Nastavení FTP serveru na Ubuntu: Praktický průvodce sdílením souborů (americká edice)

1. Úvod

Nastavení FTP serveru na Ubuntu je vysoce praktický přístup pro vývojáře a administrátory, kteří potřebují efektivně odesílat a přijímat soubory. Zejména při cílení na vybudování domácího serveru nebo jednoduchého vnitrofiremního prostředí pro sdílení souborů vyniká FTP (File Transfer Protocol) jako jednoduchá a snadno implementovatelná volba.

Co je FTP server?

FTP server je specializovaný serverový software navržený pro přenos a příjem souborů přes internet nebo lokální síť. Uživatelé se mohou připojit k serveru pomocí softwaru FTP klienta pro nahrávání a stahování souborů.

I když bezpečné alternativy jako SFTP a SCP získaly popularitu v některých oblastech, FTP zůstává preferovanou volbou pro mnoho aplikací díky své jednoduchosti a nízké náročnosti na zdroje. Nadále se jedná o vysoce praktický protokol, zejména pro použití v omezených sítích nebo pro základní úkoly.

Role FTP serveru v Ubuntu

Ubuntu je distribuce Linuxu oblíbená u mnoha uživatelů a široce používaná pro serverové účely. Výstavbou FTP serveru v prostředí Ubuntu se sdílení souborů mezi více zařízeními a uživateli stává snadným.

Je to obzvláště efektivní v případech, jako jsou:

• Přenos souborů na webové servery
• Integrace s IoT zařízeními, jako je Raspberry Pi
• Sdílení interních dokumentů

Tímto způsobem kombinace Ubuntu a FTP serveru umožňuje flexibilní a efektivní správu souborů.

Účel a cílová skupina tohoto článku

Tento článek vysvětlí, jak nastavit FTP server na Ubuntu, a poskytne snadno srozumitelné pokyny krok za krokem pro začátečníky. Je určený konkrétně pro čtenáře, kteří:

• Jsou obeznámeni se základními operacemi Ubuntu, ale jsou noví v FTP.
• Chtějí vybudovat FTP server pro lokální nebo jednoduché obchodní použití.
• Také chtějí vědět o důležitých aspektech, jako je bezpečnost a zobrazení japonských názvů souborů s chybami.

Pokud budete následovat kroky uvedené zde v pořadí, budete schopni vybudovat bezpečné a praktické prostředí FTP serveru. V další části začneme vysvětlením, jak nainstalovat „vsftpd“, oblíbený FTP server.

2. Instalace vsftpd

Při výstavbě FTP serveru na Ubuntu je nejčastěji používaným softwarem vsftpd (Very Secure FTP Daemon). Jak naznačuje jeho název, jedná se o FTP server s filozofií „velmi bezpečného“ designu. Je lehký a stabilní, díky čemuž je široce přijímaný v korporátních a vzdělávacích prostředích.

Tato část vysvětluje kroky pro instalaci vsftpd na Ubuntu a nastavení spuštění služby a automatického spuštění.

Instalace vsftpd

Nejprve použijte systém správy balíčků Ubuntu (APT) k instalaci vsftpd. Proveďte následující kroky v pořadí:

sudo apt update
sudo apt install vsftpd

• sudo apt update : Aktualizuje informace o balíčcích na nejnovější verzi.
• sudo apt install vsftpd : Instaluje balíček vsftpd.

Po dokončení instalace se vsftpd automaticky spustí.

Kontrola stavu služby

K ověření, že byl vsftpd správně nainstalován a běží, použijte následující příkaz:

sudo systemctl status vsftpd

Pokud tento příkaz zobrazí „active (running)“, FTP server funguje normálně.

Kontrola a povolení automatického spuštění

vsftpd je obvykle nakonfigurován pro automatické spuštění ihned po instalaci, ale je dobré to dvojitě zkontrolovat.

sudo systemctl enable vsftpd

Spuštěním tohoto příkazu zajistíte, že se vsftpd spustí automaticky při následujících restartováních systému.

Nezapomeňte nakonfigurovat firewall (UFW)

Pokud máte na svém systému Ubuntu povolený UFW (Uncomplicated Firewall), musíte otevřít FTP porty.

sudo ufw allow 20/tcp
sudo ufw allow 21/tcp

Toto umožní externí přístup k standardním FTP portům: port 20 (data) a port 21 (command).

Po nastavení obnovte UFW, aby se změny aplikovaly.

sudo ufw reload

3. Základní konfigurace

Jakmile je vsftpd nainstalován, dalším krokem je přizpůsobit chování FTP serveru vašim potřebám úpravou konfiguračního souboru. Zatímco konfigurační soubor vsftpd umožňuje velmi podrobnou kontrolu, v základním nastavení má mnoho omezení, takže je nutné explicitně povolit požadované funkce.

Tato část vysvětluje typické základní konfigurační položky.

Umístění konfiguračního souboru

Hlavní konfigurační soubor pro vsftpd se nachází v:

/etc/vsftpd.conf

Pro provedení změn v konfiguraci upravte soubor následovně:

sudo nano /etc/vsftpd.conf

Po provedení změn je nutné restartovat službu vsftpd.

sudo systemctl restart vsftpd

Povolení zápisu (pro nahrávání, atd.)

Ve výchozí konfiguraci vsftpd nejsou povoleny nahrávání souborů ani úpravy na FTP serveru. Pro povolení zápisu aktivujte následující řádek:

write_enable=YES

Toto nastavení umožní uživatelům nahrávat, mazat a upravovat soubory ve svých domovských adresářích.

Povolení přihlášení lokálních uživatelů

Pro umožnění FTP přihlášení pomocí uživatelských účtů Ubuntu je vyžadováno následující nastavení:

local_enable=YES

S tímto nastavením se lokální uživatelé (systémoví uživatelé) registrovaní v /etc/passwd budou moci přihlásit přes FTP.

Povolení získávání výpisu adresářů

Pokud FTP klient nemůže získat seznam souborů a adresářů, zkontrolujte následující nastavení:

listen=YES
listen_ipv6=NO

Obzvláště v prostředích, kde je IPv6 vypnuté, může listen_ipv6=YES způsobovat problémy s připojením.

Nastavení uvítací zprávy (volitelné)

Můžete také nastavit zprávu (banner), která se zobrazí při připojení k FTP serveru.

ftpd_banner=Welcome to your custom Ubuntu FTP server!

To může být užitečné v obchodním kontextu pro předání kontaktních informací nebo důležitých oznámení uživatelům.

Povolení přenosu v ASCII režimu (pokud je potřeba)

Pokud potřebujete správně přenášet konkrétní textové soubory (např. skripty obsahující Windows konce řádků), nakonfigurujte následující:

ascii_upload_enable=YES
ascii_download_enable=YES

Obvykle je dostačující binární přenos, ale v závislosti na vašem prostředí můžete zvážit jeho povolení.

Takže základní konfigurace vsftpd spočívá v explicitním určení „co je povoleno“. Po úpravě konfiguračního souboru nezapomeňte restartovat službu vsftpd, aby se změny projevily.

Další část se zaměří na pokročilejší bezpečnostní nastavení. Bezpečnostní opatření jsou nepostradatelná, zejména při provozu FTP serveru v veřejné síti.

4. Zvyšování bezpečnosti

Zatímco FTP je pohodlný protokol, jeho charakteristika přenosu dat bez šifrování vyvolává bezpečnostní obavy. Zejména při provozu přes internet jsou robustní bezpečnostní nastavení nezbytná.

Tato část představuje typická bezpečnostní opatření, která lze s vsftpd implementovat.

Omezení rozsahu přístupu uživatelů pomocí chroot

Povolení FTP uživatelům přístupu k adresářům mimo jejich vlastní je vysoce rizikové. Proto je důležité nakonfigurovat chroot, který každého uživatele omezuje na jeho domovský adresář.

Povolte následující dvě nastavení:

chroot_local_user=YES
allow_writeable_chroot=YES

• chroot_local_user=YES zabraňuje lokálním uživatelům přecházet nad jejich domovský adresář.
• allow_writeable_chroot=YES je nastavení, které uvolňuje bezpečnostní omezení vsftpd a je nutné, když má domovský adresář povolení zápisu.

* Bez tohoto nastavení narazíte na chybu „500 OOPS: vsftpd: refusing to run with writable root inside chroot“.

Omezení přístupných uživatelů

Povolení všem lokálním uživatelům přihlásit se k FTP může vést k nečekaným únikům informací. Proto řiďte uživatele s FTP přístupem pomocí whitelist přístupu.

Nejprve přidejte následující nastavení do vsftpd.conf:

userlist_enable=YES
userlist_file=/etc/vsftpd.userlist
userlist_deny=NO

Dále v souboru /etc/vsftpd.userlist uveďte uživatele, kterým chcete povolit přihlášení, po jednom na řádek.

sudo nano /etc/vsftpd.userlist

(Příklad)

ftpuser1
ftpuser2

S touto konfigurací se budou moci přihlásit pouze explicitně uvedení uživatelé.

Implementace šifrované komunikace s FTPS (SSL/TLS)

Standardní FTP přenáší data v prostém textu, což představuje riziko odposlechu ID, hesel a dat. Aby se tomu zabránilo, použijte FTPS (FTP přes SSL/TLS) k šifrování komunikace.

Nejprve vytvořte SSL certifikát (nebo použijte existující).

sudo openssl req -x509 -nodes -days 365 -newkey rsa:2048 -keyout /etc/ssl/private/vsftpd.pem -out /etc/ssl/private/vsftpd.pem

Dále přidejte následující nastavení do vsftpd.conf:

ssl_enable=YES
rsa_cert_file=/etc/ssl/private/vsftpd.pem
rsa_private_key_file=/etc/ssl/private/vsftpd.pem
force_local_data_ssl=YES
force_local_logins_ssl=YES
ssl_tlsv1=YES
ssl_sslv2=NO
ssl_sslv3=NO

Nyní se můžete připojit pomocí „FTPS (Explicitní SSL)“ na straně FTP klienta.

Vypnutí nepotřebných funkcí

Pro zvýšení bezpečnosti je také důležité aktivně vypnout funkce, které se nepoužívají.

Příklad:

anonymous_enable=NO

Toto vypne přihlašování anonymních uživatelů (je vypnuto ve výchozím nastavení, ale explicitní nastavení poskytuje dodatečnou bezpečnost).

S těmito nastaveními bude mít vsftpd FTP server na Ubuntu základní bezpečnostní opatření na místě.
Zvláště při použití přes internet je implementace FTPS nezbytná.

Další kapitola podrobně vysvětlí, jak zpracovávat zkomolené japonské názvy souborů. Toto je často přehlížený bod v provozu FTP, ale je klíčový pro prevenci problémů.

5. Zpracování japonských názvů souborů

Při odesílání a přijímání souborů pomocí FTP se můžete setkat s problémem zkomolení japonských názvů souborů. To je obzvláště časté při výměně souborů mezi Windows a Ubuntu přes FTP, kde nesoulad kódování může vést k „???“ nebo nečitelným řetězcům.

Tato sekce představuje opatření k prevenci zkomolení japonských názvů souborů ve vsftpd.

Hlavní příčiny zkomolení znaků

Zkomolení japonských názvů souborů vzniká především kvůli třem následujícím faktorům:

1. Nastavení locale Ubuntu není UTF-8.
2. Nastavení kódování FTP klienta je nesprávné.
3. vsftpd nepracuje s podporou UTF-8.

Je důležité tyto body zkontrolovat a upravit postupně.

Kontrola a nastavení locale Ubuntu

Nejprve ověřte, že kódování znaků na straně Ubuntu je UTF-8. Zobrazte aktuální locale pomocí následujícího příkazu:

locale

Příklad výstupu:

LANG=ja_JP.UTF-8

Pokud LANG nebo LC_ALL není nastaveno na UTF-8, změňte a znovu nakonfigurujte to následovně:

sudo update-locale LANG=ja_JP.UTF-8
source /etc/default/locale

Také vygenerujte locale, pokud je to nutné:

sudo locale-gen ja_JP.UTF-8

Tím se sjednotí zpracování názvů souborů uvnitř serveru na UTF-8.

Kontrola nastavení UTF-8 ve vsftpd

vsftpd podporuje UTF-8 ve výchozím nastavení, ale je dobré ověřit následující nastavení pro jistotu:

utf8_filesystem=YES

I když tento položka nastavení neexistuje, neměl by být problém, pokud systém pracuje v UTF-8. Nicméně tato položka nemusí být podporována v některých verzích vsftpd.

Nastavení FTP klienta (příklad FileZilla)

Nastavení FTP klienta je také extrémně důležité. Například při připojení pomocí FileZilla ho nakonfigurujte následovně:

1. Otevřete Správce stránek.
2. Otevřete nastavení pro vaše připojení.
3. Vyberte kartu „Charset“.
4. Vyberte „Použít vlastní charset“ a zadejte UTF-8.

Toto nastavení umožní klientovi správně interpretovat názvy souborů serveru jako UTF-8 a zabrání zkomolení znaků.

Poznámka k nahrávání z jiných OS

Při nahrávání souborů vytvořených na Windows atd., pokud systém používá jiné kódování znaků, jako např. Shift_JIS, může dojít k poškození názvu souboru při nahrávání.

V takových případech je bezpečnější převést název souboru na UTF-8 před nahráváním. Na příkazovém řádku můžete použít nástroje jako convmv.

Shrnutí

Při práci s japonskými názvy souborů přes FTP je klíčové, aby kódování znaků na serveru i na klientovi odpovídalo. Na Ubuntu lze nastavením UTF-8 jako standardu a explicitním určením UTF-8 na straně FTP klienta zabránit většině problémů s poškozením znaků.

Další kapitola vysvětlí pasivní režim a nastavení firewallu. Jedná se o důležité konfigurace k vyhnutí se problémům s připojením, zejména při používání FTP přes router nebo v cloudovém prostředí.

6. Pasivní režim a konfigurace firewallu

Běžným problémem při provozování FTP serveru přes internet nebo v prostředí NAT (za routerem) je jev „připojení úspěšné, ale nelze načíst seznam souborů“ nebo „přenos dat selže“.
Mnoho těchto problémů je způsobeno nesprávným režimem provozu FTP (aktivní/pasivní) a nastavením firewallu.

Tato sekce vysvětlí, jak povolit pasivní režim ve vsftpd a nakonfigurovat potřebné porty ve firewallu.

Co je pasivní režim?

FTP má dva komunikační režimy: „aktivní režim“ a „pasivní režim“.

• Aktivní režim : Server se pokouší navázat připojení k klientovi.
• Pasivní režim : Komunikace probíhá pouze s připojeními z klienta na server (odolnější pro komunikaci přes NAT a firewally).

V moderních síťových prostředích se doporučuje pasivní režim. V vsftpd je nutné explicitně nakonfigurovat nastavení pasivního režimu.

Povolení pasivního režimu ve vsftpd

Přidejte nebo upravte následující nastavení v souboru /etc/vsftpd.conf:

pasv_enable=YES
pasv_min_port=40000
pasv_max_port=50000

Tímto se vsftpd nastaví na provoz v pasivním režimu a použití portů 40000 až 50000 pro přenos dat. Tento rozsah je libovolný, ale je běžné rezervovat asi 20–30 portů.

Určení externí IP adresy (pro prostředí NAT)

Pokud je server v prostředí NAT, například za routerem, je nutné explicitně určit globálně viditelnou externí IP adresu, aby se klienti mohli správně připojit.

pasv_address=203.0.113.45

* Výše uvedená IP adresa je příklad. Nahraďte ji svou skutečnou globální IP adresou.

Tímto nastavením může FTP klient navázat datové připojení na základě správných informačních údajů o adrese odeslaných vsftpd.

Konfigurace firewallu (UFW)

Otevřete porty používané vsftpd v Ubuntu firewallu (UFW). Spusťte následující příkazy:

sudo ufw allow 20/tcp
sudo ufw allow 21/tcp
sudo ufw allow 40000:50000/tcp

• 20/tcp : Datový kanál FTP (pro aktivní režim)
• 21/tcp : Příkazový kanál FTP (přihlášení a přenos příkazů)
• 40000:50000/tcp : Rozsah portů pro přenos dat v pasivním režimu

Po nastavení obnovte UFW, aby se změny aplikovaly.

sudo ufw reload

Body k upozornění v cloudových prostředích (AWS, GCP, Azure atd.)

Při provozování FTP na cloudové instanci je nutné otevřít stejné porty nejen v UFW na úrovni OS, ale také ve skupině zabezpečení (firewallu) poskytovatele cloudu.

Příklad: Pro AWS
→ Povolte TCP porty 21 a 40000-50000 ve skupině zabezpečení.

Shrnutí

Pro praktický provoz FTP je konfigurace pasivního režimu vsftpd a otevření portů podle síťového prostředí nezbytné. Zejména při připojování z externí sítě je mnoho komunikačních selhání a časových limitů způsobeno těmito nastaveními.

Další kapitola vysvětlí, jak nastavit individuální přístupová oprávnění a omezení adresářů pro každého FTP uživatele. To bude užitečné pro provoz s více uživateli a správu oprávnění.

7. Konfigurace na úrovni jednotlivých uživatelů

Při používání FTP serveru v reálném provozním prostředí je mnoho případů, kdy chcete přiřadit různá přístupová oprávnění a adresáře více uživatelům. Například můžete potřebovat nastavit dedikované složky pro každé oddělení nebo jednotlivého uživatele, nebo omezit přístup k souborům jiných uživatelů.

Tato sekce představí jak spravovat nastavení na úrovni jednotlivých uživatelů ve vsftpd.

Vytváření dedikovaných FTP uživatelů

Nejprve vytvořte dedikované uživatelské účty pro FTP. Je běžné vytvářet nové uživatele s určenými domovskými adresáři.

sudo adduser ftpuser1

Tento příkaz vytvoří dedikovaný adresář v /home/ftpuser1. Pokud jej používáte pouze pro FTP, můžete omezit přihlášení vypnutím shellu.

sudo useradd -m -s /usr/sbin/nologin ftpuser2

Nastavení oprávnění domovského adresáře

Vzhledem k bezpečnostním specifikacím vsftpd nejsou pro FTP domovské adresáře povoleny „zapisovatelné chroot adresáře“. Proto se doporučuje následující konfigurace:

/home/ftpuser1/
├── files/  ← Allow write access (for uploads, etc.)

Upravte oprávnění následovně:

sudo mkdir /home/ftpuser1/files
sudo chown ftpuser1:ftpuser1 /home/ftpuser1/files
sudo chmod 755 /home/ftpuser1

Tím se vytvoří bezpečná konfigurace, kde kořenový adresář (/home/ftpuser1) není zapisovatelný, ale nahrávání je možné do podadresáře files/.

Přichycování uživatelů k adresářům pomocí chroot

Nastavením chroot_local_user=YES, jak bylo uvedeno v předchozí kapitole, můžete zabránit uživatelům FTP přihlášeným přistupovat k adresářům nad jejich domovským adresářem.

chroot_local_user=YES
allow_writeable_chroot=YES

Toto nastavení pomáhá zabránit náhodnému prohlížení nebo úpravě oblastí ostatních uživatelů.

Používání konfiguračních souborů pro jednotlivé uživatele (detailní kontrola)

vsftpd také nabízí funkci aplikovat individuální nastavení pro každého uživatele. To vám umožní jemně řídit zásady jako omezení přístupu, logování a časy připojení.

Nejprve nakonfigurujte následovně:

user_config_dir=/etc/vsftpd_user_conf

Poté vytvořte jednotlivé konfigurační soubory ve specifikovaném adresáři.

sudo mkdir /etc/vsftpd_user_conf
sudo nano /etc/vsftpd_user_conf/ftpuser1

Příklad:

local_root=/home/ftpuser1/files
write_enable=YES

Tím můžete omezit kořenový adresář ftpuser1 na /home/ftpuser1/files a oddělit oprávnění zápisu od ostatních uživatelů.

Body k uvážení při současném používání SFTP

Pokud používáte SFTP (FTP založené na SSH), které využívá funkce OpenSSH, vedle vsftpd, doporučuje se spravovatace odděleně, protože uživatelské shelly skupinové příslušnosti se mohou lišit.

Shrnutí

vsftpd umožňuje flexibilní řízení adresářů a nastavení přístupových oprávnění pro každého uživatele. Správná správa uživatelů umožňuje vyvážení mezi bezpečností a pohodlím.

Další kapitola vysvětluje, jak zkontrolovat provoz FTP serveru. Připojme se skutečně z klienta a ověřme, že nahrávání a stahování souborů lze provádět normálně.

8. Ověření provo

Dosud jste dokončili instalaci, konfiguraci a správu uživatelů FTP serveru. Posledním důležitým krokem je ověřit, že FTP server skutečně funguje správně.
Tato sekce představuje, jak zkontrolovat připojení pomocí lokálního prostředí a FTP klienta.

Kontrola připojení v lokálním prostředí (příkazová řádka)

Pro otestování, zda se můžete připojit k FTP serveru přímo z Ubuntu, použijte příkaz ftp. Zkuste se připojit následovně:

ftp localhost

Když se zobrazí výzva k přihlášení, zadejte FTP uživatelské jméno a heslo, které jste vytvořili dříve.

Name (localhost:username): ftpuser1
Password: ********

Po přihlášení můžete vyzkoušet základ operace pomocí příkazů jako:

ls          # Display file list
cd files    # Change directory
put test.txt  # Upload a file
get test.txt  # Download a file

Pokud to funguje úspěšně, FTP server byl postaven bez problémů.

• Poznámka: V novějších verzích Ubuntu je příkaz ftp zastaralý, takže můžete nainstalovat a použít klienty jako lftp nebo ncftp jako alternativy.

Ověření připojení z GUI klienta (příklad Fileilla)

Pro běžné uživatele a ověření složitých adresářových struktur je GUI FTP klient, jako je FileZilla, pohodlný. Postup nastavení je popsán níže.

Postup připojení pomocí FileZilla:

1. Spusťte FileZilla a otevřete „Site Manager.“
2. Vytvořte „New Site.“
3. Zadejte následující:

4. Klikněte na tlačítko „Connect“.

Pokud se po připojení zobrazí seznam souborů a struktura adresářů, je to úspěšné. Vyzkoušejte také operace nahrávání/stahování.

Běžné problémy a kontrolní body během FTP připojení

Kontrola stavu pomocí log souborů

Pokud problém přetrvává, kontrola log souboru vsftpd může pomoci identifikovat příčinu.

cat /var/log/vsftpd.log

Pro další systémové logy použijte následující:

sudo journalctl -u vsftpd

Tyto informace usnadňují pochopení „kdy“, „kdo“, „co udělal“ a „kde došlo k selhání“.

Další tipy

• Pokud je připojení nestabilní: Podezřejte firewall na straně klienta nebo antivir blokující připojení.
• Omezení kvůli posílené bezpečnosti: SELinux nebo AppArmor může interferovat (AppArmor je často povoleno na Ubuntu).

Shrnutí

Existují běžné vzorce chyb, které mají tendenci se vyskytovat během FTP operací. Klidnou kontrolou každého bodu a ověřením konfiguračního souboru, uživatelů, firewallu a logů lze většinu problémů vyřešit.

Další kapitola podrobně vysvětlí běžné problémy, které se vyskytují během FTP operací, a jak je řešit. Znalost řešení chyb významně zlepší vaši schopnost reagovat během skutečné operace.

9. Řešení problémů

I po dokončení nastavení FTP serveru se během skutečné operace mohou vyskytnout různé chyby a poruchy. Zejména problémy s konfigurací sítě, nastavením oprávnění a omezeními kvůli bezpečnostním nastavením mohou vést k problémům, jako je neschopnost připojit se nebo selhání přenosu souborů.

Tato sekce uvádí běžné chyby a jejich řešení případ od případu. Je organizována tak, aby pomohla začátečníkům snadno identifikovat příčinu a rychle se zotavit.

Běžné chyby a metody řešení problémů

Chyba: 530 Login incorrect

Příčina:

• Nesprávné uživatelské jméno nebo heslo.
• Uživatel není registrován v /etc/vsftpd.userlist (při používání bílé listiny).

Řešení:

• Dvojitě zkontrolujte zadané informace.
• Pokud je nastaveno userlist_deny=NO, přidejte uživatele, kterého chcete povolit k přihlášení, do /etc/vsftpd.userlist.

Chyba: 500 OOPS: vsftpd: refusing to run with writable root inside chroot()

Příčina:

• Domovský adresář je zapisovatelný, zatímco je povolena funkce chroot.

Řešení:

• Přidejte následující do vsftpd.conf:

  allow_writeable_chroot=YES
  

• Alternativně, neudělte zapisovací oprávnění domovskému adresáři a místo toho nakonfigurujte zapisovací oprávnění pro podsložku, jako je files/.