序章

FTPは、 File Transfer Protocol の略で、クライアントとサーバー間でファイルを移動するためにかつて広く使用されていたネットワークプロトコルです。 FTPは、非常に特殊なニーズを持つレガシーアプリケーションとワークフローをサポートするために引き続き使用されます。 プロトコルを選択できる場合は、ファイルの配信に、より効率的で、安全で、便利な最新のオプションを検討してください。 たとえば、Webブラウザから直接ダウンロードするインターネットユーザーは、 https、およびなどの安全なプロトコルを使用するコマンドラインユーザー scp またはSFTP

vsftpd、非常に安全なFTPデーモンは、Linuxを含む多くのUnixに似たシステムのFTPサーバーであり、多くのLinuxディストリビューションのデフォルトのFTPサーバーでもあります。 vsftpdは、セキュリティ、パフォーマンス、および安定性を最適化するのに役立ちます。 また、他のFTPサーバーで見られるセキュリティ問題に対する強力な保護も提供します。 vsftpdは、仮想IPD構成、SSL統合による暗号化サポートなどを処理できます。

このチュートリアルでは、SSL/TLSで保護されたログイン資格情報を使用してFTPを使用してユーザーがホームディレクトリにファイルをアップロードできるようにvsftpdを構成します。 また、オープンソースのFTPクライアントであるFileZillaを使用してサーバーに接続し、TLS暗号化をテストします。

前提条件

このチュートリアルに従うには、次のものが必要です。

  • 最初に必要なのは、Ubuntu 20.04サーバー、sudo権限を持つroot以外のユーザー、および有効なファイアウォールです。 これを行う方法の詳細については、 Ubuntu20.04を使用したサーバーの初期設定ガイドを参照してください。

  • 次に必要なのは、ローカルマシンにインストールおよび構成されたオープンソースのFTPクライアントであるFileZillaです。 これにより、クライアントがTLSを介してサーバーに接続できるかどうかをテストできます。 このチュートリアルからDebianおよびUbuntuシステムにFileZillaをインストールするための手順と、他のシステムにインストールするための手順へのリンクを見つけることができます。

ステップ1—vsftpdをインストールする

パッケージリストを更新することから始めます。

  1. sudo apt update

次に、 vsftpd デーモン:

  1. sudo apt install vsftpd

インストールが完了したら、構成ファイルをコピーして、元の構成をバックアップとして保存しながら、空の構成から開始できるようにします。

  1. sudo cp /etc/vsftpd.conf /etc/vsftpd.conf.orig

構成のバックアップが整ったら、ファイアウォールを構成する準備が整います。

ステップ2—ファイアウォールを開く

まず、ファイアウォールのステータスをチェックして、ファイアウォールが有効になっているかどうかを確認します。 そうである場合は、ファイアウォールルールがテストをブロックしないようにFTPトラフィックが許可されるように調整します。

ファイアウォールのステータスを確認します。

  1. sudo ufw status

この出力は、ファイアウォールがアクティブであり、SSHのみが通過を許可されていることを示しています。

Output
Status: active To Action From -- ------ ---- OpenSSH ALLOW Anywhere OpenSSH (v6) ALLOW Anywhere (v6)

他のルールが設定されているか、ファイアウォールルールがまったくない可能性があります。 SSHトラフィックのみが許可されているため、FTPトラフィックのルールを追加する必要があります。

ポートを開くことから始めます 20, 21、 と 990 したがって、TLSを有効にすると準備が整います。

  1. sudo ufw allow 20,21,990/tcp

次に、ポートを開きます 40000-50000 構成ファイルで設定するパッシブポートの範囲については、次のとおりです。

  1. sudo ufw allow 40000:50000/tcp

ファイアウォールのステータスを確認します。

  1. sudo ufw status

ファイアウォールルールの出力は次のように表示されます。

Output
Status: active To Action From -- ------ ---- OpenSSH ALLOW Anywhere 20,21,990/tcp ALLOW Anywhere 40000:50000/tcp ALLOW Anywhere OpenSSH (v6) ALLOW Anywhere (v6) 20,21,990/tcp (v6) ALLOW Anywhere (v6) 40000:50000/tcp (v6) ALLOW Anywhere (v6)

vsftpd インストールされ、必要なポートが開いたら、専用のFTPユーザーを作成します。

ステップ3—ユーザーディレクトリの準備

このステップでは、専用のFTPユーザーを作成します。 ただし、FTPアクセスを必要とするユーザーがすでにいる場合があります。 このガイドでは、既存のユーザーのデータへのアクセスを維持する方法の概要を説明しますが、それでも、既存のユーザーを再構成する前に、セットアップを構成してテストするまで、新しい専用FTPユーザーから始めることをお勧めします。

テストユーザーを追加することから始めます。

  1. sudo adduser sammy

プロンプトが表示されたら、パスワードを割り当てます。 お気軽に ENTER これらの詳細はこのステップの目的にとって重要ではないため、次のプロンプトをスキップしてください。

ユーザーが特定のディレクトリに制限されている場合、FTPは一般的に安全です。 vsftpd chrootジェイルでこれを実現します。 いつ chroot ローカルユーザーに対して有効になっている場合、デフォルトではホームディレクトリに制限されています。 以来 vsftpd 特定の方法でディレクトリを保護します。ユーザーが書き込み可能であってはなりません。 これは、FTP経由でのみ接続する必要がある新規ユーザーには問題ありませんが、既存のユーザーがシェルアクセスも持っている場合は、ホームフォルダーに書き込む必要がある場合があります。

この例では、ホームディレクトリから書き込み権限を削除するのではなく、 ftp として機能するディレクトリ chroot と書き込み可能 files 実際のファイルを保持するディレクトリ。

を作成します ftp フォルダ:

  1. sudo mkdir /home/sammy/ftp

所有権を設定します。

  1. sudo chown nobody:nogroup /home/sammy/ftp

書き込み権限を削除します。

  1. sudo chmod a-w /home/sammy/ftp

権限を確認します。

  1. sudo ls -la /home/sammy/ftp
Output
total 8 dr-xr-xr-x 2 nobody nogroup 4096 Sep 14 20:28 . drwxr-xr-x 3 sammy sammy 4096 Sep 14 20:28 ..

次に、ファイルをアップロードするためのディレクトリを作成します。

  1. sudo mkdir /home/sammy/ftp/files

次に、ユーザーに所有権を割り当てます。

  1. sudo chown sammy:sammy /home/sammy/ftp/files

の権限チェック ftp ディレクトリは次の出力を返す必要があります。

  1. sudo ls -la /home/sammy/ftp
Output
total 12 dr-xr-xr-x 3 nobody nogroup 4096 Sep 14 20:30 . drwxr-xr-x 3 sammy sammy 4096 Sep 14 20:28 .. drwxr-xr-x 2 sammy sammy 4096 Sep 14 20:30 files

最後に、 test.txt テストに使用するファイル:

  1. echo "vsftpd test file" | sudo tee /home/sammy/ftp/files/test.txt
Output
vsftpd test file

これで、 ftp ディレクトリとユーザーにアクセスを許可しました files ディレクトリ、次に構成を変更します。

ステップ4—FTPアクセスの構成

この手順では、ローカルシェルアカウントを持つ1人のユーザーがFTPに接続できるようにします。 このための2つの主要な設定はすでに設定されています vsftpd.conf. お好みのテキストエディタを使用してこのファイルを開きます。 ここでは、 nano:

  1. sudo nano /etc/vsftpd.conf

ファイルを開いたら、次のことを確認します。 anonymous_enable ディレクティブはに設定されます NO そしてその local_enable ディレクティブはに設定されます YES:

/etc/vsftpd.conf
. . .
# Allow anonymous FTP? (Disabled by default).
anonymous_enable=NO
#
# Uncomment this to allow local users to log in.
local_enable=YES
. . .

これらの設定は、匿名ログインを防止し、ローカルログインを許可します。 ローカルログインを有効にすると、 /etc/passwd ファイルを使用してログインできます。

一部のFTPコマンドを使用すると、ユーザーはファイルシステム上のファイルやディレクトリを追加、変更、または削除できます。 コメントを外してこれらのコマンドを有効にします write_enable 設定。 ポンド記号を削除することでこれを行うことができます(#)このディレクティブの前:

/etc/vsftpd.conf
. . .
write_enable=YES
. . .

コメントを外す chroot FTP接続されたユーザーがディレクトリツリー外のファイルやコマンドにアクセスできないようにするには、次の手順に従います。

/etc/vsftpd.conf
. . .
chroot_local_user=YES
. . .

次に、 user_sub_token 値が $USER 環境変数。 次に、 local_root ディレクティブを設定し、表示されているパスに設定します。これには、 $USER 環境変数。 この設定により、この構成により、ログイン時にこのユーザーと将来のユーザーを適切なユーザーのホームディレクトリにルーティングできるようになります。 次の設定をファイルの任意の場所に追加します。

/etc/vsftpd.conf
. . .
user_sub_token=$USER
local_root=/home/$USER/ftp

パッシブFTPに使用できるポートの範囲を制限して、十分な接続が利用できるようにします。

/etc/vsftpd.conf
. . .
pasv_min_port=40000
pasv_max_port=50000

注:手順2で、ここでパッシブポート範囲に設定されているポートを開きました。 これらの値を変更する場合は、必ずファイアウォール設定を更新してください。

ケースバイケースでFTPアクセスを許可するには、ユーザーがデフォルトではなく、リストに明示的に追加された場合にのみアクセスできるように構成を設定します。

/etc/vsftpd.conf
. . .
userlist_enable=YES
userlist_file=/etc/vsftpd.userlist
userlist_deny=NO

userlist_deny ロジックを切り替えます:に設定されている場合 YES、リストのユーザーはFTPアクセスを拒否されます。 に設定されている場合 NO、リスト上のユーザーのみがアクセスを許可されます。

変更が完了したら、ファイルを保存してエディターを終了します。 使用した場合 nano ファイルを編集するには、を押して編集できます CTRL + X, Y、 それから ENTER.

最後に、ユーザーをに追加します /etc/vsftpd.userlist. 使用 -a ファイルに追加するフラグ:

  1. echo "sammy" | sudo tee -a /etc/vsftpd.userlist

期待どおりに追加されたことを確認します。

  1. cat /etc/vsftpd.userlist
Output
sammy

デーモンを再起動して、構成の変更をロードします。

  1. sudo systemctl restart vsftpd

構成が整ったら、FTPアクセスをテストできます。

ステップ5—FTPアクセスのテスト

ユーザーsammyのみがFTP経由で接続できるようにサーバーを構成しました。 ここで、これが期待どおりに機能することを確認します。

匿名アクセスを無効にしているので、匿名で接続してテストできます。 構成が適切に設定されている場合、匿名ユーザーは許可を拒否される必要があります。 別のターミナルウィンドウを開き、次のコマンドを実行します。 必ず交換してください 203.0.113.0 サーバーのパブリックIPアドレスを使用:

  1. ftp -p 203.0.113.0

ユーザー名の入力を求められたら、匿名などの存在しないユーザーとしてログインしてみてください。次の出力が表示されます。

Output
Connected to 203.0.113.0. 220 (vsFTPd 3.0.3) Name (203.0.113.0:default): anonymous 530 Permission denied. ftp: Login failed. ftp>

接続を閉じます。

  1. bye

sammy以外のユーザーも接続に失敗するはずです。 sudoユーザーとして接続してみてください。 また、アクセスを拒否する必要があります。また、パスワードの入力が許可される前にアクセスを拒否する必要があります。

  1. ftp -p 203.0.113.0
Output
Connected to 203.0.113.0. 220 (vsFTPd 3.0.3) Name (203.0.113.0:default): sudo_user 530 Permission denied. ftp: Login failed. ftp>

接続を閉じます。

  1. bye

一方、ユーザー sammy は、ファイルの接続、読み取り、および書き込みができる必要があります。 指定されたFTPユーザーが接続できることを確認してください。

  1. ftp -p 203.0.113.0
Output
Connected to 203.0.113.0. 220 (vsFTPd 3.0.3) Name (203.0.113.0:default): sammy 331 Please specify the password. Password: your_user's_password 230 Login successful. Remote system type is UNIX. Using binary mode to transfer files. ftp>

今、に変更します files ディレクトリ:

  1. cd files
Output
250 Directory successfully changed.

次に、実行します get 以前に作成したテストファイルをローカルマシンに転送するには、次の手順に従います。

  1. get test.txt
Output
227 Entering Passive Mode (203,0,113,0,169,12). 150 Opening BINARY mode data connection for test.txt (17 bytes). 226 Transfer complete. 17 bytes received in 0.00 secs (4.5496 kB/s) ftp>

次に、新しい名前でファイルをアップロードして、書き込み権限をテストします。

  1. put test.txt upload.txt
Output
227 Entering Passive Mode (203,0,113,0,164,71). 150 Ok to send data. 226 Transfer complete. 17 bytes sent in 0.00 secs (5.3227 kB/s)

接続を閉じます。

  1. bye

構成をテストしたので、次にサーバーをさらに保護するための手順を実行します。

ステップ6—トランザクションの保護

FTPはユーザー資格情報を含む転送中のデータを暗号化しないため、TLS/SSLを有効にしてその暗号化を提供できます。 最初のステップは、で使用するSSL証明書を作成することです vsftpd.

使用する openssl 新しい証明書を作成し、 -days 1年間有効にするフラグ。 同じコマンドで、2048ビットのRSA秘密鍵を追加します。 両方を設定することにより -keyout-out 同じ値のフラグ、秘密鍵と証明書は同じファイルに配置されます。

  1. sudo openssl req -x509 -nodes -days 365 -newkey rsa:2048 -keyout /etc/ssl/private/vsftpd.pem -out /etc/ssl/private/vsftpd.pem

証明書のアドレス情報を入力するように求められます。 強調表示された値を独自の情報に置き換えます。

Output
Generating a 2048 bit RSA private key ............................................................................+++ ...........+++ writing new private key to '/etc/ssl/private/vsftpd.pem' ----- You are about to be asked to enter information that will be incorporated into your certificate request. What you are about to enter is what is called a Distinguished Name or a DN. There are quite a few fields but you can leave some blank For some fields there will be a default value, If you enter '.', the field will be left blank. ----- Country Name (2 letter code) [AU]:US State or Province Name (full name) [Some-State]:NY Locality Name (eg, city) []:New York City Organization Name (eg, company) [Internet Widgits Pty Ltd]:DigitalOcean Organizational Unit Name (eg, section) []: Common Name (e.g. server FQDN or YOUR name) []: your_server_ip Email Address []:

証明書フラグの詳細については、 OpenSSL Essentials:SSL証明書、秘密鍵、およびCSRの操作を参照してください。

証明書を作成したら、 vsftpd 構成ファイルをもう一度:

  1. sudo nano /etc/vsftpd.conf

ファイルの下部に向かって、で始まる2行があります rsa_. 各行の前にポンド記号(#):

/etc/vsftpd.conf
. . .
# rsa_cert_file=/etc/ssl/certs/ssl-cert-snakeoil.pem
# rsa_private_key_file=/etc/ssl/private/ssl-cert-snakeoil.key
. . .

これらの行の後に、作成した証明書と秘密鍵を指す次の行を追加します。

/etc/vsftpd.conf
. . .
rsa_cert_file=/etc/ssl/private/vsftpd.pem
rsa_private_key_file=/etc/ssl/private/vsftpd.pem
. . .

次に、SSLの使用を強制します。これにより、TLSを処理できないクライアントが接続できなくなります。 これは、すべてのトラフィックが暗号化されていることを確認するために必要ですが、FTPユーザーがクライアントを変更することを余儀なくされる可能性があります。 変化する ssl_enableYES:

/etc/vsftpd.conf
. . .
ssl_enable=YES
. . .

次に、次の行を追加して、SSLを介した匿名接続を明示的に拒否し、データ転送とログインの両方にSSLを要求します。

/etc/vsftpd.conf
. . .
allow_anon_ssl=NO
force_local_data_ssl=YES
force_local_logins_ssl=YES
. . .

次に、次の行を追加して、SSLの優先後継であるTLSを使用するようにサーバーを構成します。

/etc/vsftpd.conf
. . .
ssl_tlsv1=YES
ssl_sslv2=NO
ssl_sslv3=NO
. . .

最後に、最後に2つのオプションを追加します。 1つ目は、多くのFTPクライアントを破壊する可能性があるため、SSLの再利用は必要ありません。 2つ目は、「高」暗号化暗号スイートを必要とします。これは、現在、128ビット以上のキー長を意味します。

/etc/vsftpd.conf
. . .
require_ssl_reuse=NO
ssl_ciphers=HIGH
. . .

これらの変更をすべて行った後、ファイルのこのセクションがどのように表示されるかを次に示します。

/etc/vsftpd.conf
# This option specifies the location of the RSA certificate to use for SSL
# encrypted connections.
#rsa_cert_file=/etc/ssl/certs/ssl-cert-snakeoil.pem
#rsa_private_key_file=/etc/ssl/private/ssl-cert-snakeoil.key
rsa_cert_file=/etc/ssl/private/vsftpd.pem
rsa_private_key_file=/etc/ssl/private/vsftpd.pem
ssl_enable=YES
allow_anon_ssl=NO
force_local_data_ssl=YES
force_local_logins_ssl=YES
ssl_tlsv1=YES
ssl_sslv2=NO
ssl_sslv3=NO
require_ssl_reuse=NO
ssl_ciphers=HIGH

完了したら、ファイルを保存して閉じます。 使用した場合 nano、を押して終了できます CTRL + X, Y、 それから ENTER.

変更を有効にするためにサーバーを再起動します。

  1. sudo systemctl restart vsftpd

この時点で、安全でないコマンドラインクライアントに接続できなくなります。 試してみると、次のメッセージが表示されます。

Output
ftp -p 203.0.113.0 Connected to 203.0.113.0. 220 (vsFTPd 3.0.3) Name (203.0.113.0:default): sammy 530 Non-anonymous sessions must use encryption. ftp: Login failed. 421 Service not available, remote server has closed connection ftp>

次に、FileZillaなどのTLSをサポートするクライアントを使用して接続できることを確認します。

ステップ7—FileZillaを使用したTLSのテスト

最新のFTPクライアントのほとんどは、TLS暗号化を使用するように構成できます。 ここでは、クロスプラットフォームをサポートしているFileZillaに接続する方法を示します。 他のクライアントのドキュメントを参照してください。

FileZillaを初めて開いたときに、一番上の行の左端のアイコンであるHostという単語の上にあるSiteManagerアイコンを見つけます。 このボタンをクリックします。

新しいウィンドウが開きます。 右下の新しいサイトボタンをクリックします。

マイサイトの下に、新しいサイトという単語が付いた新しいアイコンが表示されます。 今すぐ名前を付けるか、後で戻って名前の変更ボタンを使用できます。

Hostフィールドに名前またはIPアドレスを入力します。 暗号化ドロップダウンメニューで、TLSを介した明示的なFTPを要求するを選択します。

ログオンタイプで、パスワードを要求を選択します。 ユーザーフィールドにFTPユーザーを入力します。

インターフェイスの下部にある接続ボタンをクリックします。 ユーザーのパスワードの入力を求められます。

OKを選択して接続します。 これで、TLS/SSL暗号化を使用してサーバーに接続する必要があります。

次に、次のようなサーバー証明書が表示されます。

証明書を受け入れたら、ダブルクリックします。 files フォルダとドラッグ upload.txt 左側にファイルをダウンロードできることを確認します。

それが終わったら、ローカルコピーを右クリックして、名前を次のように変更します upload-tls.txt サーバーにドラッグして戻し、ファイルをアップロードできることを確認します。

これで、SSL/TLSを有効にしてファイルを安全かつ正常に転送できることを確認しました。

手順8—シェルアクセスの無効化(オプション)

クライアントの要件のためにTLSを使用できない場合は、FTPユーザーが他の方法でログインする機能を無効にすることで、ある程度のセキュリティを確保できます。 これを防ぐ1つの方法は、カスタムシェルを作成することです。 これは暗号化を提供しませんが、FTPでアクセス可能なファイルへの侵害されたアカウントのアクセスを制限するために行う価値があるかもしれません。

まず、というファイルを開きます ftponly の中に bin ディレクトリ:

  1. sudo nano /bin/ftponly

ログインできない理由をユーザーに伝えるメッセージを追加します。

/ bin / ftponly
#!/bin/sh
echo "This account is limited to FTP access only."

ファイルを保存して、エディターを終了します。 使用した場合 nano、を押して終了できます CTRL + X, Y、 それから ENTER.

次に、アクセス許可を変更して、ファイルを実行可能にします。

  1. sudo chmod a+x /bin/ftponly

有効なシェルのリストを開きます。

  1. sudo nano /etc/shells

下部に次を追加します。

/ etc / shells
. . .
/bin/ftponly

次のコマンドを使用して、ユーザーのシェルを更新します。

  1. sudo usermod sammy -s /bin/ftponly

次に、sammyとしてサーバーにログインしてみてください。

  1. ssh sammy@your_server_ip

次のメッセージが表示されます。

Output
This account is limited to FTP access only. Connection to 203.0.113.0 closed.

これにより、ユーザーはもはやできなくなります ssh サーバーへのアクセスであり、FTPアクセスのみに制限されています。 サーバーへのログイン時にエラーメッセージが表示された場合は、サーバーがパスワード認証を受け入れていない可能性があることに注意してください。 パスワードベースの認証を使用すると、サーバーが攻撃に対して脆弱になる可能性があるため、パスワード認証を無効にすることを検討することをお勧めします。 SSHキーベースの認証をすでに構成している場合は、このチュートリアルのステップ4 で、サーバーでパスワード認証を無効にする方法について詳しく知ることができます。

結論

このチュートリアルでは、ローカルアカウントを持つユーザーのFTPを設定する方法を説明しました。 外部認証ソースを使用する必要がある場合は、調査することをお勧めします vsftpdの仮想ユーザーのサポート。 これは、 PAM、Pluggable Authentication Modules を使用することで豊富なオプションのセットを提供し、LDAPやKerberosなどの別のシステムでユーザーを管理する場合に適しています。 詳細については、 vsftpdの機能、最新リリース、および更新についても読むことができます。