タグ: ftp

【tech】CentOS8でFTPサーバ構築メモ (vsftpd使用)



公開:2020/09/01
更新:2020/09/01

要件

・OSユーザでログイン可能
・rootでのftpログインを禁止
・chrootによって制限
・特定のユーザはchrootの制限を受けない
・特定のユーザはログインディレクトリの変更

手順



・ユーザ確認
cat /etc/passwd

・ユーザ作成
useradd taro
passwd taro

useradd hana
passwd hana

・ftpディレクトリの作成
mkdir -p /ws/ftp/taro

・vsftpdのインストール
yum install -y vsftpd

・vsftpdの起動
systemctl enable --now vsftpd
systemctl status vsftpd

・FWの許可設定
firewall-cmd --add-service=ftp --permanent
firewall-cmd --reload

・vsftpd.confの各設定を下記のように編集
vi /etc/vsftpd/vsftpd.conf


 grep -v -e '^#' -e '\s*#' /etc/vsftpd/vsftpd.conf

anonymous_enable=NO
local_enable=YES
write_enable=YES
local_umask=022
dirmessage_enable=YES
xferlog_enable=YES
connect_from_port_20=YES
xferlog_file=/var/log/xferlog
xferlog_std_format=YES
chroot_local_user=YES
chroot_list_enable=YES
chroot_list_file=/etc/vsftpd/chroot_list
ls_recurse_enable=YES
listen=YES
listen_ipv6=NO

pam_service_name=vsftpd
userlist_enable=YES
userlist_deny=YES
userlist_file=/etc/vsftpd/user_list

allow_writeable_chroot=YES

pasv_enable=YES
pasv_min_port=40000
pasv_max_port=40040
pasv_addr_resolve=YES

user_config_dir=/etc/vsftpd/user_conf

chroot除外ユーザの設定

vi /etc/vsftpd/chroot_list

taro

→chrootから除外したい人を記述
 chrootできない人は"/"とされる

・ディレクトリの変更
mkdir /etc/vsftpd/user_conf

vi /etc/vsftpd/user_conf/taro

local_root=/ws/ftp/taro

久しぶりにみてみると、モバイルバッテリーもずいぶん安くなってるんですね!

皆さん既にやってると思いますが、 AmazonPrimeだとAmazon Music Unlimitedが月額780円でできるんですね!
最近知ってapple musicから乗り換えました。(200円ですが安い方がいいに越したことはないです笑)

下のPythonの本は kindle unlimitedで無料で読めますのでお勧めです!(30日無料期間に読んで解約もアリだと思います。笑)



【tech】vsftpdでchroot設定しようとしたらログインできなかったメモ




vsftpdでchroot設定をすると、パスワードはあっているはずなのにログインできないという事象にあたり、これもなかなかハマったのでメモしておきます。
色々と調べた結果、FTP先のホームディレクトリに書き込み権限がある時は、vsftpd.confに追加しなくてはいけないディレクティブがあることがわかりました。

・原因
結局つかめず。。調べた感じだとホームディレクトリに書き込み権限があるせい?

・対処法
vsftpd.confに「allow_writeable_chroot=YES」を追記

環境

ホストOS:CentOS7.5
FTPサーバ:vsftpd
IPアドレス:192.168.56.151
ユーザ:testuser
FTP先のホームディレクトリ:/home/testuser

chrootの設定済み



・手順
・ディレクトリ移動
cd /etc/vsftpd

・設定ファイル編集
vi vsftpd.conf
→最下行へ「allow_writeable_chroot=YES」追記

・vsftpd再起動
systemctl restart vsftpd

vsftpのアクセスリストまわり(YESの時はホワイトリスト~とかNOならブラックリスト~という制御)ほんとややこしいですよね。。何度も再現させて理解していきたいと思います!!FTPって一度設定してしまうと触る事ないのでなかなか身に付きませんが、みんなが知らない事こそ、さらっと答えちゃうとカッコいいですよね!


・エラーログ

[root@localhost ~]# ftp 192.168.56.151
Connected to 192.168.56.151 (192.168.56.151).
220 (vsFTPd 3.0.2)
Name (192.168.56.151:root): testuser
331 Please specify the password.
Password:
500 OOPS: chroot
Login failed.
421 Service not available, remote server has closed connection

さいごに私が使っているPC(のメモリが8GBの物)です!
私は今このPCのメモリを現在では32GBにアップグレードして使っています!笑
安くなりましたよねメモリ。SSDも安くなってるので買い換えたいです!笑

下のRedmineとZabbixの本は kindle unlimitedで無料で読めますのでお勧めです!(30日無料期間に読んで解約もアリだと思います。笑)

【tech】vsftpdのログインディレクトリを変更するメモ




CentOS7にVSFTPDをインストールしてFTPサーバを構築しています。
FTP用のディレクトリをつくって、各ユーザがFTPアクセスしてきたとき、指定のFTP用ディレクトリにアクセスされるようにする設定をメモしています。

目的

・ユーザ「testuser」のFTP接続時のホームディレクトリを
 /ws/ftp/testuser
 へ変更したい。

前提

ホストOS:CentOS7
FTP:vsftpd
ユーザ:testuser

・FTPの設定が済んでいる →FTP接続参照
・FTP用ユーザ作成が済んでいる
・FTP用ユーザがchrootの対象外である
 (homeディレクトリより上の階層に行く事ができる)

・vsftpdの設定ファイルがあるディレクトリに移動
cd /etc/vsftpd/

・配下のファイルを確認
ls

・ユーザのデフォルトディレクトリ指定用の設定ファイルを
 配置する為のディレクトリを作成する
mkdir vsftpd_user_conf

・vsftpdの設定ファイルにディレクトリを追記
vi vsftpd.conf
→下記のディレクティブを追記

user_config_dir=/etc/vsftpd/vsftpd_user_conf



・作成したディレクトリを確認
ls
→vsftpd_user_confがある事を確認

ユーザ毎のホームディレクトリを設定

・ディレクトリの移動
cd vsftpd_user_conf

・ユーザ毎のホームディレクトリファイルを作成
vi testuser
→下記のディレクティブを追記

local_root=/ws/ftp/testuser



・vsftpdを再起動
systemctl restart vsftpd

・FTP接続して確認する
ftp 192.168.56.150

testuser
testuserPW

pwd
>/workspace/ftp/testuser
これで成功!



うまくいかないときは

vsftpdのアクセス制御はややこしいので一つずつ確認していく。

・ftpusersファイル(FTPサーバへのアクセス制限ファイル)
ここに記載されているユーザはFTPサーバへアクセスできません。

・user_listファイル(FTPサーバへのアクセス制限ファイル)
vsftpd.confの設定により、振る舞いが変わります。
-user_listファイルを「許可リスト」として使用する場合
 -userlist_enable=YES (ユーザリストを使用する=YES)
 -userlist_deny=NO (ユーザリストを「拒否リスト」にする=NO)
            ※拒否リストにしない → 許可リストとして使用する

-user_listファイルを「拒否リスト」として使用する場合
 -userlist_enable=YES (ユーザリストを使用する=YES)
 -userlist_deny=YES (ユーザリストを「拒否リスト」にする=YES)

・chroot_listファイル(上位ディレクトリへのアクセス制限ファイル)
ここに記載されているユーザのみがホームディレクトリより
上位ディレクトリに移動できるようになります。
rootも記載する必要がありそうです(要調査)



さいごに私が使っているPC(のメモリが8GBの物)です!
私は今このPCのメモリを現在では32GBにアップグレードして使っています!笑
安くなりましたよねメモリ。SSDも安くなってるので買い換えたいです!笑

下のRedmineとZabbixの本は kindle unlimitedで無料で読めますのでお勧めです!(30日無料期間に読んで解約もアリだと思います。笑)