PureFTPd, MariaDB 및 가상 사용자(쿼터 및 대역폭 관리 포함)를 사용하는 FTP 서버 설치(CentOS 7.2)

이 문서는 실제 시스템 사용자 대신 MariaDB( MySQL 호환) 데이터베이스의 가상 사용자를 사용하는 PureFTPd 서버를 설치하는 방법을 설명합니다. 이는 성능이 훨씬 더 뛰어나며 단일 머신에서 수천 개의 FTP 사용자를 가질 수 있습니다. 또한 이 설정을 통해 쿼터 및 업로드/다운로드 대역폭 제한을 사용하는 방법을 보여드리겠습니다. 비밀번호는 데이터베이스에 MD5 문자열로 암호화되어 저장됩니다.

MariaDB 데이터베이스 관리를 위해 phpMyAdmin과 같은 웹 기반 도구를 사용할 수 있으며, 이 방법에서도 설치됩니다. phpMyAdmin은 명령줄을 다룰 필요가 없는 편리한 그래픽 인터페이스입니다.

이 튜토리얼은 CentOS 7.2를 기반으로 합니다. 기본 최소 CentOS 7.2 시스템을 이미 설정했어야 합니다.

이 방법은 실용적인 가이드를 위한 것이며 이론적 배경은 다루지 않습니다. 이론적 배경은 웹의 다른 많은 문서에서 다루어집니다.

이 문서는 어떤 종류의 보증 없이 제공됩니다! 이러한 시스템을 설정하는 방법은 이것이 유일한 방법이 아닙니다. 이 목표를 달성하는 방법은 여러 가지가 있지만, 이것이 제가 선택한 방법입니다.

1 사전 참고

이 튜토리얼에서는 호스트 이름 server1.example.com과 IP 주소 192.168.1.100을 사용합니다. 이러한 설정은 귀하의 경우 다를 수 있으므로 적절한 곳에서 교체해야 합니다.

2 MySQL 및 phpMyAdmin 설치

먼저, CentOS 시스템에서 EPEL 리포지토리를 활성화합니다. 이 튜토리얼에서 설치할 일부 패키지는 공식 CentOS 7.2 리포지토리에서 사용할 수 없습니다:

rpm --import /etc/pki/rpm-gpg/RPM-GPG-KEY*

그런 다음, CentOS 시스템에서 EPEL 리포지토리를 활성화합니다. 이 튜토리얼에서 설치할 많은 패키지는 공식 CentOS 7 리포지토리에서 사용할 수 없습니다:

yum -y install epel-release

yum -y install yum-priorities

/etc/yum.repos.d/epel.repo를 편집합니다…

nano /etc/yum.repos.d/epel.repo

… 그리고 [epel] 섹션에 priority=10 줄을 추가합니다:

[epel]
name=Extra Packages for Enterprise Linux 7 - $basearch
#baseurl=http://download.fedoraproject.org/pub/epel/7/$basearch
mirrorlist=https://mirrors.fedoraproject.org/metalink?repo=epel-7&arch=$basearch
failovermethod=priority
enabled=1
priority=10
gpgcheck=1
gpgkey=file:///etc/pki/rpm-gpg/RPM-GPG-KEY-EPEL-7
[...]

그런 다음 시스템의 기존 패키지를 업데이트합니다:

yum update

이제 Apache 웹 서버, PHP, MariaDB 및 phpMyAdmin을 다음과 같이 설치할 수 있습니다:

yum -y install mariadb mariadb-server phpmyadmin httpd php

이제 phpMyAdmin을 구성합니다. phpMyAdmin이 localhost에서만 연결을 허용하지 않도록 Apache 구성을 변경합니다( 구문에서 모든 주석을 제거하고 Require all granted 줄을 추가합니다):

nano /etc/httpd/conf.d/phpMyAdmin.conf

그래서 파일은 다음과 같이 보입니다:

# phpMyAdmin - Web based MySQL browser written in php
#
# Allows only localhost by default
#
# But allowing phpMyAdmin to anyone other than localhost should be considered
# dangerous unless properly secured by SSL

Alias /phpMyAdmin /usr/share/phpMyAdmin
Alias /phpmyadmin /usr/share/phpMyAdmin

  
    AddDefaultCharset UTF-8
#  
#     # Apache 2.4
#     
#       Require ip 127.0.0.1
#       Require ip ::1
#     
#   
#   
#     # Apache 2.2
#     Order Deny,Allow
#    # Deny from All
#     Allow from 127.0.0.1
     Options Indexes
     AllowOverride None
     Require all granted
#     Allow from ::1
#   




   
     # Apache 2.4
     
       Require ip 127.0.0.1
       Require ip ::1
     
   
   
     # Apache 2.2
     Order Deny,Allow
     Deny from All
     Allow from 127.0.0.1
     Allow from ::1
   


# These directories do not require access over HTTP - taken from the original
# phpMyAdmin upstream tarball
#

    Order Deny,Allow
    Deny from All
    Allow from None



    Order Deny,Allow
    Deny from All
    Allow from None



    Order Deny,Allow
    Deny from All
    Allow from None


# This configuration prevents mod_security at phpMyAdmin directories from
# filtering SQL etc.  This may break your mod_security implementation.
#
#
#    
#        SecRuleInheritance Off
#    
#

그런 다음 MySQL 및 Apache의 시스템 시작 링크를 생성합니다(시스템이 부팅될 때마다 자동으로 시작되도록) 및 두 서비스를 시작합니다.

CentOS 방화벽 “firewalld”가 서버에 설치된 경우 http 및 https 포트를 엽니다.

firewall-cmd --permanent --zone=public --add-service=http  
firewall-cmd --permanent --zone=public --add-service=https  
firewall-cmd --reload

그런 다음 MariaDB 및 Apache를 시작합니다.

systemctl enable mariadb.service  
systemctl start mariadb.service

systemctl enable httpd.service  
systemctl start httpd.service

MySQL 사용자 root의 비밀번호를 생성합니다( yourmariadbpassword를 사용하려는 비밀번호로 교체):

mysql_secure_installation

[root@server1 ~]# mysql_secure_installation
/usr/bin/mysql_secure_installation: line 379: find_mysql_client: command not found

NOTE: RUNNING ALL PARTS OF THIS SCRIPT IS RECOMMENDED FOR ALL MariaDB
SERVERS IN PRODUCTION USE!  PLEASE READ EACH STEP CAREFULLY!

MariaDB에 로그인하여 보안을 설정하려면 현재 root 사용자에 대한 비밀번호가 필요합니다.  MariaDB를 방금 설치했으며, 아직 root 비밀번호를 설정하지 않았다면 비밀번호는 비어 있으므로 여기서 그냥 Enter를 누르십시오. <–ENTER
현재 root의 비밀번호를 입력하십시오(없으면 Enter를 누르십시오): <–ENTER
OK, 비밀번호를 성공적으로 사용했습니다. 계속 진행합니다…

root 비밀번호를 설정하면 아무도 적절한 권한 없이 MariaDB root 사용자로 로그인할 수 없습니다.

root 비밀번호를 설정하시겠습니까? [Y/n] <–ENTER
새 비밀번호: <–yourmariadbpassword
새 비밀번호를 다시 입력하십시오: <–yourmariadbpassword
비밀번호가 성공적으로 업데이트되었습니다!
권한 테이블을 다시 로드하는 중..
… 성공!

기본적으로 MariaDB 설치에는 익명 사용자가 있어 누구나 사용자 계정을 생성하지 않고도 MariaDB에 로그인할 수 있습니다.  이는 테스트 용도로만 사용되며 설치를 조금 더 원활하게 진행하기 위한 것입니다.  프로덕션 환경으로 이동하기 전에 제거해야 합니다.

익명 사용자를 제거하시겠습니까? [Y/n] <–ENTER
… 성공!

일반적으로 root는 ‘localhost’에서만 연결할 수 있어야 합니다.  이는 누군가가 네트워크에서 root 비밀번호를 추측할 수 없도록 보장합니다.

원격으로 root 로그인을 금지하시겠습니까? [Y/n] <–ENTER
… 성공!

기본적으로 MariaDB에는 누구나 접근할 수 있는 ‘test’라는 데이터베이스가 있습니다.  이는 테스트 용도로만 사용되며 프로덕션 환경으로 이동하기 전에 제거해야 합니다.

테스트 데이터베이스 및 접근을 제거하시겠습니까? [Y/n] <–ENTER

• 테스트 데이터베이스 삭제 중…
  … 성공!
• 테스트 데이터베이스에 대한 권한 제거 중…
  … 성공!

권한 테이블을 다시 로드하면 지금까지 수행된 모든 변경 사항이 즉시 적용됩니다.

권한 테이블을 지금 다시 로드하시겠습니까? [Y/n] <–ENTER
… 성공!

정리 중…

모두 완료되었습니다!  위의 모든 단계를 완료했다면 MariaDB 설치가 이제 안전해야 합니다.

MariaDB를 사용해 주셔서 감사합니다!
[root@server1 ~]#

3 MySQL / MariaDB 지원으로 PureFTPd 설치

CentOS PureFTPd 패키지는 MySQL, PostgreSQL, LDAP 등 다양한 백엔드를 지원합니다. 따라서 우리가 해야 할 일은 일반 PureFTPd 패키지를 설치하는 것입니다:

yum -y install pure-ftpd

그런 다음 모든 가상 사용자가 매핑될 ftp 그룹( ftpgroup) 및 사용자( ftpuser)를 생성합니다. 그룹 및 사용자 ID 2001을 시스템에서 사용 가능한 숫자로 교체하십시오:

groupadd -g 2001 ftpgroup  
useradd -u 2001 -s /bin/false -d /bin/null -c "pureftpd user" -g ftpgroup ftpuser

ftp 서비스는 다음과 같이 firewall-cmd에 의해 허용되어야 합니다:

firewall-cmd --permanent --zone=public --add-service=ftp  
firewall-cmd --reload

4 PureFTPd용 데이터베이스 생성

이제 pureftpd라는 데이터베이스와 PureFTPd 데몬이 나중에 pureftpd 데이터베이스에 연결하는 데 사용할 MariaDB 사용자 이름 pureftpd를 생성합니다:

mysql -u root -p

CREATE DATABASE pureftpd;  
GRANT SELECT, INSERT, UPDATE, DELETE, CREATE, DROP ON pureftpd.* TO 'pureftpd'@'localhost' IDENTIFIED BY 'ftpdpass';  
GRANT SELECT, INSERT, UPDATE, DELETE, CREATE, DROP ON pureftpd.* TO 'pureftpd'@'localhost.localdomain' IDENTIFIED BY 'ftpdpass';  
FLUSH PRIVILEGES;

ftpdpass 문자열을 MySQL 사용자 pureftpd에 사용할 비밀번호로 교체하십시오. 여전히 MySQL 셸에 있는 동안 필요한 데이터베이스 테이블을 생성합니다(예, 테이블은 하나뿐입니다!):

USE pureftpd;

CREATE TABLE ftpd (  
User varchar(16) NOT NULL default '',  
status enum('0','1') NOT NULL default '0',  
Password varchar(64) NOT NULL default '',  
Uid varchar(11) NOT NULL default '-1',  
Gid varchar(11) NOT NULL default '-1',  
Dir varchar(128) NOT NULL default '',  
ULBandwidth smallint(5) NOT NULL default '0',  
DLBandwidth smallint(5) NOT NULL default '0',  
comment tinytext NOT NULL,  
ipaccess varchar(15) NOT NULL default '*',  
QuotaSize smallint(5) NOT NULL default '0',  
QuotaFiles int(11) NOT NULL default 0,  
PRIMARY KEY (User),  
UNIQUE KEY User (User)  
) ENGINE=MyISAM;

quit;

보시다시피 quit; 명령으로 MySQL 셸을 종료하고 Linux 셸로 돌아왔습니다.

그런데 (귀하의 FTP 서버 시스템의 호스트 이름이 server1.example.com이라고 가정합니다) 브라우저에서 http://server1.example.com/phpMyAdmin/ (server1.example.com 대신 IP 주소를 사용할 수도 있습니다)에서 phpMyAdmin에 접근하여 pureftpd 사용자로 로그인할 수 있습니다. 그런 다음 데이터베이스를 살펴볼 수 있습니다. 나중에 phpMyAdmin을 사용하여 PureFTPd 서버를 관리할 수 있습니다.

5 PureFTPd 구성

/etc/pure-ftpd/pure-ftpd.conf를 편집하고 ChrootEveryone, MySQLConfigFile 및 CreateHomeDir 줄이 활성화되어 있고 다음과 같이 보이는지 확인합니다:

nano /etc/pure-ftpd/pure-ftpd.conf

[...]
ChrootEveryone              yes
[...]
MySQLConfigFile               /etc/pure-ftpd/pureftpd-mysql.conf
[...]
CreateHomeDir               yes
[...]

ChrootEveryone 설정은 PureFTPd가 모든 가상 사용자를 자신의 홈 디렉터리에 chroot하도록 하여 사용자가 자신의 홈 디렉터리 외부의 디렉터리 및 파일을 탐색할 수 없도록 합니다. CreateHomeDir 줄은 사용자가 로그인할 때 사용자의 홈 디렉터리가 아직 존재하지 않으면 PureFTPd가 사용자의 홈 디렉터리를 생성하도록 합니다.

그런 다음 /etc/pure-ftpd/pureftpd-mysql.conf를 편집합니다. 다음과 같이 보여야 합니다:

cp /etc/pure-ftpd/pureftpd-mysql.conf /etc/pure-ftpd/pureftpd-mysql.conf_orig  
cat /dev/null > /etc/pure-ftpd/pureftpd-mysql.conf  
nano /etc/pure-ftpd/pureftpd-mysql.conf

MYSQLSocket      /var/lib/mysql/mysql.sock
#MYSQLServer     localhost
#MYSQLPort       3306
MYSQLUser       pureftpd
MYSQLPassword   ftpdpass
MYSQLDatabase   pureftpd
#MYSQLCrypt md5, cleartext, crypt() or password() - md5 is VERY RECOMMENDABLE uppon cleartext
MYSQLCrypt      md5
MYSQLGetPW      SELECT Password FROM ftpd WHERE User="\L" AND status="1" AND (ipaccess = "*" OR ipaccess LIKE "\R")
MYSQLGetUID     SELECT Uid FROM ftpd WHERE User="\L" AND status="1" AND (ipaccess = "*" OR ipaccess LIKE "\R")
MYSQLGetGID     SELECT Gid FROM ftpd WHERE User="\L"AND status="1" AND (ipaccess = "*" OR ipaccess LIKE "\R")
MYSQLGetDir     SELECT Dir FROM ftpd WHERE User="\L"AND status="1" AND (ipaccess = "*" OR ipaccess LIKE "\R")
MySQLGetBandwidthUL SELECT ULBandwidth FROM ftpd WHERE User="\L"AND status="1" AND (ipaccess = "*" OR ipaccess LIKE "\R")
MySQLGetBandwidthDL SELECT DLBandwidth FROM ftpd WHERE User="\L"AND status="1" AND (ipaccess = "*" OR ipaccess LIKE "\R")
MySQLGetQTASZ   SELECT QuotaSize FROM ftpd WHERE User="\L"AND status="1" AND (ipaccess = "*" OR ipaccess LIKE "\R")
MySQLGetQTAFS   SELECT QuotaFiles FROM ftpd WHERE User="\L"AND status="1" AND (ipaccess = "*" OR ipaccess LIKE "\R")

MYSQLPassword 줄에서 ftpdpass 문자열을 MySQL 사용자 pureftpd의 실제 비밀번호로 교체해야 합니다! MD5 문자열로 사용자의 비밀번호를 데이터베이스에 저장하므로 md5를 MYSQLCrypt 방법으로 사용합니다. 이는 일반 텍스트 비밀번호를 사용하는 것보다 훨씬 더 안전합니다!

이제 PureFTPd의 시스템 시작 링크를 생성하고 시작합니다:

systemctl enable pure-ftpd.service  
systemctl start pure-ftpd.service

6 데이터베이스를 채우고 서버 테스트

데이터베이스를 채우려면 MySQL 셸을 사용할 수 있습니다:

mysql -u root -p

USE pureftpd;

이제 상태 1(즉, FTP 계정이 활성화됨), 비밀번호 secret( MySQL의 MD5 함수로 암호화되어 저장됨), UID 및 GID 2001(2단계 끝에서 생성한 사용자/그룹의 사용자 ID 및 그룹 ID 사용), 홈 디렉터리 /home/www.example.com, 업로드 및 다운로드 대역폭 100 KB/sec(킬로바이트/초), 쿼타 50 MB인 사용자 exampleuser를 생성합니다:

INSERT INTO `ftpd` (`User`, `status`, `Password`, `Uid`, `Gid`, `Dir`, `ULBandwidth`, `DLBandwidth`, `comment`, `ipaccess`, `QuotaSize`, `QuotaFiles`) VALUES ('exampleuser', '1', MD5('secret'), '2001', '2001', '/home/www.example.com', '100', '100', '', '*', '50', '0');

quit;

이제 작업 스테이션에서 FTP 클라이언트 프로그램(Windows 시스템의 경우 FileZilla 또는 Linux 데스크탑의 경우 gFTP)을 열고 연결을 시도합니다. 호스트 이름으로 server1.example.com(또는 시스템의 IP 주소)을 사용하고, 사용자 이름은 exampleuser, 비밀번호는 secret입니다.

연결할 수 있다면 축하합니다! 그렇지 않다면 뭔가 잘못되었습니다.

이제 다음을 실행하면

ls -l /home

/home/www.example.com( exampleuser의 홈 디렉터리) 디렉터리가 자동으로 생성되었으며 ftpuser 및 ftpgroup(2단계 끝에서 생성한 사용자/그룹)이 소유하고 있어야 합니다:

[root@server1 ~]# ls -l /home  
total 0  
drwx------. 2 administrator administrator 59 Jun 21 16:13 administrator  
drwxr-xr-x. 2 ftpuser ftpgroup 22 Jul 4 18:30 www.example.com  
[root@server1 ~]#

7 데이터베이스 관리

대부분의 사람들은 MySQL에 대한 그래픽 프런트 엔드가 있는 것이 더 쉽기 때문에 phpMyAdmin(이 예제에서는 http://server1.example.com/phpMyAdmin/에서)도 사용하여 pureftpd 데이터베이스를 관리할 수 있습니다.

새 사용자를 생성하려면 ftpd 테이블에 항목을 생성해야 하므로 이 테이블의 열을 설명하겠습니다:

FTPD 테이블:

• User: 가상 PureFTPd 사용자 이름(예: exampleuser).
• status: 0 또는 1. 0은 계정이 비활성화되었음을 의미하며 사용자가 로그인할 수 없습니다.
• Password: 가상 사용자의 비밀번호. MySQL의 MD5 함수를 사용하여 비밀번호를 암호화된 MD5 문자열로 저장해야 합니다:
  
• UID: 2단계 끝에서 생성한 ftp 사용자 ID(예: 2001).
• GID: 2단계 끝에서 생성한 ftp 그룹 ID(예: 2001).
• Dir: 가상 PureFTPd 사용자의 홈 디렉터리(예: /home/www.example.com). 존재하지 않으면 새 사용자가 처음 FTP를 통해 로그인할 때 생성됩니다. 가상 사용자는 이 홈 디렉터리에 감금되므로 홈 디렉터리 외부의 다른 디렉터리에 접근할 수 없습니다.
• ULBandwidth: 가상 사용자의 업로드 대역폭(KB/sec. 킬로바이트/초). 0은 무제한을 의미합니다.
• DLBandwidth: 가상 사용자의 다운로드 대역폭(KB/sec. 킬로바이트/초). 0은 무제한을 의미합니다.
• comment: 여기에는 내부 관리용으로 어떤 주석이든 입력할 수 있습니다. 일반적으로 이 필드는 비워 둡니다.
• ipaccess: 이 FTP 계정에 연결할 수 있는 IP 주소를 입력합니다. *는 모든 IP 주소가 연결할 수 있음을 의미합니다.
• QuotaSize: FTP 서버에서 가상 사용자가 사용할 수 있는 저장 공간(MB 단위, ULBandwidth 및 DLBandwidth는 KB 단위가 아님!). 0은 무제한을 의미합니다.
• QuotaFiles: 가상 사용자가 FTP 서버에 저장할 수 있는 파일 수. 0은 무제한을 의미합니다.

8 익명 FTP

익명 FTP 계정(모두가 비밀번호 없이 로그인할 수 있는 FTP 계정)을 생성하려면 ftp라는 사용자와 그룹이 필요합니다. 두 개는 pure-ftpd 패키지를 설치할 때 자동으로 생성되므로 수동으로 생성할 필요가 없습니다. 그러나 ftp의 홈 디렉터리는 기본적으로 /var/ftp이지만, 익명 FTP 디렉터리를 /home/ftp에 생성하고 싶습니다(일반 사용자 FTP 디렉터리도 /home에 있습니다. 예: /home/www.example.com). 그러나 물론 /var/ftp 디렉터리를 익명 FTP에 사용할 수 있습니다.

/home/ftp를 사용하려면 /etc/passwd를 열고 ftp 사용자의 홈 디렉터리를 /var/ftp에서 /home/ftp로 변경합니다( /var/ftp를 사용하려면 이 작업을 수행하지 마십시오):

nano /etc/passwd

[...]
#ftp:x:14:50:FTP User:/var/ftp:/sbin/nologin
ftp:x:14:50:FTP User:/home/ftp:/sbin/nologin
[...]

그런 다음 /var/ftp를 /home으로 이동합니다( /var/ftp를 사용하려면 이 작업을 수행하지 마십시오):

mv /var/ftp /home

그런 다음 /home/ftp/incoming 디렉터리를 생성하여 익명 사용자가 파일을 업로드할 수 있도록 합니다. /home/ftp/incoming 디렉터리에 311 권한을 부여하여 사용자가 업로드할 수 있지만 해당 디렉터리의 파일을 보거나 다운로드할 수 없도록 합니다. /home/ftp 디렉터리는 555 권한을 부여하여 파일을 보고 다운로드할 수 있도록 합니다:

chown ftp:nobody /home/ftp  
cd /home/ftp  
mkdir incoming  
chown ftp:nobody incoming/  
chmod 311 incoming/  
cd ../  
chmod 555 ftp/

( /var/ftp를 사용하려면 위 명령에서 /home/ftp를 /var/ftp로 교체하십시오.)

익명 사용자는 로그인할 수 있으며 /home/ftp에서 파일을 다운로드할 수 있지만 업로드는 /home/ftp/incoming으로 제한됩니다( /home/ftp/incoming에 파일이 업로드되면 해당 파일은 읽거나 다운로드할 수 없으며, 서버 관리자가 이를 /home/ftp로 이동해야 다른 사용자가 사용할 수 있습니다).

이제 익명 FTP를 위해 PureFTPd를 구성해야 합니다. /etc/pure-ftpd/pure-ftpd.conf를 열고 다음 설정이 포함되어 있는지 확인합니다:

nano /etc/pure-ftpd/pure-ftpd.conf

[...]
NoAnonymous                 no
[...]
AntiWarez                   no
[...]
AnonymousBandwidth            8
[...]
AnonymousCantUpload         no
[...]

(AnonymousBandwidth 설정은 선택 사항입니다. 익명 사용자의 업로드 및 다운로드 대역폭을 제한할 수 있습니다. 8은 8 KB/sec를 의미합니다. 원하는 값을 사용하거나 대역폭을 제한하고 싶지 않으면 해당 줄을 주석 처리하십시오.)

마지막으로 PureFTPd를 재시작합니다:

systemctl restart pure-ftpd.service

9 이 CentOS 7.2 서버를 가상 머신으로 다운로드

이 설정은 ova/ovf 형식의 가상 머신 다운로드로 제공됩니다( VMWare 및 Virtualbox와 호환됨) howtoforge 구독자에게 제공됩니다.

VM 로그인 세부정보

• 루트 비밀번호는: howtoforge
• “administrator” 사용자 비밀번호는: howtoforge

첫 로그인 시 두 비밀번호를 모두 변경하십시오.

• VM의 IP 주소는 192.168.1.100입니다.

10 링크

• PureFTPd: http://www.pureftpd.org/
• MySQL: http://www.mysql.com/
• phpMyAdmin: http://www.phpmyadmin.net/
• CentOS: http://centos.org/