vsftpd (Very Secure FTP Daemon) — FTP-сервер для Unix-систем, включаючи Linuxс та з підтримкою IPv6 і SSL. Він є FTP-сервером по вмовчанню для дистрибутивів Ubuntu, CentOS, Fedora, NimbleX та RHEL Linux.
Далі прості вказівки по встановленню та налаштуванню vsftpd.
Встановлення на CentOS (Fedora, RHEL):
1. Перевіряємо чи ftp-сервер не є вже встанорвленим:
# rpm -q vsftpd
2. Якщо не встановлений, то встановлюємо:
# yum install vsftpd
3. Добавляємо в автозагрузку:
# chkconfig vsftpd on
4. Запускаємо:
# service vsftpd start
5. Знімаємо блокування фаєрволом (один з прикладів):
# system-config-firewall-tui
Заходимо в Customize і відкриваємо порт FTP.
Налатування:
1. По вмовчанню, FTP-сервер налаштований на доступ анонімних користувачів без паролю. Достатньо ввести імя користувача anonymous. Щоб це заборонити, потрібно в файлі налаштувань /etc/vsftpd/vsftpd.conf встановити значення опції anonymous_enable=NO.
2. Якщо доступ анонімних користувачів дозволений, то опцією no_anon_password=YES можна відключити запит пароля при анонімному підключенні.
3. Доступ локальних користувачів можна вмикати-вимикати опцією local_enable=YES/NO.
4. Щоб локальні користувачі не могли заходити далі своїх домашніх каталогів, вмикаємо це обмеження: chroot_local_user=YES.
5. Обмежуємо максимальну кількість підключень: max_clients=xx, де xx – кількість.
6. Включаємо-виключаємо дозвіл на команди створення нових файлів та каталогів: write_enable=YES/NO.
7. Включаємо-виключаємо дозвіл на команди створення нових каталогів анонімними користувачами: anon_mkdir_write_enable=YES/NO.
8. Включаємо-виключаємо дозвіл на команди створення нових файлів анонімними користувачами: anon_other_write_enable=YES/NO.
9. Дозволяємо-забороняємо анонімам завантажувати нові файли: anon_upload_enable=YES/NO.
Створюємо окремого користувача, для підключень по FTP:
1. Створюємо користувача:
# useradd ftpuser
2. Задаємо пароль:
# passwd ftpuser
3. Щоб заборонити доступ по SSH, знаходимо в файлі /etc/passwd рядок, який починається на ftpuser та мінямо в ньому /bin/bash /sbin/nologin.
4. При потребі, в тому ж файлі /etc/passwd, в рядку з нашим користувачем ftpuser, можна поміняти йому домашній каталог з /home/ftpuser, наприклад на /var/ftp/, або інший.
SELinux
Для систем, які використовують SELinux, потрібно звернути увагу на те, що значення деяких параметрів, попри те, що вони прописані в конфігураційному файлі, встановляться зовсім інші.
Подивитись чи активовано SELinux:
# sestatus
В результаті enforsing – означає примусовий режим, а permissive – режим попередження. (Детальніше дивись документацію по SELinux).
Подивитись список примусових SELinux параметрів (для ftp):
# getsebool -a | grep ftp
allow_ftpd_anon_write –> off // запис анонімним користувачам
allow_ftpd_full_access –> off // повний доступ
allow_ftpd_use_cifs –> off // дозволити розшарювати мережеві windows-папки
allow_ftpd_use_nfs –> off // дозволити розшарити NFS
ftp_home_dir –> off //дозволити користувачам доступ до домашній каталогів
ftpd_connect_db –> off
httpd_enable_ftp_server –> off
sftpd_anon_write –> off
sftpd_enable_homedirs –> off
sftpd_full_access –> off
sftpd_write_ssh_home –> off
tftp_anon_write –> off
Змінити параметр SELinux:
# setsebool -P ftp_home_dir on
або
# setsebool -P ftp_home_dir 1
(-P – зберегти налаштування після перезавантаження)