Debian 9でTLSを使用してPure-FTPdをセットアップする

• ステップ1-インストール
• ステップ2-構成
• ステップ3-ユーザーを作成する
• ステップ4-TLSサポート

Pure-FTPdは、セキュリティを考慮して構築された高速で軽量なFTPサーバーです。このチュートリアルでは、4つの簡単なステップでPure FTPをインストールして使用する方法を説明します。このガイドでは、Debian 9にPure FTPdをインストールする方法について説明します。

ステップ1-インストール

Pure-FTPdはDebianの安定したリポジトリにあるため、システムにリポジトリを追加する必要はありません。

root権限で次のコマンドを実行します。

apt install -y pure-ftpd-common pure-ftpd 

ステップ2-構成

アプリケーションの動作を変更するために使用できる多くのオプションがあります。これらのオプションは、起動時にPure-FTPdのデーモンに適用することも、confディレクトリ内に必要なファイルを作成して永続化することもできます。

私達はしたいです：

• 仮想ユーザーを作成します。
• ユーザーのホームディレクトリを自動的に作成します。
• （chroot）ユーザーが自分のホームディレクトリにのみアクセスできるように制限します。

Pure-FTPdのデータベースを有効にし、PAMおよびUnix認証を無効にして、仮想ユーザーを有効にします。

ln -s /etc/pure-ftpd/conf/PureDB /etc/pure-ftpd/auth/50pure
echo no > /etc/pure-ftpd/conf/PAMAuthentication
echo no > /etc/pure-ftpd/conf/UnixAuthentication

初回ログイン時にユーザーのホームディレクトリを作成するようにPure-FTPdを設定します。

echo "yes" > /etc/pure-ftpd/conf/CreateHomeDir

Chrootみんな。

echo "yes" > /etc/pure-ftpd/conf/ChrootEveryone

他のオプションについて知りたい場合は、公式のドキュメントページにアクセスしてください。

ステップ3-ユーザーを作成する

Pure-FTPdは仮想ユーザーを処理できます。つまり、仮想ユーザーはPure-FTPdのデータベースに保持され、Linuxシステムユーザーとは関係ありません。

Pure-FTPdで仮想ユーザーのファイルを管理するには、すべての仮想ユーザーを関連付けるLinuxユーザーとグループを作成する必要があります。すべての仮想ユーザーは、chrootされている限り、同じシステムユーザーとグループを使用できます。

次のコマンドを実行して、システムユーザーとグループを作成します。

groupadd ftpusr
useradd -g ftpusr -d /dev/null -s /etc ftpusr

注：このユーザーにホームディレクトリまたはログイン機能を持たせたくありません。

FTPルートディレクトリを作成します。

mkdir /home/FTP

Pure-FTPdで仮想ユーザーを作成します。

pure-pw useradd alex -u ftpusr -g ftpusr -d /home/FTP/alex 

最初の仮想ユーザー（alex）を追加し、システムユーザー/グループ（ftpusr）に関連付けました。書き込むすべてのファイルは、システム上alexで所有さftpusrれます。

Pure-FTPdのデータベースを更新します。

pure-pw mkdb

ユーザーの情報を確認します。

pure-pw show alex

Login              : alex
Password           : <encrypted password>
UID                : 1000 (ftpusr)
GID                : 1000 (ftpusr)
Directory          : /home/FTP/alex/./
Full name          : 
Download bandwidth : 0 Kb (unlimited)
Upload   bandwidth : 0 Kb (unlimited)
Max files          : 0 (unlimited)
Max size           : 0 Mb (unlimited)
Ratio              : 0:0 (unlimited:unlimited)
Allowed local  IPs : 
Denied  local  IPs : 
Allowed client IPs : 
Denied  client IPs : 
Time restrictions  : 0000-0000 (unlimited)
Max sim sessions   : 0 (unlimited)

作業を簡単にするために、次のスクリプトを使用してFTPアカウントを追加します。

echo -e  '#!/bin/bash\nread -p "Enter UserName: " usrname\npure-pw useradd $usrname -u ftpusr -g ftpusr -d /home/FTP/$usrname && pure-pw mkdb'  > /usr/sbin/ftp-createacc

chmod u+x /usr/sbin/ftp-createacc

FTPアカウントの作成は簡単です。

ftp-createacc

Enter UserName: mike
Password: 
Enter it again:

ステップ4-TLSサポート

まず、OpenSSLをインストールする必要があります。

apt install -y openssl

Pure-FTPdがTLSを使用するように強制するか、オプションにすることができます。これは、安全でない接続とTLS接続の両方が受け入れられることを意味します

# force TLS
echo 2 > /etc/pure-ftpd/conf/TLS

# insecure + TLS
echo 1 > /etc/pure-ftpd/conf/TLS

キーを格納するディレクトリを作成します。

mkdir -p /etc/ssl/pure-ftpd

バンドルキー（秘密キーと公開キー）を生成します。

openssl req -x509 -nodes -days 730 -newkey rsa:2048 -keyout /etc/ssl/private/pure-ftpd.pem -out /etc/ssl/private/pure-ftpd.pem

pure-ftpdデーモンを再起動します。

systemctl restart pure-ftpd

システムにファイアウォールがインストールされている場合、またはサーバーがNATの背後にある場合は、Pure-FTPdでパッシブポートを定義し、ファイアウォールでこれらのポートを開く必要があります。そうしないと、次のようなエラーが発生します。

Server sent passive reply with unroutable address. Passive mode failed.

Failed to retrieve directory listing.

500 I won't open a connection to 192.168.1.4 (only to 10.10.10.10).

Pure-FTPdでパッシブポートを設定します。

echo "40110 42210" > /etc/pure-ftpd/conf/PassivePortRange

再起動pure-ftpdして変更を適用します。

systemctl restart pure-ftpd

ファイアウォールでは、からの着信ポート範囲を開き、40110に42210、プロトコルTCP。

FTPは本質的に安全ではありませんが、セットアップも高速で簡単です。より安全なソリューションとして、代わりにSFTPを使用してください。