如何配置 ProFTPd 以使用 SFTP 而不是 FTP

简介

FTP（文件传输协议）是在本地和远程服务器之间传输文件的一种流行方式。虽然过去FTP是首选的传输方法，但它使用明文进行身份验证，因此不安全。

ProFTPd 是一种流行的FTP服务器，可以配置为使用SFTP协议，这是FTP的安全替代方案。本文将向您展示如何配置ProFTPd以使用此协议，以避免FTP的不安全性。

我们将向您展示如何在Ubuntu 12.04 VPS上配置此功能，但大多数发行版应该以类似的方式操作。

安装ProFTPd

ProFTPd软件位于Ubuntu的默认存储库中。我们可以通过输入以下命令来安装它：

sudo apt-get update && sudo apt-get install proftpd

在安装过程中，当提示时选择“独立”选项。

安装完成后，我们需要编辑一些基本配置变量。使用root权限打开ProFTPd配置文件：

sudo nano /etc/proftpd/proftpd.conf

将ServerName参数更改为与您的域名或IP地址匹配：

ServerName      "yourDomainOrIPAddress"

取消DefaultRoot参数前的#以取消注释：

DefaultRoot     ~

保存并关闭文件。

配置ProFTPd的SFTP访问

现在，我们需要配置服务以使用SFTP。

默认文件在conf.d子目录中查找附加配置。我们将在那里创建一个文件以启用SFTP的使用：

sudo nano /etc/proftpd/conf.d/sftp.conf

ProFTPd可以使用与Apache相同格式的配置。如果您熟悉Apache，这应该看起来很熟悉。如果您不熟悉，也很容易理解。

将以下内容复制并粘贴到文件中：

<IfModule mod_sftp.c>
        SFTPEngine on
        Port 2222
        SFTPLog /var/log/proftpd/sftp.log
        # 配置RSA和DSA主机密钥，使用与OpenSSH相同的主机密钥文件。
        SFTPHostKey /etc/ssh/ssh_host_rsa_key
        SFTPHostKey /etc/ssh/ssh_host_dsa_key
        SFTPAuthMethods publickey
        SFTPAuthorizedUserKeys file:/etc/proftpd/authorized_keys/%u
        # 启用压缩
        SFTPCompression delayed
</IfModule>

拆解SFTP配置

让我们将文件分解为其组成部分，以便更好地理解它。

整个部分都包裹在IfModule标签中，以确保只有在SFTP模块可用时（它是可用的）才应用配置选项。

• SFTPEngine on：启用服务器的SFTP功能
• Port 2222：指定接受SFTP连接的端口。由于SSH已经在端口22上寻找连接，我们需要一个不同的端口。
• SFTPLog：配置将创建的日志文件的位置。
• SFTPHostKey：这两行指向SSH主机密钥。这是服务器向客户端标识自己的方式。在大多数情况下，我们使用的行应该是正确的。
• SFTPAuthMethods：此行配置服务器仅接受使用SSH密钥的连接。
• SFTPAuthorizedUserKeys：此参数命名了可用于认证某人的SFTP密钥的位置。%u部分将替换认证用户的名称。
• SFTPCompression delayed：设置在文件传输期间将使用的压缩机制。

配置基于密钥的认证

ProFTPd可以使用SSH密钥来认证用户，但是密钥必须转换为使用RFC4716格式。幸运的是，SSH套件具有本地转换这些文件的能力。

首先创建一个目录来存放这些文件：

sudo mkdir /etc/proftpd/authorized_keys

现在，我们需要转换当前用于登录服务器的公钥。如果您只有一个用户，可以使用以下命令：

sudo ssh-keygen -e -f ~<span class="highlight">username</span>/.ssh/authorized_keys | sudo tee /etc/proftpd/authorized_keys/<span class="highlight">username</span>

如果您有多个用户并且需要分开他们的登录凭据，您将不得不使用实际的公钥而不是authorized_keys文件，就像这样：

sudo ssh-keygen -e -f <span class="highlight">/path/to/id_rsa.pub</span> | sudo tee /etc/proftpd/authorized_keys/<span class="highlight">username_who_owns_key</span>

您可以添加任意数量的密钥。

完成后，重新启动ProFTPd服务器：

sudo service proftpd restart

在 SSH 端口禁用 SFTP 访问

现在我们已经通过 ProFTPd 启用了 SFTP，我们可以在正常的 SSH 端口上禁用它。这将允许我们配置用户访问并锁定每个用户可以通过 ProFTPd 看到和操作的内容，而不必担心人们能够离开他们的主目录。

打开 SSHD 配置文件：

sudo nano /etc/ssh/sshd_config

在文件底部，你应该看到类似以下的一行：

Subsystem sftp /usr/lib/openssh/sftp-server

在该行前面加上一个井号（#）来注释掉该行：

# Subsystem sftp /usr/lib/openssh/sftp-server

保存并关闭文件。

现在，重新启动 SSH 服务器以启用你的更改：

sudo service ssh restart

使用客户端连接

有很多 FTP 客户端可以用来连接服务器。好的客户端也实现了 SFTP 功能。我们将演示如何通过 FileZilla 连接，它在所有主要平台上都可用。

打开 FileZilla 的首选项。在左侧菜单中找到 “SFTP” 部分。

!FileZilla SFTP 菜单

点击 “Add keyfile”，然后导航到你的私钥的位置。通常，这将在 ~/.ssh/id_rsa。你可能会收到一条消息，说 FileZilla 将把它转换为支持的格式。

按 “Okay” 退出首选项。

在主界面中，在 “Host” 字段中输入 sftp://，后面跟上你的服务器的域名或 IP 地址。将你的用户名放在 “Username” 字段中，并填写你选择的 “Port” 字段的端口号：

!FileZilla SFTP 信息

点击 “Quickconnect”，FileZilla 应该会使用你的 SSH 密钥自动连接。

结论

你的服务器现在应该已经配置为接受由 ProFTPd 管理的 SFTP 连接。你可以配置软件来管理用户和受限区域。总的来说，应该尽量避免使用 FTP，因为它缺乏适当的安全性。