Jags Asked: 2019-08-28 11:05:09 +0800 CST2019-08-28 11:05:09 +0800 CST 2019-08-28 11:05:09 +0800 CST 如何为仅 LAN 访问配置 VSFTPD,并限制对单个目录的访问 772 我已经阅读了很多设置指南,但不知道如何配置 VSFTPD 以实现仅限 LAN 的访问,以及如何限制对单个目录的访问(例如:~/Downloads)。 如果可能的话,我什至不想将它的存在暴露在互联网上。任何帮助是极大的赞赏。 PC:Ubuntu Mate 19.04 64 位。 vsftpd 1 个回答 Voted Best Answer user68186 2019-08-28T15:36:08+08:002019-08-28T15:36:08+08:00 仅限 LAN 访问 这最好通过防火墙规则来完成。我们将为此使用简单ufw的防火墙。 首先我们检查状态ufw sudo ufw status 如果您看到,请Status: inactive使用以下命令启用ufw: sudo ufw enable 如以下链接所述,我们将允许端口 20 和 21 用于基本的 VSFTPD 访问。我们不会使用简单的 ufw 规则,例如: sudo ufw allow ftp 因为这将允许从任何地方访问。为了允许 LAN-Only 访问,我们将使用高级语法: sudo ufw allow from 192.168.0.0/24 to any port 20 proto tcp sudo ufw allow from 192.168.0.0/24 to any port 21 proto tcp 这from 192.168.0.0/24是 LAN-Only 部分。你的可能不一样。一些家庭路由器在 192.168.0.x 范围内分配 IP 地址,而另一些在 192.168.1.x 范围内分配 IP 地址,其中 x 介于 2-255 之间。/24子网掩码表示允许该范围内的任何 x 值。 这to any意味着分配给这台计算机的任何 IP 地址都可以。由于这台计算机不充当路由器,因此此设置没问题。 (port 20或21)是此规则打开的端口。 这proto tcp是唯一可以使用tcp的协议(不是协议)。udp 如果我们想按照下面的教程将端口 990 和 40,000 到 50,000 端口添加到防火墙,我们可以使用一个命令来做到这一点: sudo ufw allow from 192.168.0.0/24 to any port 990,40000:50000 proto tcp 关于 IPv6 的注意事项 我对 IPv6 本地地址和子网掩码知之甚少,无法编写包含 IPv6 ufw 规则的答案。如果没有任何 IPv6允许规则,任何使用 IPv6 地址访问ftp站点的尝试都将被拒绝。 这个问题的答案表明 IPv6 可能没有一个简单的解决方案:如何在 ufw 中允许本地 IPv6 子网? 对于它的价值,以下允许规则语法(基于对上述问题的回答)被接受ufw: sudo ufw allow from fe80::/64 to any port 21 proto tcp 这应该允许从以fe80. 将用户限制在单个目录 这在Digital Ocean 教程中有很好的描述。主要步骤复制如下: 在此示例中,用户名是sammy。基本概念是用户sammy 不能对用户可访问目录的基目录具有写访问权限。创建ftp文件夹,设置其所有权,并确保使用以下命令删除写入权限: sudo mkdir /home/sammy/ftp sudo chown nobody:nogroup /home/sammy/ftp sudo chmod a-w /home/sammy/ftp 接下来,我们创建可以上传文件的目录并将所有权分配给用户: sudo mkdir /home/sammy/ftp/files sudo chown sammy:sammy /home/sammy/ftp/files 接下来我们在 nano 中编辑 VSFTPD 配置文件: sudo nano /etc/vsftpd.conf 并进行以下更改/添加: . . . # Allow anonymous FTP? (Disabled by default). anonymous_enable=NO # # Uncomment this to allow local users to log in. local_enable=YES . . . write_enable=YES . . . chroot_local_user=YES . . . user_sub_token=$USER local_root=/home/$USER/ftp . . . 完成更改后,保存并退出文件。 然后,我们创建并将我们的用户添加到文件中。我们将使用 -a 标志附加到文件: echo "sammy" | sudo tee -a /etc/vsftpd.userlist Funally 我们重新启动守护程序以加载配置更改: sudo systemctl restart vsftpd 希望这可以帮助
仅限 LAN 访问
这最好通过防火墙规则来完成。我们将为此使用简单
ufw的防火墙。首先我们检查状态
ufw如果您看到,请
Status: inactive使用以下命令启用ufw:如以下链接所述,我们将允许端口 20 和 21 用于基本的 VSFTPD 访问。我们不会使用简单的 ufw 规则,例如:
因为这将允许从任何地方访问。为了允许 LAN-Only 访问,我们将使用高级语法:
这
from 192.168.0.0/24是 LAN-Only 部分。你的可能不一样。一些家庭路由器在 192.168.0.x 范围内分配 IP 地址,而另一些在 192.168.1.x 范围内分配 IP 地址,其中 x 介于 2-255 之间。/24子网掩码表示允许该范围内的任何 x 值。这
to any意味着分配给这台计算机的任何 IP 地址都可以。由于这台计算机不充当路由器,因此此设置没问题。(
port 20或21)是此规则打开的端口。这
proto tcp是唯一可以使用tcp的协议(不是协议)。udp如果我们想按照下面的教程将端口 990 和 40,000 到 50,000 端口添加到防火墙,我们可以使用一个命令来做到这一点:
关于 IPv6 的注意事项
我对 IPv6 本地地址和子网掩码知之甚少,无法编写包含 IPv6 ufw 规则的答案。如果没有任何 IPv6允许规则,任何使用 IPv6 地址访问
ftp站点的尝试都将被拒绝。这个问题的答案表明 IPv6 可能没有一个简单的解决方案:如何在 ufw 中允许本地 IPv6 子网?
对于它的价值,以下允许规则语法(基于对上述问题的回答)被接受
ufw:这应该允许从以
fe80.将用户限制在单个目录
这在Digital Ocean 教程中有很好的描述。主要步骤复制如下:
在此示例中,用户名是
sammy。基本概念是用户sammy不能对用户可访问目录的基目录具有写访问权限。创建ftp文件夹,设置其所有权,并确保使用以下命令删除写入权限:接下来,我们创建可以上传文件的目录并将所有权分配给用户:
接下来我们在 nano 中编辑 VSFTPD 配置文件:
并进行以下更改/添加:
完成更改后,保存并退出文件。
然后,我们创建并将我们的用户添加到文件中。我们将使用 -a 标志附加到文件:
Funally 我们重新启动守护程序以加载配置更改:
希望这可以帮助