简介
FTP(文件传输协议)是在本地和远程服务器之间传输文件的一种流行方式。虽然过去FTP是首选的传输方法,但它使用明文进行身份验证,因此不安全。
ProFTPd 是一种流行的FTP服务器,可以配置为使用SFTP协议,这是FTP的安全替代方案。本文将向您展示如何配置ProFTPd以使用此协议,以避免FTP的不安全性。
我们将向您展示如何在Ubuntu 12.04 VPS上配置此功能,但大多数发行版应该以类似的方式操作。
安装ProFTPd
ProFTPd软件位于Ubuntu的默认存储库中。我们可以通过输入以下命令来安装它:
sudo apt-get update && sudo apt-get install proftpd
在安装过程中,当提示时选择“独立”选项。
安装完成后,我们需要编辑一些基本配置变量。使用root权限打开ProFTPd配置文件:
sudo nano /etc/proftpd/proftpd.conf
将ServerName参数更改为与您的域名或IP地址匹配:
ServerName "yourDomainOrIPAddress"
取消DefaultRoot参数前的#以取消注释:
DefaultRoot ~
保存并关闭文件。
配置ProFTPd的SFTP访问
现在,我们需要配置服务以使用SFTP。
默认文件在conf.d子目录中查找附加配置。我们将在那里创建一个文件以启用SFTP的使用:
sudo nano /etc/proftpd/conf.d/sftp.conf
ProFTPd可以使用与Apache相同格式的配置。如果您熟悉Apache,这应该看起来很熟悉。如果您不熟悉,也很容易理解。
将以下内容复制并粘贴到文件中:
<IfModule mod_sftp.c>
SFTPEngine on
Port 2222
SFTPLog /var/log/proftpd/sftp.log
# 配置RSA和DSA主机密钥,使用与OpenSSH相同的主机密钥文件。
SFTPHostKey /etc/ssh/ssh_host_rsa_key
SFTPHostKey /etc/ssh/ssh_host_dsa_key
SFTPAuthMethods publickey
SFTPAuthorizedUserKeys file:/etc/proftpd/authorized_keys/%u
# 启用压缩
SFTPCompression delayed
</IfModule>
拆解SFTP配置
让我们将文件分解为其组成部分,以便更好地理解它。
整个部分都包裹在IfModule标签中,以确保只有在SFTP模块可用时(它是可用的)才应用配置选项。
- SFTPEngine on:启用服务器的SFTP功能
- Port 2222:指定接受SFTP连接的端口。由于SSH已经在端口22上寻找连接,我们需要一个不同的端口。
- SFTPLog:配置将创建的日志文件的位置。
- SFTPHostKey:这两行指向SSH主机密钥。这是服务器向客户端标识自己的方式。在大多数情况下,我们使用的行应该是正确的。
- SFTPAuthMethods:此行配置服务器仅接受使用SSH密钥的连接。
- SFTPAuthorizedUserKeys:此参数命名了可用于认证某人的SFTP密钥的位置。
%u部分将替换认证用户的名称。 - SFTPCompression delayed:设置在文件传输期间将使用的压缩机制。
配置基于密钥的认证
ProFTPd可以使用SSH密钥来认证用户,但是密钥必须转换为使用RFC4716格式。幸运的是,SSH套件具有本地转换这些文件的能力。
首先创建一个目录来存放这些文件:
sudo mkdir /etc/proftpd/authorized_keys
现在,我们需要转换当前用于登录服务器的公钥。如果您只有一个用户,可以使用以下命令:
sudo ssh-keygen -e -f ~<span class="highlight">username</span>/.ssh/authorized_keys | sudo tee /etc/proftpd/authorized_keys/<span class="highlight">username</span>
如果您有多个用户并且需要分开他们的登录凭据,您将不得不使用实际的公钥而不是authorized_keys文件,就像这样:
sudo ssh-keygen -e -f <span class="highlight">/path/to/id_rsa.pub</span> | sudo tee /etc/proftpd/authorized_keys/<span class="highlight">username_who_owns_key</span>
您可以添加任意数量的密钥。
完成后,重新启动ProFTPd服务器:
sudo service proftpd restart
在 SSH 端口禁用 SFTP 访问
现在我们已经通过 ProFTPd 启用了 SFTP,我们可以在正常的 SSH 端口上禁用它。这将允许我们配置用户访问并锁定每个用户可以通过 ProFTPd 看到和操作的内容,而不必担心人们能够离开他们的主目录。
打开 SSHD 配置文件:
sudo nano /etc/ssh/sshd_config
在文件底部,你应该看到类似以下的一行:
Subsystem sftp /usr/lib/openssh/sftp-server
在该行前面加上一个井号(#)来注释掉该行:
# Subsystem sftp /usr/lib/openssh/sftp-server
保存并关闭文件。
现在,重新启动 SSH 服务器以启用你的更改:
sudo service ssh restart
使用客户端连接
有很多 FTP 客户端可以用来连接服务器。好的客户端也实现了 SFTP 功能。我们将演示如何通过 FileZilla 连接,它在所有主要平台上都可用。
打开 FileZilla 的首选项。在左侧菜单中找到 “SFTP” 部分。
!FileZilla SFTP 菜单
点击 “Add keyfile”,然后导航到你的私钥的位置。通常,这将在 ~/.ssh/id_rsa。你可能会收到一条消息,说 FileZilla 将把它转换为支持的格式。
按 “Okay” 退出首选项。
在主界面中,在 “Host” 字段中输入 sftp://,后面跟上你的服务器的域名或 IP 地址。将你的用户名放在 “Username” 字段中,并填写你选择的 “Port” 字段的端口号:
!FileZilla SFTP 信息
点击 “Quickconnect”,FileZilla 应该会使用你的 SSH 密钥自动连接。
结论
你的服务器现在应该已经配置为接受由 ProFTPd 管理的 SFTP 连接。你可以配置软件来管理用户和受限区域。总的来说,应该尽量避免使用 FTP,因为它缺乏适当的安全性。