Linux 云服务器搭建 FTP 服务
操作场景
Vsftpd(very secure FTP daemon)是众多 Linux 发行版中默认的 FTP 服务器。本文以 CentOS 7.6 64位操作系统的云服务器(CVM)为例,使用 vsftpd 软件搭建 Linux 云服务器的 FTP 服务。
示例软件版本
本文搭建 FTP 服务组成版本如下:
- Linux 操作系统:本文以公共镜像 CentOS 7.6 为例。
- Vsftpd:本文以 vsftpd 3.0.2 为例。
操作步骤
步骤1:登录云服务器
使用 SSH 登录 Linux 实例
步骤2:安装 vsftpd
-
执行以下命令,安装 vsftpd。
yum install -y vsftpd -
执行以下命令,设置 vsftpd 开机自启动。
systemctl enable vsftpd -
执行以下命令,启动 FTP 服务。
systemctl start vsftpd -
执行以下命令,确认服务是否启动。
netstat -antup | grep ftp显示结果如下,则说明 FTP 服务已成功启动。
此时,vsftpd 已默认开启匿名访问模式,无需通过用户名和密码即可登录 FTP 服务器。使用此方式登录 FTP 服务器的用户没有权修改或上传文件的权限。
步骤3:配置 vsftpd
-
执行以下命令,为 FTP 服务创建用户,本文以 ftpuser 为例。
useradd ftpuser -
执行以下命令,设置 ftpuser 用户的密码。
passwd ftpuser输入密码后请按
Enter键
确认设置,密码默认不显示,本文以tf7295TFY为例。
-
执行以下命令,创建 FTP 服务使用的文件目录,本文以
/var/ftp/test为例。mkdir /var/ftp/test -
执行以下命令,修改目录权限。
chown -R ftpuser:ftpuser /var/ftp/test -
执行以下命令,打开
vsftpd.conf文件。vim /etc/vsftpd/vsftpd.conf -
按
i切换至编辑模式,根据实际需求选择 FTP 模式,修改配置文件vsftpd.conf注意:
FTP 可通过主动模式和被动模式与客户端机器进行连接并传输数据。由于大多数客户端机器的防火墙设置及无法获取真实 IP 等原因,建议您选择被动模式搭建 FTP 服务。如下修改以设置被动模式为例,您如需选择主动模式,请前往 [设置 FTP 主动模式]-
修改以下配置参数,设置匿名用户和本地用户的登录权限,设置指定例外用户列表文件的路径,并开启监听 IPv4 sockets。
anonymous_enable=NO local_enable=YES chroot_local_user=YES chroot_list_enable=YES chroot_list_file=/etc/vsftpd/chroot_list listen=YES 在行首添加
#,注释listen_ipv6=YES配置参数,关闭监听IPv6 sockets。
-
#listen_ipv6=YES
-
添加以下配置参数,开启被动模式,设置本地用户登录后所在目录,以及云服务器建立数据传输可使用的端口范围值。
local_root=/var/ftp/test allow_writeable_chroot=YES pasv_enable=YES pasv_address=xxx.xx.xxx.xx #请修改为您的 IP pasv_min_port=40000 pasv_max_port=45000 按
Esc后输入:wq保存后退出。-
执行以下命令,创建并编辑
chroot_list文件。vim /etc/vsftpd/chroot_list 按
i进入编辑模式,输入用户名,一个用户名占据一行,设置完成后按Esc并输入:wq保存后退出。
您若没有设置例外用户的需求,可跳过此步骤,输入:wq退出文件。-
执行以下命令,重启 FTP 服务。
systemctl restart vsftpd
配置详解
vsftpd 的配置文件在为 vsftpd.conf,一般在 /etc/vsftpd/ 目录下。
| 属性 | 属性值 | 含义 |
|---|---|---|
| anonymous_enable |
YES/NO
|
是否允许匿名用户(anonymous)登录 FTP,如果该设置被注释,则默认允许 |
| local_enable |
YES/NO
|
是否允许本地系统用户登录 |
| write_enable |
YES/NO
|
是否开启任何形式的 FTP 写入命令,上传文件 |
| local_umask | xxx | 本地用户的 umask 设置,如果注释该设置则默认为 077,但一般都设置成 022
|
| anon_upload_enable |
YES/NO
|
是否允许匿名用户上传文件,如果要设置为允许,则需要先开启 write_enable,否则无效,此外对应目录还要具有写权限 |
| anon_mkdir_write_enable |
YES/NO
|
是否允许匿名用户创建新目录 |
| dirmessage_enable |
YES/NO
|
当进入某个目录时,发送信息提示给远程用户 |
| xferlog_enable |
YES/NO
|
是否开启 上传/下载 的日志记录 |
| connect_from_port_20 |
YES/NO
|
是否使用 20 端口来连接 FTP
|
| chown_uploads |
YES/NO
|
匿名上传的文件是否由某一指定用户 chown_username 所有 |
| chown_username | 有效用户名 | 匿名上传的文件由该设定用户所有 |
| xferlog_file | 有效路径 | 设置日志文件的保存位置,默认为 /var/log/xferlog
|
| xferlog_std_format |
YES/NO
|
是否使用标准的 ftpd xferlog日志格式,该格式日志默认保存在 /var/log/xferlog
|
| idle_session_timeout | 数值 | 设置空闲连接的超时时间,单位 秒 |
| data_connection_timeout | 数值 | 设置等待数据传输的最大时间,单位 秒(data_connection_timeout 与 idle_session_timeout 在同一时间只有一个有效) |
| nopriv_user | 有效用户名 | 指定一个非特权用户,用于运行 vsftpd
|
| async_abor_enable |
YES/NO
|
是否支持异步 ABOR 请求 |
| ascii_upload_enable |
YES/NO
|
是否开启 ASCII 模式进行文件上传,一般不开启 |
| ascii_download_enable |
YES/NO
|
是否开启 ASCII 模式进行文件下载,一般不开启 |
| ftpd_banner | … | 自定义登录标语 |
| deny_email_enable |
YES/NO
|
如果匿名登录,则会要求输入 email 地址,如果不希望一些 email 地址具有登录权限,则可以开启此项,并在 banned_email_file 指定的文件中写入对应的 email 地址 |
| banned_email_file | 有效文件 | 当开启 deny_email_enable 时,需要通过此项指定一个保存登录无效 email 的文件 |
| chroot_local_user |
YES/NO
|
是否将所有用户限制在主目录,当为 NO 时, FTP 用户可以切换到其他目录 |
| chroot_list_enable |
YES/NO
|
是否启用限制用户的名单列表 |
| chroot_list_file | 有效文件 | 用户列表,其作用与 chroot_local_user 和 chroot_local_user 的组合有关,详见下表 |
| allow_writeable_chroot |
YES/NO
|
是否允许用户对 ftp 根目录具有写权限,如果设置成不允许而目录实际上却具备写权限,则会报错 |
| ls_recurse_enable |
YES/NO
|
是否允许 ls -R 指令来递归查询,递归查询比较耗资源 |
| listen |
YES/NO
|
如果为 YES,vsftpd 将以独立模式运行并监听 IPv4 的套接字,处理相关连接请求(该指令不能与 listen_ipv6 一起使用) |
| listen_ipv6 |
YES/NO
|
是否允许监听 IPv6 套接字 |
| pam_service_name | … | 设置 PAM 外挂模块提供的认证服务所使用的配置文件名 ,即 /etc/pam.d/vsftpd 文件,此文件中 file=/etc/vsftpd/ftpusers 字段,说明了 PAM 模块能抵挡的帐号内容来自文件 /etc/vsftpd/ftpusers 中 |
| userlist_enable |
YES/NO
|
是否启用 user_list 文件来控制用户登录 |
| userlist_deny |
YES/NO
|
是否拒绝 user_list 中的用户登录,此属性设置需在 userlist_enable = YES 时才有效 |
| tcp_wrappers |
YES/NO
|
是否使用 tcp_wrappers 作为主机访问控制方式 |
| max_clients | 数值 | 同一时间允许的最大连接数 |
| max_per_ip | 数值 | 同一个IP客户端连接的最大值 |
| local_root | 有效目录 | 系统用户登录后的根目录 |
| anon_root | 有效目录 | 匿名用户登录后的根目录 |
| user_config_dir | 有效目录 | 用户单独配置文件存放目录,该目录下用户的文件名就是对应用户名 |
chroot_local_user 和 chroot_local_user 组合功能如下:
| chroot_local_user=YES | chroot_local_user=NO | |
|---|---|---|
| chroot_list_enable=YES | 1.所有用户都被限制在其主目录下 2.使用 chroot_list_file 指定的用户列表 /etc/vsftpd/chroot_list,这些用户作为“例外”,不受限制 |
1.所有用户都不被限制其主目录下 2.使用 chroot_list_file 指定的用户列表 /etc/vsftpd/chroot_list,这些用户作为“例外”,受到限制 |
| chroot_list_enable=NO | 1.所有用户都被限制在其主目录下 2.不使用 chroot_list_file 指定的用户列表 /etc/vsftpd/chroot_list,没有任何“例外”用户 |
1.所有用户都不被限制其主目录下 2.不使用 chroot_list_file 指定的用户列表 /etc/vsftpd/chroot_list,没有任何“例外”用户 |
为每个系统用户配置各自的 ftp 根目录
在 /etc/vsftpd/vsftpd.conf 文件末尾添加如下指令:
# 系统用户登录后的根目录
local_root=/var/test/
# 匿名用户登录后的根目录
anon_root=/var/test/
# 设置用户独立配置文件保存目录
user_config_dir=/etc/vsftpd/userconfig/
123456
此外,还要将 chroot_local_user 设置为 YES,使 FTP 用户登录后直接被锁定在自己的根目录上。
通过以上设定,系统用户和匿名用户都会将 /var/test/ 当做根目录,并且登录后直接被锁定在该目录。
但是以上的设置是针对所有系统用户和匿名用户的,如果想要给每个 FTP 用户指定根目录,我们可以给每个用户创建一个对应的配置文件。具体操作如下:
- 根据
user_config_dir的设置,我们先在/etc/vsftpd/目录下创建一个名为userconfig的目录 - 假设想要给用户
aaa单独指定一个 FTP 根目录/var/test/1,我们需要进入userconfig目录,在该目录下创建一个名为aaa的配置文件,编辑文件aaa,配置内容如下:
local_root=/var/test1/
附录
设置 FTP 主动模式
主动模式需修改的配置如下,其余配置保持默认设置:
anonymous_enable=NO #禁止匿名用户登录
local_enable=YES #支持本地用户登录
chroot_local_user=YES #全部用户被限制在主目录
chroot_list_enable=YES #启用例外用户名单
chroot_list_file=/etc/vsftpd/chroot_list #指定用户列表文件,该列表中的用户不被锁定在主目录
listen=YES #监听IPv4 sockets
#在行首添加#注释掉以下参数
#listen_ipv6=YES #关闭监听IPv6 sockets
#添加下列参数
allow_writeable_chroot=YES
local_root=/var/ftp/test #设置本地用户登录后所在的目录
按 Esc 后输入 :wq 保存后退出,并前往 步骤8 完成 vsftpd 配置。
