Cet article décrit comment installer et configurer un serveur FTP sur Ubuntu 20.04 que vous utilisez pour partager des fichiers entre vos appareils.
FTP (File Transfer Protocol) est un protocole réseau standard utilisé pour transférer des fichiers vers et depuis un réseau distant. Il existe plusieurs serveurs FTP open source disponibles pour Linux. Les plus connus et les plus utilisés sont PureFTPd, ProFTPD et vsftpd. Nous allons installer vsftpd (Very Secure Ftp Daemon), un serveur FTP stable, sécurisé et rapide. Nous vous montrerons également comment configurer le serveur pour limiter les utilisateurs à leur répertoire personnel et crypter l'intégralité de la transmission avec SSL/TLS.
Bien que FTP soit un protocole très populaire, pour des transferts de données plus sécurisés et plus rapides, vous devez utiliser SCPou SFTP.
Installation de vsftpd sur Ubuntu 20.04 #
Le package vsftpd est disponible dans les référentiels Ubuntu. Pour l'installer, exécutez les commandes suivantes :
sudo apt update
sudo apt install vsftpd
Le service ftp démarrera automatiquement une fois le processus d'installation terminé. Pour le vérifier, imprimez l'état du service :
sudo systemctl status vsftpd
La sortie doit montrer que le service vsftpd est actif et en cours d'exécution :
● vsftpd.service - vsftpd FTP server
Loaded: loaded (/lib/systemd/system/vsftpd.service; enabled; vendor preset: enabled)
Active: active (running) since Tue 2021-03-02 15:17:22 UTC; 3s ago
...
Configuration de vsftpd #
La configuration du serveur vsftpd est stockée dans le /etc/vsftpd.conf
fichier.
La plupart des paramètres du serveur sont bien documentés dans le fichier. Pour toutes les options disponibles, visitez la page de documentation de vsftpd.
Dans les sections suivantes, nous passerons en revue certains paramètres importants nécessaires pour configurer une installation vsftpd sécurisée.
Commencez par ouvrir le fichier de configuration vsftpd :
sudo nano /etc/vsftpd.conf
1. # d'accès FTP
Nous n'autoriserons l'accès au serveur FTP qu'aux utilisateurs locaux. Recherchez le anonymous_enable
et local_enable
directives et vérifiez que votre configuration correspond aux lignes ci-dessous :
anonymous_enable=NO
local_enable=YES
2. Activation des téléchargements #
Localisez et décommentez le write_enable
directive pour autoriser les modifications du système de fichiers, telles que le téléchargement et la suppression de fichiers :
write_enable=YES
3. Prison chroot #
Pour empêcher les utilisateurs FTP locaux d'accéder aux fichiers en dehors de leurs répertoires personnels, décommentez la ligne commençant par chroot_local_user
:
chroot_local_user=YES
Par défaut, pour des raisons de sécurité, lorsque le chroot est activé, vsftpd refusera de télécharger des fichiers si le répertoire dans lequel les utilisateurs sont verrouillés est accessible en écriture.
Utilisez l'une des solutions ci-dessous pour autoriser les téléchargements lorsque le chroot est activé :
-
Méthode 1. - L'option recommandée est de garder la fonction chroot activée et de configurer les répertoires FTP. Dans cet exemple, nous allons créer un
/etc/vsftpd.confftp
répertoire à l'intérieur de l'accueil de l'utilisateur, qui servira de chroot et deuploads
accessible en écriture répertoire pour télécharger les fichiers :user_sub_token=$USER local_root=/home/$USER/ftp
-
Méthode 2. - Une autre option consiste à activer le
/etc/vsftpd.confallow_writeable_chroot
instruction :allow_writeable_chroot=YES
N'utilisez cette option que si vous devez accorder à votre utilisateur un accès en écriture à son répertoire personnel.
4. Connexions FTP passives #
Par défaut, vsftpd utilise le mode actif. Pour utiliser le mode passif, définissez la plage minimale et maximale de ports :
/etc/vsftpd.confpasv_min_port=30000
pasv_max_port=31000
Vous pouvez utiliser n'importe quel port pour les connexions FTP passives. Lorsque le mode passif est activé, le client FTP ouvre une connexion au serveur sur un port aléatoire dans la plage que vous avez choisie.
5. Limitation du numéro de connexion de l'utilisateur
Vous pouvez configurer vsftpd pour autoriser uniquement certains utilisateurs à se connecter. Pour ce faire, ajoutez les lignes suivantes à la fin du fichier :
/etc/vsftpd.confuserlist_enable=YES
userlist_file=/etc/vsftpd.user_list
userlist_deny=NO
Lorsque cette option est activée, vous devez spécifier explicitement quels utilisateurs peuvent se connecter en ajoutant les noms d'utilisateur à /etc/vsftpd.user_list
fichier (un utilisateur par ligne).
6. Sécurisation des transmissions avec SSL/TLS #
Pour chiffrer les transmissions FTP avec SSL/TLS, vous devez disposer d'un certificat SSL et configurer le serveur FTP pour l'utiliser.
Vous pouvez utiliser un certificat SSL existant signé par une autorité de certification de confiance ou créer un certificat auto-signé.
Si vous avez un domaine ou un sous-domaine pointant vers l'adresse IP du serveur FTP, vous pouvez générer rapidement un certificat Let's EncryptSSL gratuit.
Nous allons générer une clé privée de 2048 bits et un certificat SSL auto-signé qui seront valables dix ans :
sudo openssl req -x509 -nodes -days 3650 -newkey rsa:2048 -keyout /etc/ssl/private/vsftpd.pem -out /etc/ssl/private/vsftpd.pem
La clé privée et le certificat seront enregistrés dans le même fichier.
Une fois le certificat SSL créé, ouvrez le fichier de configuration vsftpd :
sudo nano /etc/vsftpd.conf
Trouvez le rsa_cert_file
et rsa_private_key_file
directives, remplacez leurs valeurs par pam
chemin du fichier et définissez le ssl_enable
directive à YES
:
rsa_cert_file=/etc/ssl/private/vsftpd.pem
rsa_private_key_file=/etc/ssl/private/vsftpd.pem
ssl_enable=YES
Sauf indication contraire, le serveur FTP utilisera uniquement TLS pour établir des connexions sécurisées.
Redémarrer le service vsftpd #
Une fois que vous avez terminé l'édition, le fichier de configuration vsftpd (à l'exclusion des commentaires) devrait ressembler à ceci :
/etc/vsftpd.conflisten=NO
listen_ipv6=YES
anonymous_enable=NO
local_enable=YES
write_enable=YES
dirmessage_enable=YES
use_localtime=YES
xferlog_enable=YES
connect_from_port_20=YES
chroot_local_user=YES
secure_chroot_dir=/var/run/vsftpd/empty
pam_service_name=vsftpd
rsa_cert_file=/etc/ssl/private/vsftpd.pem
rsa_private_key_file=/etc/ssl/private/vsftpd.pem
ssl_enable=YES
user_sub_token=$USER
local_root=/home/$USER/ftp
pasv_min_port=30000
pasv_max_port=31000
userlist_enable=YES
userlist_file=/etc/vsftpd.user_list
userlist_deny=NO
Enregistrez le fichier et redémarrez le service vsftpd pour que les modifications prennent effet :
sudo systemctl restart vsftpd
Ouverture du pare-feu #
Si vous utilisez un pare-feu UFW, vous devez autoriser le trafic FTP.
Pour ouvrir le port 21
(port de commande FTP), port 20
(port de données FTP) et 30000-31000
(Plage des ports passifs), exécutez les commandes suivantes :
sudo ufw allow 20:21/tcp
sudo ufw allow 30000:31000/tcp
Pour éviter d'être verrouillé, assurez-vous que le port 22
est ouvert :
sudo ufw allow OpenSSH
Rechargez les règles UFW en désactivant et en réactivant UFW :
sudo ufw disable
sudo ufw enable
Pour vérifier les modifications, procédez comme suit :
sudo ufw status
Status: active
To Action From
-- ------ ----
20:21/tcp ALLOW Anywhere
30000:31000/tcp ALLOW Anywhere
OpenSSH ALLOW Anywhere
20:21/tcp (v6) ALLOW Anywhere (v6)
30000:31000/tcp (v6) ALLOW Anywhere (v6)
OpenSSH (v6) ALLOW Anywhere (v6)
Création de l'utilisateur FTP #
Pour tester le serveur FTP, nous allons créer un nouvel utilisateur.
- Si l'utilisateur auquel vous souhaitez accorder l'accès FTP existe déjà, ignorez la 1ère étape.
- Si vous définissez
allow_writeable_chroot=YES
dans votre fichier de configuration, ignorez la 3ème étape.
-
Créez un nouvel utilisateur nommé
newftpuser
:sudo adduser newftpuser
-
Ajoutez l'utilisateur à la liste des utilisateurs FTP autorisés :
echo "newftpuser" | sudo tee -a /etc/vsftpd.user_list
-
Créez l'arborescence du répertoire FTP et définissez les autorisations appropriées :
sudo mkdir -p /home/newftpuser/ftp/upload
sudo chmod 550 /home/newftpuser/ftp
sudo chmod 750 /home/newftpuser/ftp/upload
sudo chown -R newftpuser: /home/newftpuser/ftp
Comme indiqué dans la section précédente, l'utilisateur pourra télécharger ses fichiers sur le
ftp/upload
répertoire.
À ce stade, votre serveur FTP est entièrement fonctionnel. Vous devriez pouvoir vous connecter au serveur à l'aide de n'importe quel client FTP pouvant être configuré pour utiliser le cryptage TLS, tel que FileZilla.
Désactivation de l'accès au shell #
Par défaut, lors de la création d'un utilisateur, s'il n'est pas explicitement spécifié, l'utilisateur aura un accès SSH au serveur. Pour désactiver l'accès au shell, créez un nouveau shell qui imprimera un message indiquant à l'utilisateur que son compte est limité à l'accès FTP uniquement.
Exécutez les commandes suivantes pour créer le /bin/ftponly
fichier et rendez-le exécutable :
echo -e '#!/bin/sh\necho "This account is limited to FTP access only."' | sudo tee -a /bin/ftponly
sudo chmod a+x /bin/ftponly
Ajoutez le nouveau shell à la liste des shells valides dans le /etc/shells
fichier :
echo "/bin/ftponly" | sudo tee -a /etc/shells
Remplacez le shell utilisateur par /bin/ftponly
:
sudo usermod newftpuser -s /bin/ftponly
Vous pouvez utiliser la même commande pour modifier le shell de tous les utilisateurs auxquels vous souhaitez accorder uniquement un accès FTP.