Создание FTP-пользователя без панели управления ISPmanager

По умолчанию при установке ОС Linux из любых шаблонов на сервере доступен только суперпользователь root. Подключение с данными root по протоколу FTP невозможно в целях безопасности (используется незашифрованный пароль). При установке шаблонов ОС типа minimal сервер FTP также не будет включён в установочный пакет. Если у Вас возникла необходимость быстрой ручной настройки нового FTP-пользователя при отсутствии на сервере панели управления ISPmanager, нужно сделать следующее.

Для начала подключитесь к серверу по протоколу SSH с правами root.

Установка FTP-сервера proftpd

CentOS:

Установка EPEL репозитория

yum install epel-release

Установка ProFTPd

yum install proftpd

Debian/Ubuntu:

apt install proftpd

 

Добавляем FTP в автозапуск сервера и запускаем его

systemctl start proftpd.service
systemctl enable proftpd.service

Добавление разрешающих правил для брандмауэра

В зависимости от используемой утилиты управления

Iptables:

iptables -I INPUT -p tcp -m tcp --dport 21 -j ACCEPT
systemctl iptables save

firewalld:

firewall-cmd --permanent --zone=public --add-port=21/tcp
firewall-cmd --reload

Ограничение FTP-пользователей пределами домашнего каталога

Данная статья подразумевает работу c конфигурацией ProFTPd «по умолчанию», а в этом случае пользователь может выходить за пределы своего домашнего каталога, и хотя прав на работу с другими папками у него, скорее всего, нет, но при недостаточно строгой конфигурации сервера это может представлять угрозу безопасности. Решить эту проблему можно добавив одну строку в файл proftpd.conf:

DefaultRoot ~

Добавить её можно в конец файла. После сохранения перезапустите FTP-сервер:

systemctl restart proftpd.service

Создание нового FTP-пользователя

Простым FTP-пользователям нет необходимости иметь доступ к командной оболочке. Перед тем, как приступите к созданию новых пользователей, выполните команду:

echo '/bin/false' >> /etc/shells

Создайте нового пользователя

useradd имя_пользователя -d /home/имя_папки -m -s /bin/false
passwd имя_пользователя

Командами выше мы создали пользователя (имя_пользователя нужно заменить на незанятое имя) и соответствующую группу, назначили и создали (ключ -m можно опустить, если каталог уже существует) домашний каталог /home/имя_папки и выбрали /bin/false в качестве командной оболочки пользователя, тем самым отключив её в целях безопасности. Командой passwd мы задали пользователю необходимый пароль.

В большинстве случаев на данном этапе вы уже можете подключаться с созданным пользователем к FTP-серверу, который по умолчанию работает на 21 порту. Однако, есть еще несколько шагов, которые вы, возможно, захотите выполнить.

Дополнительная информация

Доступ к командной оболочке (shell)

Если вы всё-таки хотите предоставлять пользователю доступ к командной оболочке, то указывайте путь до любой действующей вместо /bin/false, например:

/bin/sh

или

/bin/bash

Пользователям обычного протокола FTP не нужен доступ к shell, поэтому безопаснее его не предоставлять.

 

Расположение proftpd.conf

Debian/Ubuntu: /etc/proftpd/proftpd.conf

CentOS: /etc/proftpd.conf

Используйте этот файл для более детальной настройки своего FTP-сервера при необходимости.

 

Ограничение прав FTP-пользователя

При необходимости вы можете ограничить права пользователя на запись в домашнюю директорию, позволив ему работать только с какой-нибудь внутренней папкой, например upload. От имени суперпользователя измените права:

chmod 555 /home/имя_папки
mkdir /home/имя_папки/upload
chown имя_пользователя:имя_пользователя /home/имя_папки/upload

В данном случае второе имя_пользователя является именем группы, которое по умолчанию совпадает с созданным вами именем пользователя.