Установка и настройка ProFTPD с TLS на Ubuntu 22.04

Что такое ProFTPD?

ProFTPD — это открытый и надёжный FTP‑сервер для Unix/Linux, который легко конфигурируется. Он поддерживает модули (включая модуль TLS), виртуальные хосты и гибкие директивы управления доступом. Простой термин: FTP — протокол для передачи файлов; ProFTPD — реализация FTP‑сервера с большим набором настроек.

Ключевые варианты использования: обмен файлами между сервером и пользователями, интеграция с веб‑хостингом и предоставление разграниченных FTP‑учётных записей.

Требования

• Ubuntu Server 22.04
• Доступ root или пользователь с sudo
• Подключение к интернету для установки пакетов

Важно: на боевых системах выполняйте все изменения в тестовой среде перед применением в продакшене.

Шаг 1 — обновление системы

Обновите индексы пакетов и установите обновления, чтобы избежать конфликтов зависимостей:

sudo apt-get update -y
sudo apt-get upgrade -y
sudo reboot

Примечание: reboot перезапустит систему — сохраните открытые сессии.

Шаг 2 — установка ProFTPD

Установите пакет ProFTPD:

sudo apt install proftpd -y

Проверьте наличие установленного исполняемого файла и версию:

sudo proftpd --version

Если команда возвращает версию, сервис установлен.

Шаг 3 — запуск и автозапуск службы

Запустите и включите автозапуск службы systemd:

sudo systemctl start proftpd
sudo systemctl enable proftpd
sudo systemctl status proftpd

Статус должен показывать Active: active (running). Если есть ошибки, смотрите вывод journalctl для подробностей:

sudo journalctl -u proftpd --no-pager

Конфигурация ProFTPD

Файл конфигурации обычно расположен в /etc/proftpd/proftpd.conf. Откройте его для редактирования:

sudo nano /etc/proftpd/proftpd.conf

Примеры директив:

DefaultRoot /home/Linux/Docs

# Привязка домашней директории для конкретного пользователя
DefaultRoot /home/linux Tom
DefaultRoot / Emma

ServerName "My ProFTPD"

DefaultRoot ограничивает пользователя указанной директорией; если DefaultRoot задан для Tom, он попадёт в /home/linux, тогда как Emma — в свою домашнюю директорию, если у неё отдельная запись не указана.

Создание пользователей FTP

Создавайте системные учётные записи, указывая домашнюю директорию:

sudo useradd -m username
sudo passwd username

Рекомендация: минимизируйте права и используйте chroot или DefaultRoot, чтобы ограничить доступ в файловой системе.

Настройка SSL/TLS для ProFTPD

FTP по умолчанию использует незашифрованную передачу (plain text). Для защиты соединений используйте TLS (иногда называемый FTPS). ProFTPD поддерживает как явное (Explicit) FTPS через порт 21 с STARTTLS, так и неявное (Implicit) FTPS через порт 990.

Установка OpenSSL (если отсутствует)

sudo apt-get install openssl -y

Генерация самоподписанного сертификата

Сгенерируйте пару ключ/сертификат (здесь ключ RSA 2048 рекомендуется вместо 1024 для лучшей криптозащиты):

sudo openssl req -x509 -newkey rsa:2048 -keyout /etc/ssl/private/proftpd.key -out /etc/ssl/certs/proftpd.crt -nodes -days 365

Сертификат будет действителен 365 дней. Система задаст вопросы для полей сертификата (Country, State, Organization и т. п.).

Затем ограничьте права доступа к файлам ключа и сертификата:

sudo chmod 600 /etc/ssl/private/proftpd.key
sudo chmod 600 /etc/ssl/certs/proftpd.crt

Включение TLS в конфигурации ProFTPD

Откройте основной конфиг и раскомментируйте включение tls.conf:

sudo nano /etc/proftpd/proftpd.conf
# Убедитесь, что строка не закомментирована
Include /etc/proftpd/tls.conf

Затем отредактируйте /etc/proftpd/tls.conf и включите нужные параметры. Пример минимальной конфигурации TLS:

  TLSEngine                  on
  TLSLog                     /var/log/proftpd/tls.log
  TLSProtocol                TLSv1.2 TLSv1.3
  TLSRSACertificateFile      /etc/ssl/certs/proftpd.crt
  TLSRSACertificateKeyFile   /etc/ssl/private/proftpd.key
  TLSOptions                 NoCertRequest
  TLSRequired                on

Важно: используйте современные версии TLS (TLSv1.2, TLSv1.3). Опция TLSRequired on заставляет все соединения использовать TLS; при необходимости можно разрешить как TLS, так и незашифрованные соединения, но это снижает безопасность.

Перезапустите сервис после изменений:

sudo systemctl restart proftpd

Проверьте лог TLS:

sudo tail -n 200 /var/log/proftpd/tls.log

Отладка и распространённые проблемы

• Проблема: клиент не может установить зашифрованное соединение — проверьте, что клиент поддерживает TLSv1.2/1.3 и не использует устаревшие SSLv3.
• Проблема: порт блокируется — убедитесь, что порт 21 (и 990 для implicit FTPS) открыт в брандмауэре.

Примеры команд для проверки портов:

sudo ufw allow 21/tcp
sudo ufw allow 990/tcp
sudo ufw status

Пассивные порты: при использовании пассивного режима FTP (PASV) следует указать диапазон портов и открыть их в брандмауэре. Добавьте в конфиг proftpd.conf:

PassivePorts 49152 49252

И откройте соответствующий диапазон в ufw или другом фаерволе.

Как удалить ProFTPD

Остановите службу и удалите пакеты:

sudo systemctl stop proftpd

sudo apt-get autoremove proftpd-dev
sudo apt-get purge proftpd-basic

Проверьте оставшиеся файлы конфигурации и логи в /etc/proftpd и /var/log/proftpd и удалите их вручную при необходимости.

Меры безопасности и харднинг ProFTPD

• Всегда используйте TLSRequired on для публичных сервисов.
• Применяйте современный набор протоколов: TLSv1.2 и TLSv1.3.
• Используйте длинный RSA‑ключ (минимум 2048 бит) или ключи на базе ECC.
• Ограничьте доступ по IP для административных учётных записей.
• Включите логирование TLS и регулярно анализируйте логи.
• Ограничьте права файлов и директорий, используйте отдельные пользователей под FTP.
• Рассмотрите двухфакторную аутентификацию на уровне подключения (через внешние PAM/LDAP механизмы).

Альтернативы и когда не использовать ProFTPD

• SFTP (SSH File Transfer Protocol) предпочтителен, если уже используется SSH: он работает поверх SSH и обеспечивает шифрование из коробки.
• rsync+ssh — удобен для синхронизации больших наборов файлов.
• WebDAV(HTTPS) — удобен для интеграции с веб‑интерфейсами.

Когда ProFTPD не подходит:

• Нет необходимости в FTP‑совместимости у клиентов.
• Требуется простая передача файлов только между серверами, где уже развернут SSH.

Ментальные модели и эвристики при выборе

• Если требуется совместимость со старыми FTP‑клиентами — выберите FTPS (ProFTPD с TLS).
• Если приоритет — простота и безопасность — используйте SFTP (через OpenSSH).
• Если нужна высокая производительность и синхронизация — рассматривайте rsync+ssh.

Мини‑методология для развёртывания в продакшене

1. Разверните тестовую VM с Ubuntu 22.04.
2. Установите ProFTPD и настройте TLS с самоподписанным сертификатом.
3. Проведите набор тестов (ниже — критерии приёмки).
4. При успешных тестах подготовьте CA‑подписанный сертификат и замените самоподписанный.
5. Откройте только необходимые порты и настройте мониторинг логов.
6. Выпустите на боевой узел, аккуратно переключая трафик.

Критерии приёмки

• Служба ProFTPD запущена и активна.
• TLS установлен и активно используется (в логах TLS нет ошибок, клиент может подключиться по TLS).
• Пассивный диапазон портов доступен, файлы передаются корректно в обоих направлениях.
• Права доступа файлов и директорий соответствуют политике безопасности.

Тесты и контроль качества

• Подключение клиента (FileZilla, lftp) по Explicit FTPS (порт 21 + TLS): пройти аутентификацию и передать файл 10 МБ.
• Проверить журнал TLS на предмет ошибок шифрования.
• Выполнить подключение SFTP и убедиться, что SFTP и FTPS независимы (если SFTP настроен).

Чек‑лист ролей

Администратор:

• Установить пакеты и сертификаты.
• Настроить TLS и перезапустить сервис.
• Открыть порты в брандмауэре.

Разработчик/DevOps:

• Проверить интеграцию автоматизированных загрузчиков/CI.
• Добавить тесты загрузки/скачивания в пайплайн.

Аудитор/Безопасность:

• Проверить настройки TLS и права на ключи.
• Провести сканирование уязвимостей (базовые проверки конфигурации).

Быстрая таблица соответствия (impact × effort)

• Включение TLS — высокий эффект × низкие усилия (рекомендуется).
• Переключение на SFTP — высокий эффект × средние усилия (если требуется смена протокола).
• Подпись сертификата CA — средний эффект × низкие усилия (если доступен CA).

Диаграмма принятия решения

flowchart TD
  A[Нужна ли совместимость с FTP-клиентами?] -->|Да| B[Рассмотрите ProFTPD + TLS]
  A -->|Нет| C[Рассмотрите SFTP 'OpenSSH']
  B --> D{Требуется implicit или explicit FTPS?}
  D -->|Implicit| E[Используйте порт 990]
  D -->|Explicit| F[Используйте порт 21 и STARTTLS]

Частые вопросы

Нужно ли использовать самоподписанный сертификат в продакшене?

Нет. Самоподписанный сертификат удобен для тестирования. Для публичных сервисов используйте сертификат, подписанный доверенным CA.

Какой порт использовать для FTPS?

Для Explicit FTPS обычно используется порт 21 (с STARTTLS). Для Implicit FTPS — порт 990.

Поддерживает ли ProFTPD пассивный режим?

Да, и для него нужно настроить диапазон портов и соответствующие правила брандмауэра.

Резюме

• ProFTPD — гибкий FTP‑сервер с поддержкой TLS, подходящий для случаев, когда требуется совместимость с FTP‑клиентами.
• Всегда настраивайте TLS (TLSv1.2/1.3) и ограничивайте права доступа. Используйте современные ключи (RSA ≥ 2048 или ECC).
• Рассмотрите SFTP как более безопасную и простую альтернативу, если требование совместимости с FTP отсутствует.

Важно: перед внедрением в рабочую среду протестируйте все изменения в контролируемой среде и обновляйте конфигурации с учётом политики безопасности вашей организации.