De meest gebruikte FTP-servers binnen Linux zijn PureFTPd, ProFTPD en vsftpd. Een overzicht van de verschillen vind je op deze website. Wij raden ProFTPD af omdat het minder goed onderhouden wordt dan PureFTPd en vsftpd.

In deze handleiding laten wij zien hoe je met vsftpd (Very Secure FTPDaemon) een FTP-server in CentOS 7 installeert en configureert, en Let's Encrypt gebruikt om een veilige FTPS-verbinding op te zetten.

Een FTP-server bied je een eenvoudige methode om bestanden naar je VPS te uploaden . Dit is bijvoorbeeld handig voor een webserver om updates van websites op je VPS te plaatsen, of bij een Plex-server om media te uploaden.

Gebruik je liever SFTP? Raadpleeg dan deze handleiding.

De FTP-server installeren en configureren

Stap 1

Verbind met je VPS via SSH of de VPS-console in je controlepaneel.

Stap 2

Installeer vsftpd met het commando:

yum -y install vsftpd

Stap 3

Voor je je FTP-server start, maak je enkele aanpassingen in de configuratie van vsftpd, met als doel toegang tot je FTP-server specifieker af te stellen.

Open het configuratiebestand met nano of vi:

nano /etc/vsftpd/vsftpd.conf

Stap 4

Pas de volgende instellingen aan / voeg ze toe als ze nog niet bestaan. In de toelichting onder de opties wordt de werking van deze opties nader toegelicht.

anonymous_enable=NO
chroot_local_user=YES
allow_writeable_chroot=YES
userlist_enable=YES
userlist_file=/etc/vsftpd.userlist
userlist_deny=NO

Toelichting code

• anonymous_enable=NO : Voorkomt dat niet-geïdentificeerde gebruikers kunnen inloggen op je FTP server.
• chroot_local_user=YES : Plaatst FTP-gebruikers in hun eigen home directory (i.e. een chroot jail) na het inloggen op je FTP server. 
• allow_writeable_chroot=YES : Geeft FTP-gebruikers toestemming om wijzigingen te maken in de chroot directory (i.e. de eigen home directory).
• userlist_enable=YES : Schakelt de vsftpd-userlist in, waarmee je gebruikers toestemming kunt geven, of toegang verbieden, tot je FTP-server.
• userlist_file=/etc/vsftpd.userlist : De locatie van de hierboven beschreven userlist.
• userlist_deny=NO : Enkel de user accounts in de userlist file mogen inloggen op je FTP-server. Zet je de optie op 'YES', dan geeft de userlist geen toestemming, maar verbiedt het toegang tot je FTP-server.

Sla de wijzigingen op en sluit het bestand met de toetsencombinatie ctrl + x > y > enter.

Stap 5

CentOS 7 komt out-of-the-box met Firewalld, waarin alle poorten by default dicht staan. Open poort 21 met de commando's:

firewall-cmd --zone=public --permanent --add-port=21/tcp
firewall-cmd --reload

Stap 6

CentOS 7 komt naast Firewalld ook standaard met SELinux. In deze stap stel je SELinux in om vsftpd read/write toegang te geven tot een gebruiker zijn/haar home directory. Gebruik je geen SELinux, of staat SELinux op permissive? Ga dan verder met de volgende stap.

semanage boolean -m ftpd_full_access --on

Stap 7

vsftpd start niet automatisch na de installatie en na een reboot. Je start vsftpd en schakelt het automatisch starten ervan in met:

systemctl start vsftpd
systemctl enable vsftpd

Gebruikers aanmaken en toegang geven tot je FTP-server

In de vorige stappen heb je de vsftpd-userlist optie ingeschakeld, samen met de aanvullende optie dat enkel gebruikersaccounts in de userlist-file toegang hebben tot je FTP-server. In dit onderdeel maak je (optioneel) een nieuwe gebruiker aan, en voeg je de gebruiker toe aan de userlist.

Stap 1

Je maakt FTP-gebruikers op dezelfde manier aan als normale gebruikers op je VPS. Wil je een bestaand gebruikersaccount gebruiken? Ga dan verder met stap 2.

useradd -m -c "transip ftp demo" username
passwd username

Toelichting code

• -m: maakt een home directory voor de gebruiker aan. Dit is optioneel en enkel nodig als je daadwerkelijk de user een home directory op je VPS wil geven in /home/username. Geef je de user in het deel 'Home directories van gebruikers aanpassen' een home directory die zich niet in /home bevindt? Dan kun je -m weglaten.
• -c: is eveneens optioneel en voegt een comment toe aan de gebruiker. Dit is vooral handig om een notitie voor jezelf te maken waarvoor een account dient.
• username: de daadwerkelijke gebruikersnaam
• passwd username: geeft de gebruiker een wachtwoord

Stap 2

Open het userlist-bestand met:

nano /etc/vsftpd.userlist

Stap 3

Voeg de naam van de gebruiker toe aan het bestand. Iedere gebruikersnaam wordt op een nieuwe regel toegevoegd, bijvoorbeeld:

transip
admin
username

echo "gebruikersnaam" | sudo tee -a /etc/vsftpd.userlist

Sla de wijzigingen op en sluit nano met ctrl + c > y > enter.

Home directories van gebruikers aanpassen

Dankzij de eerdere configuratie komen FTP-gebruikers standaard in hun home directory terecht. In deze paragraaf laten wij zien hoe je specifieke directories instelt. Dit is bijvoorbeeld handig als je gebruikers naar een specifieke directory wil leiden waar hun website in staat (bij webservers), of bijvoorbeeld een specifieke map (e.g. Big Storage) op een Plex-server.

Stap 1

Wil je een bestaande map gebruiken? Ga dan verder met stap 3. Bestaat de map nog niet? Maak dan eerst hem aan en verwijder alle schrijfrechten voor alle gebruikers (vervang gebruikersnaam door de naam van de gebruiker).

mkdir /home/gebruikersnaam/ftp
chown nobody:nobody /home/gebruikersnaam/ftp
chmod a-w /home/gebruikersnaam/ftp

Stap 2

Maak de directory aan waar de gebruiker bestanden in mag plaatsen en geef enkel die gebruiker volledige rechten tot de map (vervang gebruikersnaam door de naam van de gebruiker):

mkdir /home/gebruikersnaam/ftp/files
chown gebruikersnaam:gebruikersnaam /home/gebruikersnaam/ftp/files
chmod 0700 /home/gebruikersnaam/ftp/files

De reden dat je bij de FTP folder toegang verwijdert en de files folder wel toegang geeft is vanuit veiligheidsoverwegingen: zo voorkom je dat er eventueel toegang verkregen kan worden tot de daar verder onderliggende mappen.

Stap 3

Je gaat nu de home directory van je gebruikers instellen. Open opnieuw het configuratiebestand van VSFTP:

nano /etc/vsftpd/vsftpd.conf

Stap 4

Voeg de volgende twee regels toe onderaan in het bestand:

user_sub_token=$USER
local_root=/home/$USER/ftp/

• user_sub_token=$USER: de naam van de gebruiker die met je FTP-server verbindt, wordt gebruikt voor de variabele $USER
• local_root: de directory waar je FTP gebruikers terecht komen. In dit voorbeeld is het de map ftp in de eigen home directory.
  • Stel dat je bijvoorbeeld Big Storage aan je VPS gekoppelt hebt en die wil gebruiken (e.g. voor een Plex-server), dan  gebruik je local_root=/mnt/bigstorage/ (vervang /mnt/bigstorage/ door de daadwerkelijke map waar je Big Storage gemount is), waarbij je dan bijvoorbeeld van /bigstorage/ de rechten verwijderd en een map /mnt/bigstorage/plex aanmaakt waar je gebruikers wel rechten toe geeft.
  • Host je websites (in /var/www/html/) en heb je in de vorige paragraaf je domein als gebruikernsaam gebruikt? Dan zou je hier local_root=/var/www/html/$USER instellen, waarbij je in die map geen rechten geeft, maar bijvoorbeeld wel tot /var/www/html/$USER/public_html

Sla de wijzigingen op en sluit het bestand met de toetsencombinatie ctrl + x > y > enter.

Stap 5

Herstart tot slot vsftpd om de nieuwe configuratie toe te passen. Het kan soms een paar minuten duren voor je een dergelijke configuratiewijziging terugziet wanneer je verbindt via je FTP-client.

systemctl restart vsftpd

Je FTP-server beveiligen

Het FTP-protocol versleuteld geen gegevens en is dus onveilig. In de praktijk wordt daarom doorgaans altijd SFTP of FTPS gebruikt (zie dit artikel voor een toelichting op de verschillen). In dit deel van de handleiding beveilig je je FTP-server met FTPS.

Stap 1

Als SSL(TLS)-certificaat gebruiken we een Let's Encrypt-certificaat. Als je nog geen Let's Encrypt geïnstalleerd hebt, installeer je het eerst met het commando:

yum -y install certbot

Stap 2

In deze stap genereer je een standalone certificaat. Het is voor de verificatie belangrijk dat poort 80 en 443 open staan in je firewall (in CentOS 7 is dit standaard Firewalld). Indien ze nog niet open staan gebruik je de commando's:

firewall-cmd --zone=public --permanent --add-port=80/tcp
firewall-cmd --zone=public --permanent --add-port=443/tcp
firewall-cmd --reload

Genereer een certificaat met het onderstaande commando. Vervang hier server.voorbeeld.nl door je hostname (te controleren met het commando hostnamectl).

Er zal je om een e-mailadres en toestemming gevraagd worden voor de algemene voorwaarden, en voor het delen van je e-mailadres met de Electronic Frontier Foundation (optioneel).

certbot certonly --standalone -d server.voorbeeld.nl

Stap 3

Je Let's Encrypt-certificaat en keyfile zijn opgeslagen in /etc/letsencrypt/live/<hostname>/ (de exacte locatie staat in de output van het commando in stap 2).

Vervolgens pas je de vsftpd-configuratie aan om inderdaad de Let's Encrypt-certificaten te gebruiken en onveilige verbindingen te weigeren. Open opnieuw /etc/vsftpd/vsftpd.conf:

nano /etc/vsftpd/vsftpd.conf

Stap 4

Voeg de volgende configuratie toe onderaan het bestand, waarbij je server.voorbeeld.nl vervangt door je hostname.

ssl_enable=YES
allow_anon_ssl=NO
force_local_data_ssl=YES
force_local_logins_ssl=YES
ssl_tlsv1_1=YES
ssl_tlsv1_2=YES
ssl_tlsv1=NO
ssl_sslv2=NO
ssl_sslv3=NO
require_ssl_reuse=NO
ssl_ciphers=HIGH
pasv_min_port=50100
pasv_max_port=51100
rsa_cert_file=/etc/letsencrypt/live/server.voorbeeld.nl/fullchain.pem
rsa_private_key_file=/etc/letsencrypt/live/server.voorbeeld.nl/privkey.pem

Stap 5

Een goede reden om voor Let's Encrypt te kiezen in plaats van OpenSSL is de eenvoudige auto-renew mogelijkheid van Let's Encrypt, zodat je geen omkijken hebt naar het eventueel verlopen van je certificaat. Hiervoor maak je een cronjob aan met het commando:

crontab -e

Stap 6

Crontab werkt praktisch hetzelfde als vi. Het opent in command mode en je schakelt over op insert mode met de toets 'i'. Voeg daarna de inhoud hieronder toe.

SHELL=/bin/bash
HOME=/
@monthly certbot -q renew >> /var/log/le.log

• De cronjob wordt iedere maand om 0:00 uitgevoerd.
• -q zorgt ervoor dat er geen output wordt gegenereerd, behalve bij errors.
• renew vernieuwt alle Let's Encrypt-certificaten die binnen 30 dagen verlopen. Let's Encrypt certificaten zijn 90 dagen geldig, dus hiermee wordt elke twee maanden een nieuw certificaat gegenereerd.
• >> /var/log/le.log stuurt de output naar het bestand le.log

Schakel na het toevoegen van de code terug naar command mode met 'Esc'. Sla daarna je wijzigingen op en sluit crontab met de toetsencombinatie :wq!

Stap 7

In stap 4 heb je o.a. een passive port range geconfigureerd. Deze staat niet automatisch open in je firewall en zet je handmatig open met:

firewall-cmd --zone=public --permanent --add-port=50100-51100/tcp
firewall-cmd --reload

Stap 8

Je hoeft nu enkel vsftpd te herstarten met het commando:

systemctl restart vsftpd

Daarmee zijn we aan het eind gekomen van deze vsftpd-handleiding en heb je een veilige FTP(S)-server opgezet! Je kunt nu je FTP-server gaan testen en bestanden naar je VPS uploaden.

Mocht je aan de hand van dit artikel nog vragen hebben, aarzel dan niet om onze supportafdeling te benaderen. Je kunt hen bereiken via de knop 'Neem contact op' onderaan deze pagina.

Wil je dit artikel met andere gebruikers bespreken, laat dan vooral een bericht achter onder 'Reacties'.