'un serveur FTP stable, sécurisé et rapide. Nous vous montrerons également comment configurer vsftpd pour limiter les utilisateurs à leur répertoire personnel et crypter la transmission des données avec SSL/TLS.

Installation de vsftpd sur CentOS 8 #

Le package vsftpd est disponible dans les référentiels CentOS par défaut. Pour l'installer, exécutez la commande suivante en tant qu'utilisateur root ou utilisateur avec les privilèges sudo :

sudo dnf install vsftpd

Une fois le package installé, démarrez le démon vsftpd et activez-le pour qu'il démarre automatiquement au démarrage :

sudo systemctl enable vsftpd --now

Vérifiez l'état du service :

sudo systemctl status vsftpd

La sortie ressemblera à ceci, indiquant que le service vsftpd est actif et en cours d'exécution :

● vsftpd.service - Vsftpd ftp daemon
   Loaded: loaded (/usr/lib/systemd/system/vsftpd.service; enabled; vendor preset: disabled)
   Active: active (running) since Mon 2020-03-30 15:16:51 EDT; 10s ago
  Process: 2880 ExecStart=/usr/sbin/vsftpd /etc/vsftpd/vsftpd.conf (code=exited, status=0/SUCCESS)
  ...

Configuration de vsftpd #

Les paramètres du serveur vsftpd sont stockés dans le /etc/vsftpd/vsftpd.conf fichier de configuration. La plupart des paramètres sont bien documentés dans le fichier. Pour toutes les options disponibles, visitez la page officielle vsftpd.

Dans les sections suivantes, nous passerons en revue certains paramètres importants requis pour configurer une installation vsftpd sécurisée.

Commencez par ouvrir le fichier de configuration vsftpd :

sudo nano /etc/vsftpd/vsftpd.conf

1. N° d'accès FTP

Nous n'autoriserons l'accès au serveur FTP qu'aux utilisateurs locaux, trouvez le anonymous_enable et local_enable directives et assurez-vous que votre configuration correspond aux lignes ci-dessous :

/etc/vsftpd/vsftpd.conf
anonymous_enable=NO
local_enable=YES

2. Activation des téléchargements #

Décommentez le write_enable paramètre pour autoriser les modifications du système de fichiers, telles que le téléchargement et la suppression de fichiers.

/etc/vsftpd/vsftpd.conf
write_enable=YES

3. Chroot Prison #

Empêchez les utilisateurs FTP d'accéder à tous les fichiers en dehors de leurs répertoires personnels en décommentant le chroot directives.

/etc/vsftpd/vsftpd.conf
chroot_local_user=YES

Par défaut, lorsque le chroot est activé, vsftpd refusera de télécharger des fichiers si le répertoire dans lequel les utilisateurs sont verrouillés est accessible en écriture. Ceci afin d'éviter une faille de sécurité.

Utilisez l'une des méthodes ci-dessous pour autoriser les téléchargements lorsque le chroot est activé.

  • Méthode 1. - La méthode recommandée pour autoriser le téléchargement est de garder le chroot activé et de configurer les répertoires FTP. Dans ce tutoriel, nous allons créer un ftp répertoire à l'intérieur de l'accueil de l'utilisateur, qui servira de chroot et de uploads accessible en écriture répertoire pour télécharger des fichiers.

    /etc/vsftpd/vsftpd.conf
    user_sub_token=$USER
local_root=/home/$USER/ftp

  • Méthode 2. - Une autre option consiste à ajouter la directive suivante dans le fichier de configuration vsftpd. Utilisez cette option si vous devez accorder à votre utilisateur un accès en écriture à son répertoire personnel.

    /etc/vsftpd/vsftpd.conf
    allow_writeable_chroot=YES

4. Connexions FTP passives #

vsftpd peut utiliser n'importe quel port pour les connexions FTP passives. Nous spécifierons la plage minimale et maximale de ports et ouvrirons ultérieurement la plage dans notre pare-feu.

Ajoutez les lignes suivantes au fichier de configuration :

/etc/vsftpd/vsftpd.conf
pasv_min_port=30000
pasv_max_port=31000

5. Limitation du numéro de connexion de l'utilisateur

Pour autoriser uniquement certains utilisateurs à se connecter au serveur FTP, ajoutez les lignes suivantes après le userlist_enable=YES ligne :

/etc/vsftpd/vsftpd.conf
userlist_file=/etc/vsftpd/user_list
userlist_deny=NO

Lorsque cette option est activée, vous devez spécifier explicitement quels utilisateurs peuvent se connecter en ajoutant les noms d'utilisateur à /etc/vsftpd/user_list fichier (un utilisateur par ligne).

6. Sécurisation des transmissions avec SSL/TLS #

Afin de chiffrer les transmissions FTP avec SSL/TLS, vous devez disposer d'un certificat SSL et configurer le serveur FTP pour l'utiliser.

Vous pouvez utiliser un certificat SSL existant signé par une autorité de certification de confiance ou créer un certificat auto-signé.

Si vous avez un domaine ou un sous-domaine pointant vers l'adresse IP du serveur FTP, vous pouvez facilement générer un certificat Let's EncryptSSL gratuit.

Dans ce tutoriel, nous allons générer un certificat SSL auto-signé en utilisant le openssl outil.

La commande suivante créera une clé privée de 2048 bits et un certificat auto-signé valable 10 ans. La clé privée et le certificat seront enregistrés dans un même fichier :

sudo openssl req -x509 -nodes -days 3650 -newkey rsa:2048 -keyout /etc/vsftpd/vsftpd.pem -out /etc/vsftpd/vsftpd.pem

Une fois le certificat SSL créé, ouvrez le fichier de configuration vsftpd :

sudo nano /etc/vsftpd/vsftpd.conf

Trouvez le rsa_cert_file et rsa_private_key_file directives, remplacez leurs valeurs par pam chemin du fichier et définissez le ssl_enable directive à YES :

/etc/vsftpd/vsftpd.conf
rsa_cert_file=/etc/vsftpd/vsftpd.pem
rsa_private_key_file=/etc/vsftpd/vsftpd.pem
ssl_enable=YES

Sauf indication contraire, le serveur FTP utilisera uniquement TLS pour établir des connexions sécurisées.

Redémarrer le service vsftpd #

Une fois que vous avez terminé l'édition, le fichier de configuration vsftpd (à l'exclusion des commentaires) devrait ressembler à ceci :

/etc/vsftpd/vsftpd.conf
anonymous_enable=NO
local_enable=YES
write_enable=YES
local_umask=022
dirmessage_enable=YES
xferlog_enable=YES
connect_from_port_20=YES
xferlog_std_format=YES
chroot_local_user=YES
listen=NO
listen_ipv6=YES
pam_service_name=vsftpd
userlist_enable=YES
userlist_file=/etc/vsftpd/user_list
userlist_deny=NO
tcp_wrappers=YES
user_sub_token=$USER
local_root=/home/$USER/ftp
pasv_min_port=30000
pasv_max_port=31000
rsa_cert_file=/etc/vsftpd/vsftpd.pem
rsa_private_key_file=/etc/vsftpd/vsftpd.pem
ssl_enable=YES

Enregistrez le fichier et redémarrez le service vsftpd pour que les modifications prennent effet :

sudo systemctl restart vsftpd

Ouverture du pare-feu #

how-to-configure-and-manage-firewall-on-centos-8Si vous utilisez un, vous devrez autoriser le trafic FTP.

Pour ouvrir le port 21 (port de commande FTP), port 20 (port de données FTP) et 30000-31000 (Plage des ports passifs), sur votre pare-feu saisissez les commandes suivantes :

sudo firewall-cmd --permanent --add-port=20-21/tcpsudo firewall-cmd --permanent --add-port=30000-31000/tcp

Rechargez les règles de pare-feu en tapant :

firewall-cmd --reload

Création d'un utilisateur FTP #

Pour tester le serveur FTP, nous allons créer un nouvel utilisateur.

  • Si vous avez déjà un utilisateur auquel vous souhaitez accorder un accès FTP, ignorez la 1ère étape.
  • Si vous définissez allow_writeable_chroot=YES dans votre fichier de configuration, ignorez la 3ème étape.

  1. Créez un nouvel utilisateur nommé newftpuser :

    sudo adduser newftpuser

    Ensuite, vous devrez définir le mot de passe utilisateur :

    sudo passwd newftpuser

  2. Ajoutez l'utilisateur à la liste des utilisateurs FTP autorisés :

    echo "newftpuser" | sudo tee -a /etc/vsftpd/user_list

  3. Créez l'arborescence du répertoire FTP et définissez les autorisations appropriées :

    sudo mkdir -p /home/newftpuser/ftp/uploadsudo chmod 550 /home/newftpuser/ftpsudo chmod 750 /home/newftpuser/ftp/uploadsudo chown -R newftpuser: /home/newftpuser/ftp

    Comme indiqué dans la section précédente, l'utilisateur pourra télécharger ses fichiers sur le ftp/upload répertoire.

À ce stade, votre serveur FTP est entièrement fonctionnel et vous devriez pouvoir vous connecter à votre serveur avec n'importe quel client FTP pouvant être configuré pour utiliser le cryptage TLS tel que FileZilla.

Désactivation de l'accès au shell #

Par défaut, lors de la création d'un utilisateur, s'il n'est pas explicitement spécifié, l'utilisateur aura un accès SSH au serveur.

Pour désactiver l'accès au shell, nous allons créer un nouveau shell qui imprimera simplement un message indiquant à l'utilisateur que son compte est limité à l'accès FTP uniquement.

Exécutez les commandes suivantes pour créer le /bin/ftponly shell et rendez-le exécutable :

echo -e '#!/bin/sh\necho "This account is limited to FTP access only."' | sudo tee -a  /bin/ftponlysudo chmod a+x /bin/ftponly

Ajoutez le nouveau shell à la liste des shells valides dans le /etc/shells fichier :

echo "/bin/ftponly" | sudo tee -a /etc/shells

Remplacez le shell utilisateur par /bin/ftponly :

sudo usermod newftpuser -s /bin/ftponly

Utilisez la même commande pour modifier le shell des autres utilisateurs auxquels vous souhaitez accorder uniquement un accès FTP.


Cent OS

  1. Comment installer un serveur FTP sur CentOS 7 avec VSFTPD

  2. Comment installer vsftpd sur RHEL 8 / CentOS 8

  3. Configuration sécurisée du serveur ProFTPD sur CentOS 7 avec TLS

  4. Comment configurer un serveur SFTP sur CentOS

  5. Comment installer le serveur FTP sur CentOS 7

Comment configurer un serveur de sauvegarde centralisé avec Amanda sur CentOS 7

Comment installer et configurer le serveur FTP sur CentOS

Comment configurer un serveur FTP sur CentOS 8 à l'aide de VSFTPD

Comment installer VSFTPD sur CentOS 7

Comment installer le serveur FTP sur CentOS 8

Comment configurer un serveur FTP avec VSFTPD