что такое домашняя директория ftp пользователя
FTP доступ к VPS с помощью ISPmanager
Настройка подключения к серверу по FTP в панели управления ISPmanager при помощи программы FileZilla.
Создание FTP-пользователя и Подключение к серверу с помощью ISPmanager5.
Для подключения к серверу VPS, нужно создать FTP-пользователя в ISPmanager 5, после входа в панель управления ISPmanager под пользователем root:
Перейдем в раздел «Учетные записи → FTP-пользователи», нажмем кнопку «Создать»
В этом разделе вы можете создавать новых пользователей, имеющих доступ к FTP, редактировать их параметры или удалять, а также включать или отключать определенных пользователей.
Изменение параметров FTP-пользователя
Чтобы изменить параметры существующего FTP аккаунта, выберите его из списка, нажмите кнопку «Изменить» и выполните редактирование. В форме редактирования параметров вы можете указать все те же данные, что и при создании нового пользователя, кроме его владельца.
Удаление FTP-пользователя
Чтобы удалить FTP-пользователя, выберите его в списке и нажмите кнопку «Удалить». Для предотвращения случайного удаления программа попросит подтвердить или отменить ваши действия. После нажатия кнопки «ОК» выделенный FTP-пользователь будет удален.
Выполняем подключение к серверу VPS c логином и паролем созданного пользователя при помощи программы (клиента FTP)-FileZilla.
переходим в вкладку Настройки передачи и заполняем поля:
При успешном подключении вы увидите следующее:
Данная инструкция для обновленного дизайна панели управления ISPmanager5, доступна здесь.
Подключение к серверу по FTP с помощью ISPmanager4.
По умолчанию на выданном VPS не существует FTP доступа. С помощью панели ISPmanager можно создавать и управлять FTP аккаунтами.
FTP аккаунты закрепляются за пользователями (у учетной записи root нет доступа по FTP). Войдя под учетной записью администратора (root) не возможно увидеть раздел «FTP аккаунты». Для работы с FTP аккаунтами должен существовать хотя бы один пользователь.
Для настройки FTP доступа необходимо перейти в панель с правами того пользователя FTP аккаунты которого Вы хотите настроить. Для перехода на уровень пользователя выберите его в списке и нажмите кнопку «Войти».
После перехода на уровень выбранного пользователя вы увидите панель управления такой, какой ее видит данный пользователь. Что бы получить обратно права пользователя используйте гиперссылку root рядом с пиктограммой человека в короне.
Примечание:
При создании пользователя создается и FTP аккаунт с таким же именем и паролем, но если Вы измените пароль пользователя то пароль у FTP аккаунта с таким же именем остается старым.
Как подключиться к серверу по FTP?
После размещения сайта на сервере встаёт вопрос: как организовать доступ по FTP для работы с файлами сайта? Для этой задачи есть несколько решений — в зависимости от того, используете ли вы сервер с панелью управления ISPmanager или без неё.
FTP на сервере с панелью ISPmanager
Чтобы подключение по FTP на сервере с ISPmanager стало доступным, нужно создать FTP-пользователя. Для этого:
Список серверов в Личном кабинете
В разделе «ISPmanager — панель управления сервером» будут указаны данные для входа:
Данные для подключения в инструкции
Откройте раздел Учётные записи — FTP-пользователи и нажмите «Создать» :
Список FTP-пользователей в ISPmanager
Панель предложит ввести имя FTP-пользователя, выбрать владельца (пользователя, к сайтам которого вы хотите настроить доступ), задать пароль и домашнюю директорию FTP-пользователя (она настраивается относительно домашней папки пользователя-владельца):
Создание FTP-пользователя в ISPmanager
На этом настройка завершена. Осталось проверить подключение через любой FTP-клиент, например, FileZilla. Для этого вам понадобятся следующие данные:
Подключение через FileZilla
В случае успешного подключения мы увидим список каталогов в домашней директории пользователя-владельца ( example-user ). Все сайты размещены в подкаталоге www :
Список каталогов пользователя
FTP на сервере без панели управления
В этом случае есть два варианта действий. Оба способа позволяют обеспечить возможность FTP-подключения к серверу, в том числе для отдельных пользователей к отдельным папкам:
Настройка подключения через sFTP
Также можно создать дополнительных sFTP-пользователей с доступом только к отдельным папкам на сервере. Тем самым можно организовать доступ к файлам сайтов для нескольких пользователей.
Настройка безопасного протокола sFTP
Установка и настройка FTP-сервера
vsftpd (Very Secure FTP Daemon) — FTP-сервер с возможностью шифрования передаваемых по протоколу FTP файлов. Благодаря этому повышается уровень безопасности — никто не сможет получить доступ к данным, которые вы загружаете на сервер, если их удастся перехватить.
Установка и настройка vsftpd
vsftpd доступен для установки из штатных репозиториев во многих операционных системах семейства Linux.
| Ubuntu и Debian | CentOS |
После завершения установки нужно запустить FTP-сервер и добавить его в автозапуск — чтобы после перезагрузки сервера он включался автоматически:
В случае сбоя или при необходимости восстановления настроек будет достаточно удалить отредактированный файл и переименовать vsftpd.conf.copy в vsftpd.conf
Теперь откроем оригинальный конфигурационный файл с помощью любого консольного текстового редактора:
Чтобы обеспечить FTP-доступ к серверу, нужно изменить следующие параметры:
*Этот параметр позволяет включить FTP-сервер в режиме ожидания входящих подключений.
*Этот параметр отвечает за возможность подключения к серверу по FTP с IPv6-адресов. В большинстве случаев этот параметр не нужен, хотя и включен по умолчанию. Его необходимо отключить, поставив в начале строки символ «#».
* Этот параметр отвечает за автоматическое назначение прав на загружаемые данные. Для папок при загрузке будут автоматически назначены права 755, для файлов — 644.
* Этот параметр отвечает за шифрование FTP-соединения. В том же блоке можно указать пути к вашему сертификату и ключу — если вы не хотите использовать сгенерированные по умолчанию.
После изменения параметров сохраните файл, закройте редактор и перезапустите vsftpd командой:
Чтобы убедиться, что служба корректно запустилась, проверьте её статус:
Если проблем нет, вы увидите статус active (running) :
Проверка статуса vsftps в консоли
Создание FTP-пользователей
Например, для примера мы организовали следующую структуру каталогов:
Директория веб-сервера для размещения сайтов
Добавленный каталог для разбиения сайтов по пользователям
Сайты пользователя username
В такой структуре пользователю username доступны только каталоги example1.com/ и example2.com/ — внутри них он может создавать и редактировать файлы и папки. Все каталоги выше принадлежат пользователю root или системным пользователям.
Первым делом необходимо создать домашнюю папку нового пользователя. Если у вас уже создан каталог и к нему просто нужно настроить FTP-доступ, пропустите этот шаг.
Переходим в папку, где будет расположена домашняя директория пользователя:
Создаём новую папку:
Теперь нам нужно создать нового пользователя, назначив ему в качестве домашней директории созданную папку. Если вам нужно настроить доступ к другому каталогу, просто измените в команде путь /var/www/sites/username на свой.
Настроим пароль для нового пользователя:
Теперь осталось создать папку с владельцем в лице нашего нового пользователя. Переходим в созданный каталог:
Создаём папку, куда новый пользователь сможет загружать свои файлы:
Настроим в качестве её владельца нашего пользователя username :
На этом процесс настройки завершён. Осталось протестировать подключение через любой FTP-клиент, например, FileZilla. Для подключения указываем IP-адрес сервера, имя нашего созданного пользователя и его пароль:
Подключение по FTP через FileZilla
Клиент сообщит, что FTP-сервер имеет самоподписанный сертификат, и запросит подтверждение на подключение и сохранение этого сертификата как доверенного:
Предупреждение о самоподписанном сертификате
Если вы не активировали опцию ssl_enable=YES на этапе настройки, тогда клиент сообщит, что подключение небезопасно — данные не будут шифроваться:
Предупреждение о незащищённом соединении
В случае успешного подключения у вас откроется домашняя папка пользователя с каталогом под файлы:
Список каталогов пользователя
Обратите внимание, что пользователь может работать только внутри директории example.com/ Загрузка файлов или добавление папок в самой домашней директории (вне каталога example.com/ ) будут недоступны.
Как сделать FTP безопаснее
Протокол FTP разработан еще в 1971 году, и с тех пор стал самым привычным способом работы с файлами на сервере. Его поддерживают все современные браузеры, существует множество клиентов для подключения к серверу по FTP. Он очень удобен и прост в настройке.
Однако при всех его достоинствах, отсутствие шифрования при передаче данных — серьезный недостаток, из-за которого использовать его не рекомендуется. Но, если обойтись без FTP по каким-то причинам не получается, следуйте советам специалистов по информационной безопасности:
Эти меры снижают риски, но полностью их не исключают. Если вы хотите защитить данные сервера от перехвата, заражения вирусом и других неприятностей, используйте sFTP.
Тема: Домашняя директория FTP пользователей
Опции темы
Поиск по теме
По дефолту выставляет домашнию директорию в /var/www/username/data
Как это изменить? В настройках пользователя можно поменять путь только после /data. Мне же необходимо начать с рута сервера и настроить путь до /home/username
Эта папка будет уже НЕ в домашней директории пользователя.
Скорей всего панелью это не реализуемо
Панель выставляет только в пределах пользовательской директории
В том то и проблема, домашняя директория пользователя находится в /home, но домашнию директория у FTP пользователя ispmanager выставляет в /var/www/
Пример:
Есть пользователь sysuser, его домашняя директория находится в /home/sysuser когда для этого пользователя создаешь FTP аккаунт в ispmanager’е оно выставляет путь для FTP к /var/www/sysuser/data вместо /home/sysuser
Это должно решаться на стороне ispmanager’а ибо где же ещё? Пока проблему решал меняя путь вручную в файлах ftp сервера, что интересно, после этого ispmanager отображает путь всё так же через /var но FTP коннектит куда надо.
Каждый раз менять файл в ручную не камельфо, так что думаю это должно решатся где то на стороне панели.
Следуя вики, эта настройка находится в /usr/local/ispmgr/etc/ispmgr.conf
У меня же путь другой, /usr/local/mgr5/etc/ispmgr.conf но path DefaultHomeDir там отсутствует.
Установка свежая. На вики старая информация или я не там ищу?
http://doc.ispsystem.ru/index.php/Ко. �л_ISPmanager
Не там видимо искали
Зачем вы мне кидаете ссылки которые я и так уже посмотрел, даже упомянул сообщением выше? Повторю: Нету у меня нужных файлов в тех местах где упоминает вики.
Вы уверены что читаете мои сообщения?
Загрузка файлов в домашний каталог пользователя с помощью vsftpd
FTP (File Transfer Protocol) – это сетевой протокол для обмена файлами между сервером и клиентом. Поскольку FTP передаёт данные в незашифрованном виде, он считается крайне опасным; вместо него рекомендуется использовать vsftp – версию протокола, которая поддерживает шифрование данных. Многие пользователи сети Интернет предпочитают загружать данные с помощью браузера с помощью https; пользователи, имеющие навыки работы с командной строкой, обычно используют безопасные протоколы вроде scp или sFTP.
FTP часто используется для поддержки приложений и рабочих процессов со специфическими потребностями. Если ваше приложение позволяет вам выбирать протокол, выберите более современное решение, например, vsftp. Оптимизированный и высокопроизводительный протокол vsftp обеспечивает надежную защиту от уязвимостей, обнаруженных в других версиях FTP. Кроме того, он является протоколом по умолчанию для многих дистрибутивов Linux.
Данное руководство поможет настроить vsftp для загрузки файлов в домашний каталог пользователя с помощью FTP и учётных данных SSL/TLS.
Требования
1: Установка vsftp
Обновите индекс пакетов и установите демон vsftp:
sudo apt update
sudo apt install vsftpd
После завершения установки создайте копию конфигурационного файла (так в случае ошибки вы сможете вернуться к оригинальному файлу):
sudo cp /etc/vsftpd.conf /etc/vsftpd.conf.orig
2: Настройка брандмауэра
Для начала проверьте состояние брандмауэра и узнайте, какие сервисы он поддерживает на данный момент.
Примечание: Список правил брандмауэра может отличаться.
Как видите, в данном случае брандмауэр пропускает только трафик ssh. Нужно разблокировать трафик FTP.
Откройте порты 20 и 21 для FTP, порт 990 для TLS (который будет включен позже), диапазон пассивных портов 40000-50000:
sudo ufw allow 20/tcp
sudo ufw allow 21/tcp
sudo ufw allow 990/tcp
sudo ufw allow 40000:50000/tcp
sudo ufw status
Теперь правила брандмауэра выглядят так:
3: Подготовка каталога пользователя
Создайте пользователя для FTP; возможно такой пользователь у вас уже есть.
Примечание: Во время работы права существующего пользователя не будут изменяться. Однако лучше создать нового пользователя для работы FTP.
sudo adduser 8host
Выберите пароль нового пользователя, остальные данные можно оставить по умолчанию.
FTP гораздо безопаснее, когда пользователи ограничены определённым каталогом. vsftpd выполняет это с помощью механизма chroot jail («тюрьмы» chroot). Когда chroot включен для локальных пользователей, они по умолчанию ограничиваются домашним каталогом. Однако vsftpd не может дать пользователю права на запись в домашнем каталоге, поскольку тогда vsftpd не сможет обеспечить защиту этого каталога. Новые пользователи смогут подключаться через FTP, но существующим пользователям необходимо иметь право на запись в домашнем каталоге.
Мы не станем отнимать у пользователей этого права. Вместо этого можно создать каталог ftp для поддержки окружения chroot и каталог files для хранения файлов.
Создайте каталог ftp, установите права на него и отнимите право на запись в этом каталоге.
sudo mkdir /home/8host/ftp
sudo chown nobody:nogroup /home/8host/ftp
sudo chmod a-w /home/8host/ftp
Проверьте права на каталог:
Теперь создайте каталог для хранения файлов и передайте пользователю права собственности на него.
sudo mkdir /home/8host/ftp/files
sudo chown 8host:8host /home/8host/ftp/files
Проверьте права на этот каталог:
Теперь добавьте файл test.txt, с помощью которого можно протестировать настройку.
echo «vsftpd test file» | sudo tee /home/8host/ftp/files/test.txt
4: Настройка FTP-доступа
Дайте одному пользователю с аккаунтом локальной оболочки право на FTP-подключения. Все необходимые параметры можно найти в vsftpd.conf. Откройте этот конфигурационный файл и убедитесь, что он содержит такие параметры:
Чтобы разрешить пользователям подгружать файлы, раскомментируйте write_enable:
Затем раскомментируйте chroot, чтобы заблокировать пользователям, подключившимся через FTP, доступ к файлам и каталогам вне этого дерева каталогов.
Добавьте директиву user_sub_token, чтобы вставить имя пользователя в путь local_root directory. Это позволит в дальнейшем добавить новых пользователей.
Ограничьте диапазон портов для FTP:
Примечание: Этот диапазон портов был разблокирован в разделе 2. Если вы указали в файле другой диапазон, откорректируйте настройки брандмауэра.
Поскольку пользователи будут иметь доступ к FTP на индивидуальной основе, настройте FTP таким образом, чтобы доступ пользователю предоставлялся только после явного добавления в список (а не по умолчанию).
userlist_enable=YES
userlist_file=/etc/vsftpd.userlist
userlist_deny=NO
Строка userlist_deny изменяет логику. Когда в ней установлено значение YES, пользователи не могут получить доступ к FTP. Значение NO даёт FTP-доступ только пользователям из списка.
Сохраните и закройте файл.
Создайте и пользователя и добавьте его в файл. Флаг –a вставит данные о пользователе в файл:
Убедитесь, что пользователь был внесён в список:
cat /etc/vsftpd.userlist
8host
Перезапустите демон, чтобы обновить настройки:
sudo systemctl restart vsftpd
5: Тестирование FTP-доступа
На данный момент FTP-доступ есть только у пользователя 8host. Протестируйте эту настройку.
Анонимным пользователям должно быть отказано в доступе. Анонимный доступ отключен. Чтобы убедиться в этом, попробуйте подключиться анонимно. Если всё работает должным образом, на экране появится:
Закройте это соединение:
Всем пользователям, кроме 8host, должно быть отказано в доступе. Попробуйте создать подключение как другой пользователь.
Закройте это соединение:
Пользователю 8host должен иметь возможность создавать подключения, а также иметь права на чтение и запись. Попробуйте создать соединение как 8host:
Перейдите в каталог files и используйте команду get, чтобы переместить тестовый файл на локальную машину:
cd files
get test.txt
227 Entering Passive Mode (203,0,113,0,169,12).
150 Opening BINARY mode data connection for test.txt (16 bytes).
226 Transfer complete.
16 bytes received in 0.0101 seconds (1588 bytes/s)
ftp>
Теперь попробуйте выгрузить в этот каталог другой файл:
put test.txt upload.txt
227 Entering Passive Mode (203,0,113,0,164,71).
150 Ok to send data.
226 Transfer complete.
16 bytes sent in 0.000894 seconds (17897 bytes/s)
Закройте это соединение:
6: Защита транзакций
FTP не шифрует передаваемые данные, в том числе и учётные данные пользователей. Это позволяет злоумышленникам перехватить их. Настройте TTL/SSL шифрование. Для начала создайте SSL-сертификат для vsftpd.
Программа запросит ваши данные. Замените условные данные в примере ниже.
Generating a 2048 bit RSA private key
. +++
. +++
writing new private key to ‘/etc/ssl/private/vsftpd.pem’
——
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter ‘.’, the field will be left blank.
——
Country Name (2 letter code) [AU]:US
State or Province Name (full name) [Some-State]:NY
Locality Name (eg, city) []:New York City
Organization Name (eg, company) [Internet Widgits Pty Ltd]:My_Company
Organizational Unit Name (eg, section) []:
Common Name (e.g. server FQDN or YOUR name) []:
Email Address []:
Получив сертификат, вернитесь в конфигурационный файл vsftpd.
sudo nano /etc/vsftpd.conf
В конец файла добавьте параметры ключа и закомментируйте их:
Ниже добавьте следующие строки, которые будут указывать путь к сертификату и закрытому ключу.
После этого нужно настроить поддержку SSL, чтобы защитить клиентов, у которых нет доступа к TLS-подключениям. Так вы обеспечите шифрование всего трафика, однако это может заставить FTP-пользователей изменить клиенты. В строке ssl_enable укажите значение YES.
Ниже добавьте следующие строки, чтобы заблокировать анонимные подключения через SSL и включить SSL для передачи данных и входа.
allow_anon_ssl=NO
force_local_data_ssl=YES
force_local_logins_ssl=YES
Теперь нужно настроить сервер для поддержки TLS, альтернативы SSL:
ssl_tlsv1=YES
ssl_sslv2=NO
ssl_sslv3=NO
Ниже добавьте ещё две опции. Первая отключит повторное использование SSL, потому что это может повлиять на работу многих FTP-клиентов. Вторая установит длину ключа (128 бит и больше):
Сохраните и закройте файл.
sudo systemctl restart vsftpd
С этого момента вы больше не можете подключаться с помощью небезопасного клиента командной строки. Если вы попробуете сделать это, вы получите ошибку:
Теперь нужно убедиться, что клиент с поддержкой TLS может создавать соединения.
7: Тестирование TLS с помощью FileZilla
Современные FTP-клиенты могут поддерживать шифрование TLS. Попробуйте подключиться с помощью одного из таких клиентов.
Примечание: В руководстве используется FileZilla. При желании вы можете выбрать другой клиент.
Откройте FileZilla и нажмите Site Manager (слева в верхнем ряду).
В появившемся окне нажмите New Site.
В записях My Sites появится New site. Вы можете выбрать название сейчас или вернуться к этому позже (с помощью кнопки Rename).
В поле Host укажите IP-адрес. В выпадающем меню Encryption выберите Require explicit FTP over TLS. В Logon Type выберите Ask for password. В поле User введите имя пользователя FTP. Нажмите Connect.
Программа запросит пароль пользователя. Введите его и нажмите OK. Теперь соединение с сервером шифруется через TLS/SSL. На экране появятся данные сертификата.
Приняв сертификат, дважды кликните по папке files и перетащите upload.txt в левую часть экрана, чтобы убедиться, что вы можете загружать файлы.
Затем кликните правой кнопкой по локальной копии файла, переименуйте его (например, в upload-tls.txt) и перетащите его обратно в правую часть экрана, чтобы убедиться, что вы можете подгружать файлы на сервер.
8: Отключение шелл-доступа
Если ваш клиент не поддерживает TLS, вы можете повысить безопасность сервера, отключив другие методы входа. Одним из относительно простых методов является создание пользовательской оболочки.
Откройте файл ftponly:
sudo nano /bin/ftponly
#!/bin/sh
echo «This account is limited to FTP access only.»
Измените права, чтобы сделать файл исполняемым:
sudo chmod a+x /bin/ftponly
Откройте список валидных оболочек.
sudo nano /etc/shells
Добавьте в конец списка:
Обновите оболочку пользователя:
Попробуйте войти как пользователь 8host:
На экране появится:
This account is limited to FTP access only.
Connection to 203.0.113.0 closed.
Это значит, что пользователь не может подключаться через ssh и ограничен доступом FTP.