linux搭建FTP服务器:
背景信息
FTP支持以下三种认证模式:
- 匿名用户模式:任何人无需密码验证就可以直接登入到FTP服务器,但这种模式很不安全,一般只保存不重要的公开文件,不推荐生产环境使用。
- 本地用户模式:通过Linux系统本地账号进行验证的模式,相较于匿名用户模式更安全。
- 虚拟用户模式:FTP服务器的专有用户。虚拟用户只能访问Linux为其提供的的FTP服务,而不能访问Linux系统的其他资源,进一步增强FTP服务器的安全性。
安装vsftpd
1..运行以下命令安装vsftpd
yum -y install vsftpd
2.启动FTP服务
systemctl start vsftpd
3.设置FTP服务自启动
systemctl enable vsftpd
4.查看服务是否启动,监听端口号21
LISTEN 0 32 0.0.0.0:21 0.0.0.0:* users:(("vsftpd",pid=1863149,fd=3))
配置vsftpd
为保证数据安全,设置在被动模式下,使用本地用户访问FTP服务器
- 为FTP服务器创建一个Linux的本地用户并设置密码
adduser ftptest
passwd ftptest
2. 创建一个供FTP使用的文件目录
mkdir /var/ftp/test
- 修改 /var/ftp/test 目录的拥有者为ftptest
chown -R ftptest:ftptest /var/ftp/test
4.修改/etc/vsftpd/vsftpd.conf配置文件
vim /etc/vsftpd/vsftpd.conf
#除下面提及的参数,其他参数保持默认值即可。
#修改下列参数的值:
#禁止匿名登录FTP服务器。
anonymous_enable=NO
#允许本地用户登录FTP服务器。
local_enable=YES
#监听IPv4 sockets。
listen=YES
#在行首添加#注释掉以下参数:
#关闭监听IPv6 sockets。
#listen_ipv6=YES
#在配置文件的末尾添加下列参数:
#设置本地用户登录后所在目录。
local_root=/var/ftp/test
#全部用户被限制在主目录。
chroot_local_user=YES
#启用例外用户名单,如无特殊情况不建议配置
chroot_list_enable=YES #建议略过
#指定例外用户列表文件,列表中用户不被锁定在主目录,如无特殊情况不建议配置
chroot_list_file=/etc/vsftpd/chroot_list #建议略过
#开启被动模式。
pasv_enable=YES
allow_writeable_chroot=YES
#本教程中为Linux实例的公网IP。
pasv_address=<FTP服务器公网IP地址>
#设置被动模式下,建立数据传输可使用的端口范围的最小值。
#建议您把端口范围设置在一段比较高的范围内,例如50010~50020,有助于提高访问FTP服务器的安全性。
pasv_min_port=<port number>
#设置被动模式下,建立数据传输可使用的端口范围的最大值。
pasv_max_port=<port number>
5.重启vsftp服务
systemctl restart vsftpd
设置安全组
搭建好FTP站点后,在控制台安全组中开发端口
阿里云添加安全组规则:
被动模式需要开放21端口,以及配置文件/etc/vsftpd/vsftpd.conf中参数pasv_min_port和pasv_max_port之间的所有端口。
| 规则方向 | 授权策略 | 协议类型 | 端口范围 | 授权对象 |
|---|---|---|---|---|
| 入方向 | 允许 | 自定义TCP | 21/21 | 所有要访问FTP服务器的客户端公网IP地址,多个地址之间用逗号隔开。允许所有客户端访问时,授权对象为0.0.0.0/0。 |
| 入方向 | 允许 | 自定义TCP | pasv_min_port/pasv_max_port。例如:50000/50010 | 所有要访问FTP服务器的客户端公网IP地址,多个地址之间用逗号隔开。允许所有客户端访问时,授权对象为0.0.0.0/0。 |
vsftp配置文件及参数说明
配置文件vsftpd.conf参数说明如下:
-
用户登录控制参数说明如下表所示。
参数 说明 anonymous_enable=YES 接受匿名用户 no_anon_password=YES 匿名用户login时不询问口令 anon_root=(none) 匿名用户主目录 local_enable=YES 接受本地用户 local_root=(none) 本地用户主目录 -
用户权限控制参数说明如下表所示。
参数 说明 write_enable=YES 可以上传文件(全局控制) local_umask=022 本地用户上传的文件权限 file_open_mode=0666 上传文件的权限配合umask使用 anon_upload_enable=NO 匿名用户可以上传文件 anon_mkdir_write_enable=NO 匿名用户可以建目录 anon_other_write_enable=NO 匿名用户修改删除 chown_username=lightwiter 匿名上传文件所属用户名
客户端测试
在linux环境下ftp ip,即可进行上传下载,更多操作请参考文档:
https://help.aliyun.com/document_detail/182263.html?spm=a2c4g.11186623.6.1326.6cff5ce26jqUbB(阿里云)
https://help.aliyun.com/document_detail/92044.html?spm=a2c4g.11186623.3.5.69415ce20cB7zs
