Настройка чистого ftpd Debian

Эта страница также доступна на следующих этапах (Как установить язык по умолчанию):

Авторские права © 1997 - 2022 SPI Inc.; См. условия лицензии. Debian это торговый знак компании SPI Inc. Об этом сайте.

Конфигурация сервера Pureftpd в Debian

Что такое Pureftpd?

Pure-FTPd — это быстрый, качественный, соответствующий стандартам FTP-сервер, основанный на Troll-FTPd. Особенности включают в себя chroot домашние каталоги, виртуальные домены, встроенный 'ls', систему защиты от ненужных файлов, настраиваемые порты для пассивных загрузок, протокол FXP, регулирование полосы пропускания, коэффициенты, файлы состояния, файлы журналов, подобные Apache, быстрый автономный режим, атомарные загрузки. , текстовый / HTML / XML-отчет о состоянии в реальном времени, виртуальные пользователи, виртуальные квоты, разделение привилегий, SSL/TLS и многое другое.

Поддерживаемые платформы

Один и тот же исходный код компилируется и работает в Linux, OpenBSD, NetBSD, FreeBSD, Solaris, Tru64, Darwin, Irix и HPUX.

Pure-FTPd также доступен в коллекциях портов: FreeBSD (/usr/ports/ftp/pure-ftpd/), OpenBSD (/usr/ports/net/pure-ftpd/), NetBSD (/usr/pkgsrc/ net/pureftpd/), Crux Linux (/usr/ports/contrib/pure-ftpd/) и Gentoo Linux (/usr/portage/net-ftp/pure-ftpd/) .

Pure-FTPd по умолчанию является частью следующей операционной системы: EkkoBSD

Если вы хотите загрузить pureftpd, нажмите здесь

Установка сервера Pureftpd в Debian

Если вы хотите установить pureftpd в Debian, вам нужно выполнить следующую команду

Примечание. В этих пакетах используется совершенно новая схема конфигурации. Дополнительную информацию см. на странице руководства pure-ftpd-wrapper.

Для просмотра man-страницы pure-ftpd-wrapper нажмите здесь

Запуск и настройка сервера

PureFTPd имеет множество доступных опций не только при установке программы, но и при запуске демона. Здесь мы снова рассмотрим только некоторые из них, но вы всегда можете получить полный список из файла readme, прилагаемого к исходному коду, или введя следующее в командной строке вашего терминала от имени пользователя root:

Обратите внимание, что эти параметры чувствительны к регистру

-A -chroot для всех, кроме root.
-b - Игнорировать некоторые стандарты, чтобы иметь дело с неработающими клиентами, такими как Internet Explorer ;) .
-B - Запустить автономный сервер в фоновом режиме.
-c 5 - Ограничить максимальное количество клиентов до 5 (или любого другого числа, которое вам нравится, по умолчанию 50).
-C 2 - Ограничьте количество одновременных подключений с одного и того же IP-адреса до 2 (или любого другого числа, которое вам нравится).
-E - Разрешить только аутентифицированных пользователей (если вы хотите только анонимных, вы должны заменить -e).
-j -Если у пользователя нет домашнего каталога, создайте его при первом входе в систему.
-l puredb:/etc/pureftpd.pdb - Указываем путь к нашей виртуальной базе данных пользователей (подробнее об этом позже).
-R - Запретить использование команды chmod.
-u 1 - Не разрешать uid ниже 1 (или что вы выберете, запрет uid ниже 1 запрещает доступ пользователю root, обычно это хорошая идея).
-X — запретить пользователям доступ к файлам/каталогам, начинающимся с ('.').

Мы будем выдавать имена пользователей и пароли для нашего FTP-сервера, мы не будем разрешать анонимный вход в систему, здесь вступает в действие ключ -l, который мы использовали выше, PureFTPd имеет возможность управлять виртуальными пользователями, что, проще говоря, означает пользователь на самом деле не существует в вашей системе, только PureFTPd знает об этих типах пользователей. Мы делаем это с помощью другой команды PureFTPd, называемой pure-pw, но сначала нам нужно создать системного пользователя и группу, с которой будут связаны все виртуальные пользователи, буквально тысячи виртуальных пользователей могут использовать одно и то же системное имя пользователя, если они все chroot и иметь свой собственный домашний каталог. Итак, как root, введите следующие команды в командной строке терминала:

С этого момента все обслуживание виртуальных пользователей будет осуществляться с помощью pure-pw, теперь давайте продолжим и создадим нашего первого пользователя. Как всегда, существует множество опций, которые вы можете использовать при создании виртуальных пользователей, мы будем использовать некоторые из них в этом примере, но вы всегда можете получить полный список, набрав pure-pw --help в командной строке терминала или прочитав файл README.Virtual-Users, включенный в исходный код. Итак, давайте создадим пользователя, вызвавшего микрофон, введите следующую команду в терминале от имени пользователя root:

Здесь мы добавили виртуального пользователя test1, связали его с системной учетной записью пользователя ftpuser, убедились, что он будет иметь доступ к своему каталогу только путем chroot-удаления его -d, и сказали PureFTPd создать домашний каталог test1, что он будет делать на лету, когда мы запустили службу с ключом -j, упомянутым ранее. Теперь, прежде чем эту учетную запись можно будет использовать, нам нужно зафиксировать наши изменения, введите следующую команду в командной строке терминала, чтобы выполнить это:

При этом создается упомянутый ранее файл /etc/pureftpd.pdb. В этом файле содержится вся информация, связанная с вашими виртуальными пользователями. При выполнении этой команды нет необходимости перезапускать службу, поскольку она обновляется на лету, а изменения вступают в силу. эффект немедленно. Допустим, test1 забыл свой пароль и хочет его изменить, вот что вы должны сделать:

Введите новый пароль для test1, затем зафиксируйте изменения, обновив pureftpd.pdb :

Вот и все, test1 готов к работе, теперь предположим, что test1 стал обузой, и вы хотите избавиться от него, просто сделайте следующее:

Это удалит логин test1, но не его домашний каталог, при желании каталоги необходимо удалить вручную. Хорошо, теперь, когда test1 был удален, скажем, у нас есть другой пользователь по имени ruchi, и мы хотим проверить его текущие настройки учетной записи, просто введите следующую команду:

PureFTPd показывает список текущих настроек его учетной записи следующим образом:

Логин: ruchi
Пароль: $1$iHfIGmj0$jHoS4kaYt3u6Rjq2jnokE1
UID: 501 (ftpuser)
GID: 501 (ftpgroup)
Каталог: /home/ftpusers/ruchi/ ./
Полное имя:
Пропускная способность загрузки: 0 КБ (неограниченная)
Пропускная способность загрузки: 0 КБ (неограниченная)
Максимальное количество файлов: 0 (неограниченное)
Максимальный размер : 0 Мб (неограниченно)
Соотношение : 0:0 (неограниченно:неограниченно) Разрешенные локальные IP-адреса:
Запрещенные локальные IP-адреса:
Разрешенные клиентские IP-адреса:
Запрещенные клиентские IP-адреса:
/>Ограничения по времени: 0000-0000 (неограниченно)
Максимальное количество сим-сеансов: 0 (неограниченно)

Если вы установили дополнительные ограничения для учетной записи Ручи с помощью упомянутых ранее параметров, таких как квоты, регулирование пропускной способности и т. д., вы увидите их здесь.Теперь давайте предположим, что вы просто хотите увидеть, кто в данный момент зашел на ваш сервер, это так просто:

Команда выполнит и отобразит на экране красивый отформатированный список, показывающий текущих пользователей, время входа в систему, скорость, исходный IP-адрес и т. д. вам нужно видеть, кто что делает.

В основном вы просто добавляете файлы, представляющие параметры командной строки, в каталог /etc/pureftpd/conf/ . Например, чтобы настроить доверенный GID, для которого не выполняется chroot, pure-ftpd предоставляет параметр --trustedgid. Чтобы включить это как параметр конфигурации, вы создаете файл с именем TrustedGID и помещаете GID в этот файл.

Создайте символическую ссылку, чтобы добавить PureDB в методы аутентификации

Отключите аутентификацию PAM, если она вам не нужна

Отключите аутентификацию UNIX, если она вам не нужна

Если вы хотите узнать о дополнительных параметрах конфигурации pureftp, нажмите здесь

Если вам нужен веб-интерфейс сервера pureftpd или инструменты с графическим интерфейсом, нажмите здесь

Эта статья устарела и может некорректно работать с текущими операционными системами или программным обеспечением.

Введение

Pure-FTPd — это быстрый и легкий FTP-сервер, созданный с учетом требований безопасности. В этом уроке я покажу вам, как установить и использовать Pure FTP за 4 простых шага. В этом руководстве объясняется, как установить Pure FTPd в Debian 9.

1. Установка

Pure-FTPd находится в стабильном репозитории Debian, поэтому нет необходимости добавлять какие-либо дополнительные репозитории в вашу систему.

Выполните следующую команду с привилегиями root:

2. Конфигурация

Существует множество параметров, которые можно использовать для изменения поведения приложения. Эти параметры можно применить к демону Pure-FTPd при запуске или сделать их постоянными, создав необходимые файлы в каталоге conf.

• Создайте виртуальных пользователей.
• Автоматическое создание домашних каталогов для пользователей.
• Ограничьте ( chroot ) пользователей доступом только к своему домашнему каталогу.

Включите базу данных Pure-FTPd и отключите аутентификацию PAM и Unix, чтобы разрешить виртуальным пользователям:

Настройте Pure-FTPd для создания домашних каталогов для пользователей при их первом входе в систему:

Если вам интересно узнать о других вариантах, посетите страницу официальной документации.

3. Создать пользователей

Pure-FTPd может работать с виртуальными пользователями, что означает, что они хранятся в базе данных Pure-FTPd и не связаны с системными пользователями Linux.

Чтобы Pure-FTPd мог управлять файлами с виртуальными пользователями, нам нужно создать пользователя и группу Linux, в которой будут связаны все виртуальные пользователи. Все виртуальные пользователи могут использовать одного и того же системного пользователя и группу, если они находятся в chroot.

Выполните следующие команды, чтобы создать системного пользователя и группу:

Примечание. Мы не хотим, чтобы у этого пользователя был домашний каталог или возможность входа в систему.

Создайте корневой каталог FTP:

Создайте виртуального пользователя в Pure-FTPd:

Мы добавили нашего первого виртуального пользователя ( alex ) и связали его с системным пользователем/группой ( ftpusr ). Все файлы, которые вы пишете с помощью alex, будут принадлежать ftpusr в системе.

Обновление базы данных Pure-FTPd:

Проверьте информацию о пользователе:

Чтобы упростить жизнь, используйте следующий сценарий для добавления учетных записей FTP:

Теперь создавать учетные записи FTP просто:

4. Поддержка TLS

Во-первых, нам нужно установить OpenSSL.

Заставить Pure-FTPd использовать TLS, или мы можем сделать его необязательным, что означает, что принимаются как небезопасные, так и TLS-соединения

Создайте каталог для хранения наших ключей.

Создайте пакетный ключ (закрытый ключ и открытый ключ).

Перезапустите демон pure-ftpd.

Если в вашей системе установлен брандмауэр или ваш сервер находится за NAT, вы должны определить пассивные порты в Pure-FTPd и открыть эти порты в своем брандмауэре, иначе вы получите такие ошибки:

Установите пассивные порты в Pure-FTPd:

Перезапустите pure-ftpd, чтобы изменения вступили в силу.

В брандмауэре откройте диапазон входящих портов от 40110 до 42210, протокол TCP.

FTP небезопасен по своей природе, но его также легко и быстро настроить. Для более безопасного решения используйте SFTP.

Pure-FTPd активно поддерживается, и он всегда разрабатывался с учетом требований безопасности, а код всегда подвергается повторной проверке по мере обсуждения новых видов уязвимостей.

Сервер может работать с разделением привилегий для обеспечения параноидальной безопасности. Он даже может работать на 100 % без полномочий root благодаря встроенной эмуляции chroot() и виртуальным учетным записям.

Можно избежать передачи паролей и команд в открытом виде: Pure-FTPd имеет дополнительную поддержку уровня шифрования SSL/TLS с использованием библиотеки OpenSSL.

Pure-FTPd работает на вашем сервере

Один и тот же исходный код компилируется и работает в Linux, MacOS, OpenBSD, NetBSD, DragonflyBSD, FreeBSD, Solaris и их производных, Tru64, Irix, HPUX и AIX.

Предварительно собранные двоичные пакеты доступны практически для всех поддерживаемых операционных систем.

Pure-FTPd говорит на вашем языке

Все сообщения сервера переведены на английский, немецкий, румынский, французский, польский, испанский, датский, голландский, итальянский, бразильский португальский, словацкий, корейский, шведский, норвежский, русский, традиционный китайский, упрощенный китайский, чешский, турецкий, венгерский и каталонский.

Он помогает вашим клиентам понять диагностику, даже если английский не является их родным языком.

Сообщения находятся в независимых файлах, и их можно легко перевести на новые языки или настроить.

Реализовано прозрачное преобразование клиентских кодировок в кодировки файловой системы с поддержкой UTF-8.

Отличный выбор для новичков

Новички могут установить сервер Pure-FTPd за 5 минут. Это может быть так же просто, как установить пакет, ввести pure-ftpd & и… вот и все. У вас уже есть работающий сервер, и клиенты могут начать подключаться.

Нет необходимости просматривать длинный и сложный файл конфигурации, где возможные ошибки могут повлиять на безопасность и надежность. Pure-FTPd использует простые переключатели командной строки для включения необходимых вам функций.

Вы можете ограничить количество одновременных пользователей, ограничить их пропускную способность, чтобы избежать голодания соединения, скрыть системные файлы ( chroot ), настроить соотношение загрузки/выгрузки и модерировать новые загрузки. Пользовательские сообщения могут отображаться во время входа в систему (даже при изменении файлов удачи) и когда пользователь входит в новый каталог. Кроме того, чтобы ваши диски не заполнялись, вы можете определить максимальный процент, и новые загрузки будут запрещены, как только этот процент будет достигнут.

Реализован протокол FXP (сервер-сервер). Он может быть доступен всем или только пользователям, прошедшим проверку подлинности.

Дети используют обычные инструменты грубой силы, которые пытаются обнаружить скрытые каталоги. Pure-FTPd обеспечивает защиту от этого. Анонимный доступ защищен по умолчанию. Например, пользователи не могут получить доступ к точечным файлам ( .bash_history , .rhosts , …), если вы явно не разрешите это.

А чтобы посмотреть, кто что делает, команда pure-ftpwho показывает таблицу с текущими активными сеансами, сколько пропускной способности использует каждый пользователь, какие файлы они загружают или скачивают, откуда они поступают и т. д.

Высокая гибкость для интернет-провайдеров и услуг хостинга

• Системные учетные записи могут сразу получить доступ к FTP. Также поддерживается аутентификация через модули PAM. Учетные записи ниже uid (например, для учетных записей демона) могут быть запрещены.
• По умолчанию все учетные записи могут быть легко защищены chroot. Для удобства администрирования можно определить «доверенную» группу без chroot.
• Учетные записи FTP могут отличаться от системных учетных записей и храниться в независимой базе данных. Несколько учетных записей могут иметь один и тот же системный идентификатор. Встроенная база данных индексирования позволяет очень быстро выполнять поиск. Он успешно работает с более чем 1,5 миллионами учетных записей на одном сервере. Системные учетные записи можно копировать в виртуальные учетные записи FTP, чтобы пользователи могли иметь разные пароли для доступа к командной оболочке и FTP.
• Аутентификация LDAP также полностью поддерживается. Pure-FTPd был успешно протестирован с OpenLDAP и iPlanet Directory Server. Он использует стандартные классы posixAccounts.
• Встроенные безопасные криптографические хэши можно использовать с любым сервером LDAP, даже с теми, которые не поддерживают эти хэши.
• Информация о пользователе также может быть централизована в базах данных MySQL с транзакциями или без них. Все запросы полностью настраиваются, и запросы могут быть созданы с именами пользователей, адресами удаленных клиентов, локальными IP-адресами и портами. Таким образом, сложные правила хостинга могут быть легко реализованы даже при наличии нескольких виртуальных серверов на одном хосте и нескольких виртуальных доменов со многими пользователями.
• Несколько методов аутентификации могут быть объединены в цепочку в любом порядке. Например, одновременно можно использовать учетные записи SQL, каталоги LDAP и системные учетные записи.
• Можно легко добавить собственные методы проверки подлинности. Pure-FTPd поддерживает внешние модули аутентификации, а написать новый бэкенд можно так же просто, как написать несколько строк сценария оболочки.
• Pure-FTPd поддерживает систему виртуальных квот: учетные записи могут иметь индивидуальную квоту (максимальное количество файлов, максимальный общий размер), даже если они используют один и тот же системный идентификатор пользователя.
• Поддерживается регулирование пропускной способности с отдельными настройками для загрузки и скачивания.
• Каждому пользователю можно назначить индивидуальную квоту, соотношение и пропускную способность.
• Каждому пользователю может быть разрешено подключение только из определенного диапазона IP-адресов или только к его собственному виртуальному хосту.
• Каждый пользователь может быть индивидуально ограничен своим домашним каталогом или нет.
• Каждому пользователю может быть разрешено подключение только в настроенные периоды времени (например, только в рабочее время).
• Система защиты от вареза запрещает пользователям торговать, если они нашли общедоступный каталог с возможностью записи. Файлы, принадлежащие анонимным ftp-пользователям, не могут быть загружены (системный администратор должен модерировать их, меняя владельца). Кроме того, пользователи ftp по умолчанию не могут создавать каталоги для скрытия файлов.
• Любой сценарий внешней оболочки можно вызвать после успешной загрузки. Сканеры вирусов и архивация баз данных легко настраиваются.
• Можно установить максимальное количество одновременных подключений с одного и того же IP-адреса, чтобы избежать нехватки полосы пропускания и атак типа "отказ в обслуживании".
• Загрузки могут быть запрещены, если нагрузка на систему слишком высока.
• В списках каталогов указано максимальное количество файлов, которое можно настроить. Рекурсивные списки полностью поддерживаются с настраиваемой максимальной глубиной. Таким образом, вы можете предоставить своим пользователям рекурсивный поиск без простого отказа в обслуживании.
• Команда pure-ftpwho предоставляет в режиме реального времени отчеты о том, кто и что делает на FTP-сервере, в том числе об использовании полосы пропускания. Результатом может быть полноценная веб-страница, и программа также может работать как стандартная программа CGI, совместимая с любым веб-сервером. Также доступны XML и текстовые отчеты, а также компактный и легко анализируемый формат для сценариев оболочки.
• Файлы журналов точны и используют стандартные средства системного журнала. Могут быть созданы дополнительные файлы журналов, подобные Apache ( CLF ). Они совместимы со всеми программами веб-статистики. Также реализован расширенный формат под названием Stats, который работает с передовым программным обеспечением статистики FTP сторонних производителей, таким как FTPStats и ModLogAn. FTPStats предоставляет подробную статистику по каждому пользователю.
• Домашние каталоги можно создавать по требованию. Это особенно полезно для серверных частей LDAP и SQL: просто вставьте строку в базу данных, и учетная запись готова к работе. Нет необходимости создавать какой-либо каталог для этого пользователя: он будет создан автоматически при первом входе в систему.
• На одном компьютере можно разместить несколько виртуальных FTP-серверов с независимым доверенным IP-адресом для администрирования.
• Доступ к точечным файлам можно ограничить, чтобы пользователи не могли читать/записывать каталоги .ssh, файлы .bash_history, файлы .rhosts и т. д.
• Безопасные разрешения применяются к домашним каталогам пользователей. Клиенты не могут по ошибке отключить свои учетные записи с помощью небезопасной команды «chmod 0 /». Команду «chmod» также можно полностью отключить.
• Несколько серверов Pure-FTPd с разными настройками могут работать на одном хосте без каких-либо конфликтов.
• Pure-FTPd может выступать в качестве частного FTP-сервера и запрещать все анонимные подключения независимо от системной учетной записи «ftp». С другим переключателем сервер может быть только анонимным и отказываться от подключений ко всем учетным записям оболочки.
• По символическим ссылкам можно переходить, когда пользователи находятся в chroot-окружении, даже если они указывают на chroot-тюрьму. Эта уникальная функция упрощает настройку общего контента.
• Псевдонимы каталогов можно включить, чтобы обеспечить быстрый доступ к общим каталогам.
• Загрузки действительно атомарны. Веб-серверы не будут обслуживать частичные изображения или поврежденные PHP-скрипты при загрузке файлов, даже если содержимое обновляется.

Совместимость с существующими спецификациями, клиентами и серверами

Pure-FTPd имеет одну из наиболее полных реализаций спецификаций протокола FTP. Он включает в себя основы протокола, а также современные расширения, такие как MLST/MLSD (расширяемые и зеркально-безопасные списки каталогов).

Соответствие RFC отличное, но в реальной жизни есть много клиентов с ошибками. Вот почему Pure-FTPd также имеет обходные пути для некоторых версий популярных клиентов Windows, которые полностью нарушают протокол FTP. Pure-FTPd также работает со сломанными самодельными клиентами, которые неправильно завершают линии.

Поэтому, если ваша текущая установка работает с другим FTP-сервером, вы можете безопасно перейти на Pure-FTPd, ничего не сломав и не получив жалоб от клиентов: для них все будет работать как прежде, а миграция будет прозрачной.

IPv6 полностью поддерживается. Реализованы расширения протокола EPSV/EPRT IPv6, и все параметры конфигурации и функции ведения журнала также работают с IPv4 и IPv6.

Pure-FTPd — это первый демон, реализующий ESTA и ESTP. Эти две команды гарантируют надежное FTP-подключение для передачи данных, чтобы повысить безопасность на уровне протокола.

Межсетевой экран очень прост: Pure-FTPd может ограничивать диапазон портов для пассивных подключений, принудительно объявлять IP-адреса для маскировки шлюзов или отключать пассивные подключения для работы со сломанными переадресаторами портов.

Читайте также:

  
• Как пользоваться медузой Kali linux
  
• Как включить шумоподавление на AirPods Pro в Windows
  
• Как сделать ярлык приложения из магазина Windows 10
  
• Windows 10 не видит принтер canon lbp 2900
  
• Как установить windows 7 с флешки на ноутбук lenovo g50 45