De meest gebruikte FTP-servers binnen Linux zijn PureFTPd, ProFTPD en vsftpd. Een overzicht van de verschillen vind je op deze website. Wij raden ProFTPD af omdat het minder goed onderhouden wordt dan PureFTPd en vsftpd.

Een FTP-server bied je een eenvoudige methode om bestanden naar je VPS te uploaden. Dit is bijvoorbeeld bij een webserver handig om updates van websites op je VPS te plaatsen, of bij een Plex-server om media te uploaden naar je VPS.

In deze handleiding laten wij zien hoe je met VSFTPD (Very Secure FTPDaemon) een FTP-server in Ubuntu 16 of 18 installeert en configureert, en TLS gebruikt om een veilige FTPS-verbinding op te zetten.

Gebruik je liever SFTP? Raadpleeg dan deze handleiding.

De FTP-server installeren en configureren

Stap 1

Verbind met je VPS via SSH of de VPS-console in je controlepaneel.

Stap 2

Installeer vsftpd met het commando:

apt -y install vsftpd

vsftpd start automatisch na de installatie en herstarts van je OS.

Stap 3

Voor je je FTP-server start, maak je enkele aanpassingen in de configuratie van VSFTPD, met als doel toegang tot je FTP-server specifieker af te stellen.

Open het configuratiebestand met nano of vi:

nano /etc/vsftpd.conf

Stap 4

Pas de volgende instellingen aan / voeg ze toe als ze nog niet bestaan. In de toelichting onder de opties wordt de werking van deze opties nader toegelicht.

write_enable=yes
chroot_local_user=YES
allow_writeable_chroot=YES
userlist_enable=YES
userlist_file=/etc/vsftpd.userlist
userlist_deny=NO

Toelichting code

• anonymous_enable=NO : Voorkomt dat niet-geïdentificeerde gebruikers kunnen inloggen op je FTP server.
• chroot_local_user=YES : Plaatst FTP-gebruikers in hun eigen home directory (i.e. een chroot jail) na het inloggen op je FTP server. 
• allow_writeable_chroot=YES : Geeft FTP-gebruikers toestemming om wijzigingen te maken in de chroot directory (i.e. de eigen home directory).
• userlist_enable=YES : Schakelt de VSFTPD-userlist in, waarmee je gebruikers toestemming kunt geven, of toegang verbieden, tot je FTP-server.
• userlist_file=/etc/vsftpd.userlist : De locatie van de hierboven beschreven userlist.
• userlist_deny=NO : Enkel de user accounts in de userlist file mogen inloggen op je FTP-server. Zet je de optie op 'YES', dan geeft de userlist geen toestemming, maar verbiedt het toegang tot je FTP-server.

Sla de wijzigingen op en sluit het bestand met de toetsencombinatie ctrl + x > y > enter.

Stap 5

Ubuntu 16 of 18 komt out-of-the-box met UFW als firewall, waarin alle poorten by default dicht staan. Open poort 21 met de commando's:

ufw allow 21

Gebruikers aanmaken en toegang geven tot je FTP-server

In de vorige stappen heb je de VSFTPD-userlist optie ingeschakeld, samen met de aanvullende optie dat enkel gebruikersaccounts in de userlist-file toegang hebben tot je FTP-server. In dit onderdeel maak je (optioneel) een nieuwe gebruiker aan, en voeg je de gebruiker toe aan de userlist.

Stap 1

Je maakt FTP-gebruikers op dezelfde manier aan als normale gebruikers op je VPS. Wil je een bestaand gebruikersaccount gebruiken? Ga dan verder met stap 2.

useradd -m -c "transip ftp demo" username
passwd username

Toelichting code

• -m: maakt een home directory voor de gebruiker aan. Dit is optioneel en enkel nodig als je daadwerkelijk de user een home directory op je VPS wil geven in /home/username. Geef je de user in het deel 'Home directories van gebruikers aanpassen' een home directory die zich niet in /home bevindt? Dan kun je -m weglaten.
• -c: is eveneens optioneel en voegt een comment toe aan de gebruiker. Dit is vooral handig om een notitie voor jezelf te maken waarvoor een account dient.
• username: de daadwerkelijke gebruikersnaam
• passwd username: geeft de gebruiker een wachtwoord

Stap 2

Open het userlist-bestand met:

nano /etc/vsftpd.userlist

Stap 3

Voeg de naam van de gebruiker toe aan het bestand. Iedere gebruikersnaam wordt op een nieuwe regel toegevoegd, bijvoorbeeld:

transip
admin
username

echo "gebruikersnaam" | sudo tee -a /etc/vsftpd.userlist

Sla de wijzigingen op en sluit nano met ctrl + c > y > enter.

Home directories van gebruikers aanpassen

Dankzij de eerdere configuratie komen FTP-gebruikers standaard in hun home directory terecht. In deze paragraaf laten wij zien hoe je specifieke directories instelt. Dit is bijvoorbeeld handig als je gebruikers naar een specifieke directory wil leiden waar hun website in staat (bij webservers), of bijvoorbeeld een specifieke map (e.g. Big Storage) op een Plex-server.

Stap 1

Wil je een bestaande map gebruiken? Ga dan verder met stap 3. Bestaat de map nog niet? Maak dan eerst hem aan en verwijder alle schrijfrechten voor alle gebruikers (vervang gebruikersnaam door de naam van de gebruiker).

mkdir /home/gebruikersnaam/ftp
chown nobody:nogroup /home/gebruikersnaam/ftp
chmod a-w /home/gebruikersnaam/ftp

Stap 2

Maak de directory aan waar de gebruiker bestanden in mag plaatsen en geef enkel die gebruiker volledige rechten tot de map (vervang gebruikersnaam door de naam van de gebruiker):

mkdir /home/gebruikersnaam/ftp/files
chown gebruikersnaam:gebruikersnaam /home/gebruikersnaam/ftp/files
chmod 0700 /home/gebruikersnaam/ftp/files

Stap 3

Je gaat nu de home directory van je gebruikers instellen. Open opnieuw het configuratiebestand van VSFTP:

nano /etc/vsftpd.conf

Stap 4

Voeg de volgende twee regels toe onderaan in het bestand:

user_sub_token=$USER
local_root=/home/$USER/ftp/

• user_sub_token=$USER: de naam van de gebruiker die met je FTP-server verbindt, wordt gebruikt voor de variabele $USER
• local_root: de directory waar je FTP gebruikers terecht komen. In dit voorbeeld is het de map ftp in de eigen home directory. Tenzij je meer mappen toe voegt in de ftp directory, kun je hier net zo goed direct /home/$USER/ftp/files gebruiken.
  • Stel dat je bijvoorbeeld Big Storage aan je VPS gekoppelt hebt en die wil gebruiken (e.g. voor een Plex-server), dan  gebruik je local_root=/mnt/bigstorage/ (vervang /mnt/bigstorage/ door de daadwerkelijke map waar je Big Storage gemount is).
  • Host je websites (in /var/www/html/) en heb je in de vorige paragraaf je domein als gebruikernsaam gebruikt? Dan zou je hier local_root=/var/www/html/$USER instellen.

Sla de wijzigingen op en sluit het bestand met de toetsencombinatie ctrl + x > y > enter.

Stap 5

Herstart tot slot VSFTPD om de nieuwe configuratie toe te passen. Het kan soms een paar minuten duren voor je een dergelijke configuratiewijziging terugziet wanneer je verbindt via je FTP-client.

systemctl restart vsftpd

Je FTP-server beveiligen

Het FTP-protocol versleuteld geen gegevens en is dus onveilig. In de praktijk wordt daarom doorgaans altijd SFTP of FTPS gebruikt (zie dit artikel voor een toelichting op de verschillen). In dit deel van de handleiding beveilig je je FTP-server met FTPS.

Stap 1

Als SSL(TLS)-certificaat gebruiken we een Let's Encrypt-certificaat. Als je nog geen Let's Encrypt geïnstalleerd hebt, installeer je het eerst met het commando:

apt -y install certbot

Stap 2

In deze stap genereer je een standalone certificaat. Het is voor de validatie belangrijk dat poort 80 en 443 open staan in je firewall (in Ubuntu 16 of 18 is dit standaard UFW). Indien ze nog niet open staan gebruik je de commando's:

ufw allow 80
ufw allow 443

Genereer een certificaat met het onderstaande commando. Vervang hier server.voorbeeld.nl door je hostname (te controleren met het commando hostnamectl).

Er zal je om een e-mailadres en toestemming gevraagd worden.

certbot certonly --standalone -d server.voorbeeld.nl

Stap 3

Je Let's Encrypt-certificaat en keyfile zijn opgeslagen in /etc/letsencrypt/live/<hostname>/ (de exacte locatie staat in de output van het commando in stap 2).

Vervolgens pas je de VSFTPD-configuratie aan om inderdaad de Let's Encrypt-certificaten te gebruiken en onveilige verbindingen te weigeren. Open opnieuw /etc/vsftpd/vsftpd.conf:

nano /etc/vsftpd.conf

Stap 4

Voeg de volgende configuratie toe onderaan het bestand, waarbij je server.voorbeeld.nl vervangt door je hostname.

ssl_enable=YES
allow_anon_ssl=NO
force_local_data_ssl=YES
force_local_logins_ssl=YES
ssl_tlsv1_1=YES
ssl_tlsv1_2=YES
ssl_tlsv1=NO
ssl_sslv2=NO
ssl_sslv3=NO
require_ssl_reuse=NO
ssl_ciphers=HIGH
pasv_min_port=50100
pasv_max_port=51100
rsa_cert_file=/etc/letsencrypt/live/server.voorbeeld.nl/fullchain.pem
rsa_private_key_file=/etc/letsencrypt/live/server.voorbeeld.nl/privkey.pem

Stap 5

Een goede reden om voor Let's Encrypt te kiezen in plaats van OpenSSL is de eenvoudige auto-renew mogelijkheid van Let's Encrypt, zodat je geen omkijken hebt naar het eventueel verlopen van je certificaat. Hiervoor maak je een cronjob aan met het commando:

crontab -e

Stap 6

Crontab werkt praktisch hetzelfde als vi. Het opent in command mode en je schakelt over op insert mode met de toets 'i'. Voeg daarna de inhoud hieronder toe.

SHELL=/bin/bash
HOME=/
@monthly certbot -q renew

• De cronjob wordt iedere maand om 0:00 uitgevoerd.
• -q zorgt ervoor dat er geen output wordt gegenereerd, behalve bij errors.
• renew vernieuwt alle Let's Encrypt-certificaten die binnen 30 dagen verlopen. Let's Encrypt certificaten zijn 90 dagen geldig, dus hiermee wordt elke twee maanden een nieuw certificaat gegenereerd.

Schakel na het toevoegen van de code terug naar command mode met 'Esc'. Sla daarna je wijzigingen op en sluit crontab met de toetsencombinatie :wq!

Stap 7

In stap 5 heb je o.a. een passive port range geconfigureerd. Deze staat niet automatisch open in je firewall en zet je handmatig open met:

firewall-cmd --zone=public --permanent --add-port=50100-51100/tcp
firewall-cmd --reload

Stap 8

Je bent nu zo goed als klaar: je hoeft enkel nog VSFTPD te herstarten met commando hieronder.

systemctl restart vsftpd

Tot slot volgt het leukste onderdeel: je kunt nu je verbinding testen!

Daarmee zijn we aan het eind gekomen van deze tutorial en heb je een veilige FTP(S)-server draaien!

Mocht je aan de hand van dit artikel nog vragen hebben, aarzel dan niet om onze supportafdeling te benaderen. Je kunt hen bereiken via de knop 'Neem contact op' onderaan deze pagina.

Wil je dit artikel met andere gebruikers bespreken, laat dan vooral een bericht achter onder 'Reacties'.