Настройте Pure-FTPd с TLS на Debian 9

• Шаг первый - Установка
• Шаг второй - Конфигурация
• Шаг третий - Создание пользователей
• Шаг четвертый - поддержка TLS

Pure-FTPd - это быстрый и легкий FTP-сервер, созданный с учетом требований безопасности. В этом уроке я собираюсь показать вам, как установить и использовать Pure FTP в 4 простых шага. В этом руководстве объясняется, как установить Pure FTPd в Debian 9.

Шаг первый - Установка

Pure-FTPd находится в стабильном репозитории Debian, поэтому нет необходимости добавлять какие-либо дополнительные репозитории в вашу систему.

Запустите следующую команду с правами root:

apt install -y pure-ftpd-common pure-ftpd 

Шаг второй - Конфигурация

Есть много опций, которые вы можете использовать, чтобы изменить поведение приложения. Эти параметры могут быть применены к демону Pure-FTPd при запуске, или вы можете сделать их постоянными, создав необходимые файлы внутри confкаталога.

Мы хотим:

• Создавайте виртуальных пользователей.
• Создавайте домашние каталоги для пользователей автоматически.
• Пользователи Limit ( chroot) должны иметь доступ только к своему домашнему каталогу.

Включите базу данных Pure-FTPd и отключите аутентификацию PAM и Unix, чтобы включить виртуальных пользователей:

ln -s /etc/pure-ftpd/conf/PureDB /etc/pure-ftpd/auth/50pure
echo no > /etc/pure-ftpd/conf/PAMAuthentication
echo no > /etc/pure-ftpd/conf/UnixAuthentication

Установите Pure-FTPd для создания домашних каталогов для пользователей при их первом входе в систему:

echo "yes" > /etc/pure-ftpd/conf/CreateHomeDir

Chroot всех.

echo "yes" > /etc/pure-ftpd/conf/ChrootEveryone

Если вы заинтересованы узнать о других вариантах, посетите официальную страницу документации .

Шаг третий - Создание пользователей

Pure-FTPd может работать с виртуальными пользователями, что означает, что они хранятся в базе данных Pure-FTPd и не связаны с пользователями системы Linux.

Чтобы Pure-FTPd мог управлять файлами с виртуальными пользователями, нам нужно создать пользователя Linux и группу, в которую будут включены все виртуальные пользователи. Все виртуальные пользователи могут использовать одного и того же системного пользователя и группу до тех пор, пока они будут привязаны.

Выполните следующие команды, чтобы создать системного пользователя и группу:

groupadd ftpusr
useradd -g ftpusr -d /dev/null -s /etc ftpusr

Примечание . Мы не хотим, чтобы этот пользователь имел домашний каталог или возможность входа в систему.

Создайте наш корневой каталог FTP:

mkdir /home/FTP

Создайте виртуального пользователя в Pure-FTPd:

pure-pw useradd alex -u ftpusr -g ftpusr -d /home/FTP/alex 

Мы добавили нашего первого виртуального пользователя ( alex) и связали его с системным пользователем / группой ( ftpusr). Все файлы, с которыми вы пишете, alexбудут принадлежать ftpusrв системе.

Обновите базу данных Pure-FTPd:

pure-pw mkdb

Проверьте информацию о пользователе:

pure-pw show alex

Login              : alex
Password           : <encrypted password>
UID                : 1000 (ftpusr)
GID                : 1000 (ftpusr)
Directory          : /home/FTP/alex/./
Full name          : 
Download bandwidth : 0 Kb (unlimited)
Upload   bandwidth : 0 Kb (unlimited)
Max files          : 0 (unlimited)
Max size           : 0 Mb (unlimited)
Ratio              : 0:0 (unlimited:unlimited)
Allowed local  IPs : 
Denied  local  IPs : 
Allowed client IPs : 
Denied  client IPs : 
Time restrictions  : 0000-0000 (unlimited)
Max sim sessions   : 0 (unlimited)

Чтобы упростить жизнь, используйте следующий скрипт для добавления учетных записей FTP:

echo -e  '#!/bin/bash\nread -p "Enter UserName: " usrname\npure-pw useradd $usrname -u ftpusr -g ftpusr -d /home/FTP/$usrname && pure-pw mkdb'  > /usr/sbin/ftp-createacc

chmod u+x /usr/sbin/ftp-createacc

Теперь создать учетные записи FTP просто:

ftp-createacc

Enter UserName: mike
Password: 
Enter it again:

Шаг четвертый - поддержка TLS

Для начала нам нужно установить OpenSSL.

apt install -y openssl

Заставьте Pure-FTPd использовать TLS, или мы можем сделать его необязательным, что означает, что принимаются как небезопасные, так и TLS-соединения.

# force TLS
echo 2 > /etc/pure-ftpd/conf/TLS

# insecure + TLS
echo 1 > /etc/pure-ftpd/conf/TLS

Создайте каталог для хранения наших ключей.

mkdir -p /etc/ssl/pure-ftpd

Создайте пакетный ключ (закрытый ключ и открытый ключ).

openssl req -x509 -nodes -days 730 -newkey rsa:2048 -keyout /etc/ssl/private/pure-ftpd.pem -out /etc/ssl/private/pure-ftpd.pem

Перезапустите pure-ftpdдемон.

systemctl restart pure-ftpd

Если в вашей системе установлен брандмауэр или ваш сервер находится за NAT, вы должны определить пассивные порты в Pure-FTPd и открыть эти порты в брандмауэре, в противном случае вы получите такие ошибки:

Server sent passive reply with unroutable address. Passive mode failed.

Failed to retrieve directory listing.

500 I won't open a connection to 192.168.1.4 (only to 10.10.10.10).

Установите пассивные порты в Pure-FTPd:

echo "40110 42210" > /etc/pure-ftpd/conf/PassivePortRange

Перезапустите, pure-ftpdчтобы применить изменения.

systemctl restart pure-ftpd

В брандмауэре откройте диапазон входящего порта от 40110 до 42210 , протокол TCP.

FTP небезопасен по своей природе, но он также быстр и прост в настройке. Для более безопасного решения используйте вместо этого SFTP.