Configurare Pure-FTPd cu TLS pe ​​Debian 9

• Pasul unu - Instalare
• Pasul doi - Configurare
• Pasul trei - Creați utilizatori
• Pasul patru - suport TLS

Pure-FTPd este un server FTP rapid și ușor construit cu securitate în minte. În acest tutorial, vă voi arăta cum să instalați și să utilizați Pure FTP în 4 pași simpli. Acest ghid explică cum se instalează PTP FTPd pe Debian 9.

Pasul unu - Instalare

Pure-FTPd se află în depozitul stabil al lui Debian, deci nu este necesar să adăugați niciun depozit suplimentar la sistemul dvs.

Rulați următoarea comandă cu privilegii root:

apt install -y pure-ftpd-common pure-ftpd 

Pasul doi - Configurare

Există multe opțiuni pe care le puteți utiliza pentru a schimba comportamentul aplicației. Aceste opțiuni ar putea fi aplicate demonului Pure-FTPd la pornire sau le puteți face persistente prin crearea fișierelor necesare în interiorul confdirectorului.

Vrem să:

• Creați utilizatori virtuali.
• Creați în mod automat directoare de acasă pentru utilizatori.
• Limitați ( chroot) utilizatorii să aibă acces doar la propriul lor director de acasă.

Activați baza de date Pure-FTPd și dezactivați autentificarea PAM și Unix pentru a activa utilizatorii virtuali:

ln -s /etc/pure-ftpd/conf/PureDB /etc/pure-ftpd/auth/50pure
echo no > /etc/pure-ftpd/conf/PAMAuthentication
echo no > /etc/pure-ftpd/conf/UnixAuthentication

Setați Pure-FTPd să creeze directoare de acasă pentru utilizatori la prima lor autentificare:

echo "yes" > /etc/pure-ftpd/conf/CreateHomeDir

Încercați pe toți.

echo "yes" > /etc/pure-ftpd/conf/ChrootEveryone

Dacă sunteți interesat să aflați despre alte opțiuni, vizitați pagina de documentare oficială .

Pasul trei - Creați utilizatori

Pure-FTPd poate gestiona utilizatorii virtuali, ceea ce înseamnă că sunt păstrați în baza de date Pure-FTPd și nu au legătură cu utilizatorii sistemului Linux.

Pentru ca Pure-FTPd să poată gestiona fișierele cu utilizatori virtuali, trebuie să creăm un utilizator și un grup Linux în care să fie asociați toți utilizatorii virtuali. Toți utilizatorii virtuali pot utiliza același utilizator și grup al sistemului, atât timp cât au fost chrootați.

Executați următoarele comenzi pentru a crea utilizatorul și grupul de sistem:

groupadd ftpusr
useradd -g ftpusr -d /dev/null -s /etc ftpusr

Notă : Nu dorim ca acest utilizator să aibă un director de acasă sau o capacitate de conectare.

Creați directorul nostru rădăcină FTP:

mkdir /home/FTP

Creați un utilizator virtual în Pure-FTPd:

pure-pw useradd alex -u ftpusr -g ftpusr -d /home/FTP/alex 

Am adăugat primul nostru utilizator virtual ( alex) și l-am asociat cu utilizator / grup de sistem ( ftpusr). Toate fișierele cu care scrieți alexvor fi deținute ftpusrîn sistem.

Actualizați baza de date Pure-FTPd:

pure-pw mkdb

Verificați informațiile utilizatorului:

pure-pw show alex

Login              : alex
Password           : <encrypted password>
UID                : 1000 (ftpusr)
GID                : 1000 (ftpusr)
Directory          : /home/FTP/alex/./
Full name          : 
Download bandwidth : 0 Kb (unlimited)
Upload   bandwidth : 0 Kb (unlimited)
Max files          : 0 (unlimited)
Max size           : 0 Mb (unlimited)
Ratio              : 0:0 (unlimited:unlimited)
Allowed local  IPs : 
Denied  local  IPs : 
Allowed client IPs : 
Denied  client IPs : 
Time restrictions  : 0000-0000 (unlimited)
Max sim sessions   : 0 (unlimited)

Pentru a ușura viața, utilizați următorul script pentru a adăuga conturi FTP:

echo -e  '#!/bin/bash\nread -p "Enter UserName: " usrname\npure-pw useradd $usrname -u ftpusr -g ftpusr -d /home/FTP/$usrname && pure-pw mkdb'  > /usr/sbin/ftp-createacc

chmod u+x /usr/sbin/ftp-createacc

Acum, crearea de conturi FTP este simplă:

ftp-createacc

Enter UserName: mike
Password: 
Enter it again:

Pasul patru - suport TLS

În primul rând, trebuie să instalăm OpenSSL.

apt install -y openssl

Forțați Pure-FTPd să utilizeze TLS, sau putem face opțional ceea ce înseamnă că conexiunile nesigure și TLS sunt acceptate

# force TLS
echo 2 > /etc/pure-ftpd/conf/TLS

# insecure + TLS
echo 1 > /etc/pure-ftpd/conf/TLS

Creați un director pentru a stoca cheile noastre.

mkdir -p /etc/ssl/pure-ftpd

Generați o cheie de pachet (cheie privată și cheie publică).

openssl req -x509 -nodes -days 730 -newkey rsa:2048 -keyout /etc/ssl/private/pure-ftpd.pem -out /etc/ssl/private/pure-ftpd.pem

Reporniți pure-ftpddemonul.

systemctl restart pure-ftpd

Dacă aveți un firewall instalat pe sistemul dvs. sau dacă serverul dvs. se află în spatele NAT, trebuie să definiți porturi pasive în Pure-FTPd și să deschideți aceste porturi în firewall-ul dvs., altfel veți primi erori ca acestea:

Server sent passive reply with unroutable address. Passive mode failed.

Failed to retrieve directory listing.

500 I won't open a connection to 192.168.1.4 (only to 10.10.10.10).

Setați porturi pasive în PTP-FTPd:

echo "40110 42210" > /etc/pure-ftpd/conf/PassivePortRange

Reporniți pure-ftpdpentru a aplica modificarea.

systemctl restart pure-ftpd

În firewallul dvs., deschideți intervalul de porturi de intrare de la 40110 la 42210 , protocol TCP.

FTP-ul este nesigur prin natură, dar este rapid și ușor de configurat. Pentru o soluție mai sigură, utilizați SFTP în schimb.