it-swarm.com.ru

Настройка FTP на Amazon Cloud Server

Я пытаюсь настроить FTP на Amazon Cloud Server, но без удачи .. Я ищу по сети, и нет конкретных шагов, как это сделать.

Я нашел эти команды для запуска:

$ yum install vsftpd
$ ec2-authorize default -p 20-21
$ ec2-authorize default -p 1024-1048
$ vi /etc/vsftpd/vsftpd.conf
#<em>---Add following lines at the end of file---</em>
    pasv_enable=YES
    pasv_min_port=1024
    pasv_max_port=1048
    pasv_address=<Public IP of your instance>
$ /etc/init.d/vsftpd restart

Но я не знаю, где их написать.

246
SharkTheDark

Jaminto отлично справился с ответом на вопрос, но недавно я сам прошел через этот процесс и хотел бы расширить ответ Jaminto.

Я предполагаю, что вы уже создали экземпляр EC2 и связали с ним Elastic IP Address.


Шаг № 1: Установите vsftpd

SSH к вашему серверу EC2. Тип:

> Sudo yum install vsftpd

Это должно установить vsftpd .

Шаг № 2: Откройте порты FTP на вашем экземпляре EC2

Затем вам нужно открыть порты FTP на вашем сервере EC2. Войдите в консоль управления AWS EC2 и выберите «Группы безопасности» в дереве навигации слева. Выберите группу безопасности, назначенную вашему экземпляру EC2. Затем выберите вкладку «Входящие» и нажмите «Изменить»:

enter image description here

Добавьте два пользовательских TCP правила с диапазонами портов 20-21 и 1024-1048. В качестве источника вы можете выбрать «Где угодно». Если вы решили установить для источника свой собственный IP-адрес, имейте в виду, что ваш IP-адрес может измениться, если он назначается через DHCP.

enter image description here



Шаг № 3: Обновите файл vsftpd.conf

Отредактируйте файл conf vsftpd, набрав:

> Sudo vi /etc/vsftpd/vsftpd.conf

Отключите анонимный FTP, изменив эту строку:

anonymous_enable=YES

в 

anonymous_enable=NO

Затем добавьте следующие строки в конец файла vsftpd.conf:

pasv_enable=YES
pasv_min_port=1024
pasv_max_port=1048
pasv_address=<Public IP of your instance> 

Ваш файл vsftpd.conf должен выглядеть примерно так: за исключением того, что обязательно замените pasv_address на ваш публичный IP-адрес:

enter image description here

Чтобы сохранить изменения, нажмите escape, затем введите :wq, затем нажмите enter.



Шаг № 4: Перезапустите vsftpd

Перезапустите vsftpd, набрав:

> Sudo /etc/init.d/vsftpd restart

Вы должны увидеть сообщение, которое выглядит так:

enter image description here


Если это не сработает, попробуйте:

> Sudo /sbin/service vsftpd restart



Шаг № 5: Создать пользователя FTP

Если вы загляните в/etc/vsftpd/user_list, вы увидите следующее:

# vsftpd userlist
# If userlist_deny=NO, only allow users in this file
# If userlist_deny=YES (default), never allow users in this file, and
# do not even Prompt for a password.
# Note that the default vsftpd pam config also checks /etc/vsftpd/ftpusers
# for users that are denied.
root
bin
daemon
adm
lp
sync
shutdown
halt
mail
news
uucp
operator
games
nobody

Это в основном говорит: «Не позволяйте этим пользователям доступ по FTP». vsftpd разрешит FTP-доступ любому пользователю, которого нет в этом списке.

Поэтому для создания новой учетной записи FTP вам может потребоваться создать нового пользователя на вашем сервере. (Или, если у вас уже есть учетная запись пользователя, которой нет в/etc/vsftpd/user_list, вы можете перейти к следующему шагу.)

Создать нового пользователя на экземпляре EC2 довольно просто. Например, чтобы создать пользователя 'bret', введите:

> Sudo adduser bret
> Sudo passwd bret

Вот как это будет выглядеть:

enter image description here



Шаг № 6: Ограничение пользователей их домашними каталогами

На этом этапе ваши пользователи FTP не ограничены своими домашними каталогами. Это не очень безопасно, но мы можем это легко исправить. 

Отредактируйте файл conf vsftpd еще раз, набрав:

> Sudo vi /etc/vsftpd/vsftpd.conf

Откомментируйте строку:

chroot_local_user=YES

Это должно выглядеть так, как только вы закончите:

enter image description here

Перезапустите сервер vsftpd еще раз так:

> Sudo /etc/init.d/vsftpd restart

Все сделано!


Приложение А. Выживание после перезагрузки

vsftpd не запускается автоматически при загрузке вашего сервера. Если вы похожи на меня, это означает, что после перезагрузки вашего экземпляра EC2 вы почувствуете ужас, когда кажется, что FTP сломан - но в действительности он просто не работает! Вот удобный способ это исправить:

> Sudo chkconfig --level 345 vsftpd on

В качестве альтернативы, если вы используете redhat, другой способ управления вашими сервисами - использование этого изящного графического пользовательского интерфейса для управления тем, какие сервисы должны автоматически запускаться:

>  Sudo ntsysv

enter image description here

Теперь vsftpd будет автоматически запускаться при загрузке вашего сервера.


Приложение B: Изменение домашнего каталога FTP пользователя

* ПРИМЕЧАНИЕ: Иман Седиги опубликовал более элегантное решение для ограничения доступа пользователей к определенному каталогу. Пожалуйста, обратитесь к его отличному решению, опубликованному в качестве ответа *

Возможно, вы захотите создать пользователя и ограничить его доступ по FTP к определенной папке, например/var/www. Для этого вам нужно изменить домашний каталог пользователя по умолчанию:

> Sudo usermod -d /var/www/ username

В этом конкретном примере типично давать пользователю права доступа к группе «www», которая часто связана с папкой/var/www: 

> Sudo usermod -a -G www username
552
clone45

Чтобы включить пассивный ftp на сервере EC2, вам необходимо настроить порты, которые ваш ftp-сервер должен использовать для входящих подключений, а затем открыть список доступных портов для подключений данных клиента ftp. 

Я не очень знаком с linux, но отправленные вами команды - это шаги по установке ftp-сервера, настройке правил брандмауэра ec2 (через API-интерфейс AWS), а затем настройке ftp-сервера для использования портов, разрешенных для брандмауэра ec2. ,.

Таким образом, этот шаг устанавливает клиент FTP (VSFTP)

> yum install vsftpd

Эти шаги настраивают клиент ftp

> vi /etc/vsftpd/vsftpd.conf
--    Add following lines at the end of file --
     pasv_enable=YES
     pasv_min_port=1024
     pasv_max_port=1048
     pasv_address=<Public IP of your instance> 
> /etc/init.d/vsftpd restart

но два других шага легче выполнить через консоль Amazon в группах безопасности EC2. Там вам нужно настроить группу безопасности, которая назначается вашему серверу, чтобы разрешить соединения через порты 20,21 и 1024-1048.

25
jaminto

Спасибо @ clone45 за отличное решение. Но у меня была только одна важная проблема с Приложением b его решения. Сразу после того, как я изменил домашний каталог на var/www/html, я не смог подключиться к серверу через ssh и sftp, потому что он всегда показывает следующие ошибки 

permission denied (public key)

или в FileZilla я получил эту ошибку:

No supported authentication methods available (server: public key)

Но я мог получить доступ к серверу через обычное FTP-соединение.

Если вы столкнулись с той же ошибкой, просто отмените приложение b решения @ clone45, установив домашний каталог по умолчанию для пользователя:

Sudo usermod -d /home/username/ username

Но когда вы устанавливаете домашний каталог пользователя по умолчанию, пользователь получает доступ ко многим другим папкам вне/var/www/http. Поэтому, чтобы обезопасить свой сервер, выполните следующие действия:

1- Создайте группу sftponly Создайте группу для всех пользователей, для которых вы хотите ограничить их доступ только к ftp и sftp к var/www/html. составить группу:

Sudo groupadd sftponly

2- Заключить в тюрьму chroot Чтобы ограничить доступ этой группы к серверу через sftp, вы должны заключить в тюрьму chroot, чтобы пользователи группы не могли получить доступ ни к какой папке, кроме папки html внутри своей домашней директории. Для этого откройте /etc/ssh/sshd.config в vim с Sudo . В конце файла, пожалуйста, прокомментируйте эту строку:

Subsystem sftp /usr/libexec/openssh/sftp-server

А затем добавьте эту строку ниже:

Subsystem sftp internal-sftp

Поэтому мы заменили подсистему на Internal-SFTP. Затем добавьте следующие строки под ним:

 Match Group sftponly
        ChrootDirectory /var/www
        ForceCommand internal-sftp
        AllowTcpForwarding no

После добавления этой строки я сохранил свои изменения и затем перезапустил службу ssh:

Sudo service sshd restart

3- Добавьте пользователя в группу sftponly Любой пользователь, которому вы хотите ограничить доступ, должен быть членом группы sftponly. Поэтому мы присоединяемся к sftponly: Sudo usermod -G sftponly username

4 - Ограничить доступ пользователя только к var/www/html Чтобы ограничить доступ пользователя только к папке var/www/html, нам нужно создать каталог в домашнем каталоге (с именем «html») из этот пользователь, а затем смонтируйте/var/www в/home/username/html следующим образом:

Sudo mkdir /home/username/html
Sudo mount --bind /var/www /home/username/html

5- Установить доступ на запись Если пользователю нужен доступ на запись к/var/www/html, вы должны заключить пользователя в тюрьму по адресу/var/www, который должен иметь root: право root и права доступа 755. Вы затем нужно предоставить/var/www/html право владения root: sftponly и разрешениями 775, добавив следующие строки:

Sudo chmod 755 /var/www
Sudo chown root:root /var/www
Sudo chmod 775 /var/www/html
Sudo chown root:www /var/www/html

6- Заблокировать доступ к Shell Если вы хотите ограничить доступ, чтобы не использовать Shell, чтобы сделать его более безопасным, просто измените стандартную оболочку на bin/false следующим образом:

Sudo usermod -s /bin/false username
16
Iman Sedighi

Отличная статья ... работала как ветер на Amazon Linux AMI.

Еще две полезные команды:

Чтобы изменить папку загрузки по умолчанию FTP

Шаг 1: 

edit /etc/vsftpd/vsftpd.conf

Шаг 2. Создайте новую запись внизу страницы:

local_root=/var/www/html

Чтобы применить права на чтение, запись, удаление файлов в папке, чтобы вы могли управлять ими с помощью устройства FTP

find /var/www/html -type d -exec chmod 777 {} \;
11
Ravi Shanker

Если у вас включен UFW, не забудьте добавить ftp:

> Sudo ufw allow ftp

Мне потребовалось 2 дня, чтобы понять, что я включил UFW.

6
chbong

Это не будет хорошо, пока вы не добавите своего пользователя в группу www с помощью следующих команд:

Sudo usermod -a -G www <USER>

Это решает проблему с разрешениями.

Установите путь по умолчанию, добавив это:

local_root=/var/www/html
6
user1802434

Не забудьте обновить брандмауэр iptables, если он есть, чтобы разрешить диапазоны 20-21 и 1024-1048.

Сделайте это из/etc/sysconfig/iptables 

Добавляем такие строки:

-A ВХОД -m состояние - состояние НОВОЕ -m tcp -p tcp --dport 20:21 -j ПРИНЯТЬ

-A ВХОД -m состояние - состояние НОВОЕ -m tcp -p tcp --dport 1024: 1048 -j ПРИНЯТЬ

И перезапустите iptables с помощью команды:

Перезапуск службы судо iptables

4
Kevin Meek

Я упростил шаги clone45:

Откройте порты, как он упоминал

Sudo su
Sudo yum install vsftpd
echo -n "Public IP of your instance: " && read publicip
echo -e "anonymous_enable=NO\npasv_enable=YES\npasv_min_port=1024\npasv_max_port=1048\npasv_address=$publicip\nchroot_local_user=YES" >> /etc/vsftpd/vsftpd.conf
Sudo /etc/init.d/vsftpd restart
3
Willem Bressers

Я следовал за ответом clone45 до самого конца. Отличная статья! Поскольку для установки плагинов на одном из моих сайтов WordPress мне понадобился доступ по FTP, я изменил домашний каталог на/var/www/mysitename. Затем я продолжил добавлять своего пользователя ftp в группу Apache (или www) следующим образом:

Sudo usermod -a -G Apache myftpuser

После этого я все еще видел эту ошибку на странице установки плагина WP: «Невозможно найти каталог содержимого WordPress (wp-content)». Обыскали и нашли это решение во время сеанса вопросов и ответов на wp.org: https://wordpress.org/support/topic/unable-to-locate-wordpress-content-directory-wp-content и добавили следующее в конец wp-config.php:

if(is_admin()) {
    add_filter('filesystem_method', create_function('$a', 'return "direct";' ));
    define( 'FS_CHMOD_DIR', 0751 );
}

После этого мой WP плагин был успешно установлен.

2
CodeBrew

В случае, если вы получаете 530 неверный пароль 

Нужен еще 1 шаг 

в файле/etc/shells

Добавьте следующую строку

/ Бен/ложь

0
Varun Bhatia

возможно стоит упомянуть в дополнение к ответу clone45

Исправление разрешений на запись для пользователей Chrooted FTP в vsftpd

Версия vsftpd, которая поставляется с Ubuntu 12.04 Precise, не разрешить локальным пользователям chrooted писать по умолчанию. По умолчанию вы будете иметь это в /etc/vsftpd.conf:

chroot_local_user=YES
write_enable=YES

Чтобы разрешить локальным пользователям писать, вам необходимо добавить следующий параметр:

allow_writeable_chroot=YES

Примечание: Проблемы с разрешениями на запись могут отображаться в виде следующих FileZilla ошибок:

Error: GnuTLS error -15: An unexpected TLS packet was received.
Error: Could not connect to server

Рекомендации:
Исправление прав записи для пользователей FTP с поддержкой Chrooted в vsftpd
VSFTPd перестал работать после обновления

0
Hartmut