SW/리눅스

Linux : CentOS 8 : FTP Server와 VSFTPD 설정 방법, 예제, 명령어

얇은생각 2022. 8. 10. 07:30
반응형

FTP(File Transfer Protocol)는 사용자가 원격 컴퓨터로 파일을 전송하거나 원격 컴퓨터에서 파일을 전송할 수 있는 클라이언트-서버 네트워크 프로토콜입니다.

Linux에 사용할 수 있는 많은 오픈 소스 FTP 서버가 있습니다. 가장 널리 사용되고 일반적으로 사용되는 서버는 Pure입니다.FTPd , ProFTPD 및 vsftpd 입니다.

이 튜토리얼에서는 CentOS 8에 vsftpd(Very Secure Ftp Daemon)를 설치할 것입니다. 안정적이고 안전하며 빠른 FTP 서버입니다. 또한 vsftpd를 구성하여 사용자를 홈 디렉토리로 제한하고 SSL/TLS를 사용하여 데이터 전송을 암호화하는 방법도 보여 줍니다.

 

 

Linux : CentOS 8 : FTP Server와 VSFTPD 설정 방법, 예제, 명령어

 

 

CentOS 8에 vsftpd를 설치

vsftpd 패키지는 기본 센터에서 사용할 수 있습니다.OS 저장소입니다. 설치하려면 다음 명령을 루트 또는 sudo 권한이 있는 사용자로 실행하십시오.

sudo dnf install vsftpd

 

 

패키지가 설치되면 vsftpd 데몬을 시작하고 부팅 시 자동으로 시작되도록 설정합니다.

sudo systemctl enable vsftpd --now

 

 

서비스 상태를 확인합니다.

sudo systemctl status vsftpd

 

 

출력은 다음과 같이 나타나며 vsftpd 서비스가 활성 상태이고 실행 중임을 나타냅니다.

# ● vsftpd.service - Vsftpd ftp daemon
#    Loaded: loaded (/usr/lib/systemd/system/vsftpd.service; enabled; vendor preset: disabled)
#    Active: active (running) since Mon 2020-03-30 15:16:51 EDT; 10s ago
#   Process: 2880 ExecStart=/usr/sbin/vsftpd /etc/vsftpd/vsftpd.conf (code=exited, status=0/SUCCESS)
#   ...

 

 

 

vsftpd를 구성

vsftpd 서버 설정은 /etc/vsftpd/vsftpd.conf 구성 파일에 저장됩니다. 대부분의 설정은 파일 내부에 잘 기록되어 있습니다. 사용 가능한 모든 옵션을 보려면 공식 vsftpd 페이지를 방문하십시오.

다음 섹션에서는 보안 vsftpd 설치를 구성하는 데 필요한 몇 가지 중요한 설정을 살펴보겠습니다.

vsftpd 구성 파일을 여는 것부터 시작합니다.

sudo nano /etc/vsftpd/vsftpd.conf

 

 

1. FTP 액세스

FTP 서버에 대한 액세스를 로컬 사용자만 허용하고 anonymous_enable 및 local_enable 지시문을 찾은 후 구성이 아래 줄과 일치하는지 확인합니다.

# /etc/vsftpd/vsftpd.conf

anonymous_enable=NO
local_enable=YES

 

 

2. 업로드를 활성화

파일 업로드 및 삭제와 같은 파일 시스템 변경을 허용하도록 write_enable 설정의 주석을 해제합니다.

# /etc/vsftpd/vsftpd.conf

write_enable=YES

 

 

3. Chroot jail

chroot 지시문을 해독하여 FTP 사용자가 홈 디렉토리 외부의 파일에 액세스하지 못하도록 합니다.

# /etc/vsftpd/vsftpd.conf

chroot_local_user=YES

 

 

기본적으로 chroot를 사용하도록 설정한 경우 vsftpd는 사용자가 잠긴 디렉토리가 쓰기 가능한 경우 파일 업로드를 거부합니다. 이는 보안 취약성을 방지하기 위한 것입니다.

chroot가 활성화되었을 때 업로드를 허용하려면 아래 방법 중 하나를 사용하십시오.

 

방법 1. - 업로드를 허용하는 권장 방법은 chroot를 활성화 상태로 유지하고 FTP 디렉터리를 구성하는 것입니다. 이 튜토리얼에서는 chroot 및 파일 업로드를 위한 쓰기 가능한 업로드 디렉토리 역할을 하는 ftp 디렉토리를 사용자 홈 내에 만들 것입니다.

# /etc/vsftpd/vsftpd.conf

user_sub_token=$USER
local_root=/home/$USER/ftp

 

 

방법 2. - 다른 옵션은 vsftpd 구성 파일에 다음 지시문을 추가하는 것입니다. 사용자에게 홈 디렉토리에 대한 쓰기 가능 액세스 권한을 부여해야 하는 경우 이 선택사항을 사용합니다.

# /etc/vsftpd/vsftpd.conf

allow_writeable_chroot=YES

 

 

4. 수동 FTP 연결

vsftpd는 수동 FTP 연결에 아무 포트나 사용할 수 있습니다. 포트의 최소 및 최대 범위를 지정하고 나중에 방화벽에서 해당 범위를 엽니다.

구성 파일에 다음 줄을 추가하십시오.

# /etc/vsftpd/vsftpd.conf

pasv_min_port=30000
pasv_max_port=31000

 

 

5. 사용자 로그인을 제한

특정 사용자만 FTP 서버에 로그인할 수 있도록 허용하려면 userlist_enable= 다음에 다음 줄을 추가하십시오.YES 줄:

# /etc/vsftpd/vsftpd.conf

userlist_file=/etc/vsftpd/user_list
userlist_deny=NO

 

 

이 옵션을 사용하도록 설정하면 /etc/vsftpd/user_list 파일에 사용자 이름을 추가하여 로그인할 수 있는 사용자를 명시적으로 지정해야 합니다.

 

 

6. SSL/TLS로 전송을 보호

SSL/TLS로 FTP 전송을 암호화하려면 SSL 인증서를 가지고 이를 사용하도록 FTP 서버를 구성해야 합니다.

신뢰할 수 있는 인증 기관에서 서명한 기존 SSL 인증서를 사용하거나 자체 서명된 인증서를 생성할 수 있습니다.

FTP 서버의 IP 주소를 가리키는 도메인이나 하위 도메인이 있는 경우 무료 암호화 SSL 인증서를 쉽게 생성할 수 있습니다.

이 튜토리얼에서는 openssl 도구를 사용하여 자체 서명된 SSL 인증서를 생성하겠습니다.

다음 명령은 10년 동안 유효한 2048비트 개인 키 및 자체 서명 인증서를 생성합니다.

개인 키와 인증서가 모두 동일한 파일에 저장됩니다.

sudo openssl req -x509 -nodes -days 3650 -newkey rsa:2048 -keyout /etc/vsftpd/vsftpd.pem -out /etc/vsftpd/vsftpd.pem

 

 

 

SSL 인증서가 생성되면 vsftpd 구성 파일을 엽니다.

sudo nano /etc/vsftpd/vsftpd.conf

 

 

rsa_cert_file 및 rsa_private_key_file 지시문을 찾아 해당 값을 pam 파일 경로로 변경하고 ssl_enable 지시문을 YES로 설정합니다.

# /etc/vsftpd/vsftpd.conf

rsa_cert_file=/etc/vsftpd/vsftpd.pem
rsa_private_key_file=/etc/vsftpd/vsftpd.pem
ssl_enable=YES

 

 

달리 지정하지 않으면 FTP 서버는 TLS만 사용하여 보안 연결을 설정합니다.

 

 

 

vsftpd 서비스를 다시 시작

편집을 마친 후 vsftpd 구성 파일(주석 제외)은 다음과 같이 표시됩니다.

# /etc/vsftpd/vsftpd.conf

anonymous_enable=NO
local_enable=YES
write_enable=YES
local_umask=022
dirmessage_enable=YES
xferlog_enable=YES
connect_from_port_20=YES
xferlog_std_format=YES
chroot_local_user=YES
listen=NO
listen_ipv6=YES
pam_service_name=vsftpd
userlist_enable=YES
userlist_file=/etc/vsftpd/user_list
userlist_deny=NO
tcp_wrappers=YES
user_sub_token=$USER
local_root=/home/$USER/ftp
pasv_min_port=30000
pasv_max_port=31000
rsa_cert_file=/etc/vsftpd/vsftpd.pem
rsa_private_key_file=/etc/vsftpd/vsftpd.pem
ssl_enable=YES

 

 

변경 내용을 적용하려면 파일을 저장하고 vsftpd 서비스를 다시 시작합니다.

sudo systemctl restart vsftpd

 

 

 

방화벽 오픈

firewall-on-centos-8을 실행하는 경우 FTP 트래픽을 허용해야 합니다.

포트 21(FTP 명령 포트), 포트 20(FTP 데이터 포트) 및 30000-31000(패시브 포트 범위)을 열려면 방화벽에서 다음 명령을 입력합니다.

sudo firewall-cmd --permanent --add-port=20-21/tcp
sudo firewall-cmd --permanent --add-port=30000-31000/tcp

 

 

다음을 입력하여 방화벽 규칙을 다시 로드합니다.

firewall-cmd --reload

 

 

 

FTP 사용자 생성

FTP 서버를 테스트하기 위해 새 사용자를 만들 것입니다.

FTP 액세스 권한을 부여하려는 사용자가 이미 있는 경우 첫 번째 단계를 건너뜁니다.

allow_writeable_chroot=을 설정한 경우입니다. 구성 파일에서 예, 세 번째 단계를 건너뜁니다.

newftpuser라는 새 사용자를 생성합니다.

sudo adduser newftpuser

 

 

 

다음으로 사용자 암호를 설정해야 합니다.

sudo passwd newftpuser

 

 

사용자를 허용된 FTP 사용자 목록에 추가합니다.

echo "newftpuser" | sudo tee -a /etc/vsftpd/user_list

 

 

FTP 디렉터리 트리를 만들고 올바른 사용 권한을 설정하십시오.

sudo mkdir -p /home/newftpuser/ftp/upload
sudo chmod 550 /home/newftpuser/ftp
sudo chmod 750 /home/newftpuser/ftp/upload
sudo chown -R newftpuser: /home/newftpuser/ftp

 

 

이전 섹션에서 논의한 대로 사용자는 파일을 ftp/upload 디렉토리에 업로드할 수 있습니다.

그러면 FTP 서버가 완전히 작동하므로 FileZilla와 같은 TLS 암호화를 사용하도록 구성할 수 있는 FTP 클라이언트를 사용하여 서버에 연결할 수 있습니다.

 

 

 

셸 액세스를 사용하지 않도록 설정

사용자를 만들 때 명시적으로 지정하지 않으면 기본적으로 서버에 대한 SSH 액세스 권한이 있습니다.

셸 액세스를 비활성화하기 위해 새 셸을 만들어 사용자에게 계정이 FTP 액세스로만 제한되었음을 알리는 메시지를 인쇄합니다.

다음 명령을 실행하여 /bin/ftponly 셸을 생성하고 실행 파일로 만듭니다.

echo -e '#!/bin/sh\necho "This account is limited to FTP access only."' | sudo tee -a  /bin/ftponly
sudo chmod a+x /bin/ftponly

 

 

/etc/shells 파일의 유효한 셸 목록에 새 셸을 추가합니다.

echo "/bin/ftponly" | sudo tee -a /etc/shells

 

 

사용자 셸을 /bin/ftponly로 변경합니다.

sudo usermod newftpuser -s /bin/ftponly

 

 

FTP 액세스 권한만 부여하려는 다른 사용자의 셸을 변경하려면 동일한 명령을 사용합니다.

CentOS 8에 안전하고 빠른 FTP 서버를 설치하고 구성하는 방법을 보여드렸습니다.

보다 안전하고 빠른 데이터 전송을 위해 SCP 또는 SFTP 를 사용해야 합니다.

 

 

 

참조

https://linuxize.com/post/how-to-setup-ftp-server-with-vsftpd-on-centos-8/

반응형