本文章为原创非复制行为

前言

之前在搜索vsftpd配置的时看到很多教程都是已经过时或者不完整，本教程在Centos7下配置vsftpd服务端，假定在公有云配置，使用的是显式FTPES使用被动模式、禁止匿名登录、非创建虚拟用户，并确保selinux在enforcing状态和保持开启firewalld，我的vsftpd版本是3.0.2

配置

下面的例子中用户是vstest，ip是123.123.123.123，域名your.domain.com，密码your.password，使用filezilla客户端登录

我自己新建了一个/etc/vsftpd/vsftpd.conf，也可以直接对安装vsftpd时生成的/etc/vsftpd/vsftpd.conf修改，这里从修改生成的初始配置文件开始，添加的配置项可以从配置文件的最后一行开始添加

首先创建一个ftp账号用于客户端登录，为了安全不使用root账户并禁止匿名用户，首先添加系统用户，以添加vstest为例并设定密码为your.password，安全起见防止用户通过SSH登陆将用户shell设置为不可登陆

[root@ykxz ~]# useradd -s /sbin/nologin vstest
[root@ykxz ~]# echo your.password | passwd --stdin vstest

禁止匿名用户设置为

anonymous_enable=NO

设置被动模式，需要添加以下配置

pasv_enable=YES
pasv_min_port=41000
pasv_max_port=41200
pasv_address=your.domain.com或者123.123.123.123
pasv_addr_resolve=YES

并设置不使用主动模式传输数据的20端口

connect_from_port_20=NO

因为设置了pasv_address项，设置单例模式并只监听ipv4，初始配置文件就有解释listen和listen_ipv6会冲突只能开启一项所以如下设置

listen=YES
listen_ipv6=NO

设置用户登录目录，添加

local_root=/home/vstest/

锁定用户顶层目录，添加

chroot_local_user=YES

可以在初始配置文件发现以下的话，顶层目录不可以有写权限
(Warning! chroot'ing can be very dangerous. If using chroot, make sure that
the user does not have write access to the top level directory within the
chroot)
我们这里锁定目录为家目录，而linux用户家目录默认权限为700，所以要去掉目录写权限

[root@ykxz ~]# chmod -w /home/vstest

注意：去除写权限后用户登陆不可以在顶层目录创建或删除目录，需要先在该目录创建目录并更改用户权限，这里以创建dir目录为例

[root@ykxz ~]# mkdir /home/vstest/dir
[root@ykxz ~]# chown vstest:vstest /home/vstest/dir

有教程说在vsftpd的配置文件中增加下列项以允许顶层目录有可写权限：
allow_writeable_chroot=YES
我不推荐，因为如果具有可写权限的用户(甚至是虚拟用户)的FTP凭据遭到破坏，可能会遭受ROARING BEAST ATTACK攻击，以下链接是解释

https://serverfault.com/questions/743949/vsftp-why-is-allow-writeable-chroot-yes-a-bad-idea

配置SSL
FTP是一个古老的协议，如果不添加SSL则使用明文传输，在互联网传输无法保证数据安全
我这里直接使用已经购买签发的证书，包含一个.pem公钥文件和一个.key私钥文件

rsa_cert_file=/etc/vsftpd/ssl/123456_your.domain.com.pem
rsa_private_key_file=/etc/vsftpd/ssl/123456_your.domain.com.key

如果没有购买ssl证书也可以在Let's Encrypt申请免费的ssl证书（需要三个月更新一次证书），没有购买域名可以使用自带的openssl自签IPSSL证书，步骤如下

https://blog.51cto.com/13598893/2073018

需要说明的是链接中的自动生成将私钥和公钥都写在了一个文件vsftpd.pem中，所以下面的公钥和私钥位置都应该指向同一个文件，做完“更改vsftpd服务配置文件让FTP支持SSL加密功能”这一步之后我们再添加以下配置就完成了SSL的配置

ssl_tlsv1_2=YES
ssl_sslv2=NO
ssl_sslv3=NO
ssl_ciphers=HIGH
require_ssl_reuse=NO

以下是我的配置文件参考，可直接复制，#注释可以删除，必须修改的地方为

local_root=用户登录目录
rsa_cert_file=你的公钥位置
rsa_private_key_file=你的私钥位置
pasv_address=你的公有云外网ip或对应域名

#单例模式并只监听ipv4
listen=YES
listen_ipv6=NO

anonymous_enable=NO
local_enable=YES

#用户登录目录
local_root=/home/vstest/
#锁定的顶层目录
chroot_local_user=YES

write_enable=YES
local_umask=022

pam_service_name=vsftpd

#SSL设置
ssl_enable=YES
allow_anon_ssl=NO
force_local_data_ssl=YES
force_local_logins_ssl=YES
ssl_tlsv1_2=YES
ssl_sslv2=NO
ssl_sslv3=NO
rsa_cert_file=/etc/vsftpd/ssl/123456_your.domain.com.pem
rsa_private_key_file=/etc/vsftpd/ssl/123456_your.domain.com.key
ssl_ciphers=HIGH
require_ssl_reuse=NO

#日志设置
xferlog_file=/var/log/xferlog.log
vsftpd_log_file=/var/log/vsftpd.log
xferlog_std_format=YES
dual_log_enable=YES
log_ftp_protocol=YES
xferlog_enable=YES
syslog_enable=NO

#被动模式设置
pasv_enable=YES
pasv_min_port=41000
pasv_max_port=41200
pasv_address=your.domain.com
pasv_addr_resolve=YES
connect_from_port_20=NO

listen_port=21
#implicit_ssl=YES
#listen_port=990
ftpd_banner=Welcome
idle_session_timeout=600
data_connection_timeout=120

配置文件已经全部设置完成，设置防火墙开放端口（一并开放公有云对应的防火墙端口）

[root@ykxz ~]# firewall-cmd --permanent --add-port=21/tcp
[root@ykxz ~]# firewall-cmd --permanent --add-port=41000-41200/tcp
[root@ykxz ~]# firewall-cmd --reload

注意

1.列出家目录时发现无法列出，我们还需要设置selinux使vsftpd可以访问用户家目录

[root@ykxz ~]# setsebool -P ftpd_full_access on

2.如果没有设置pam，filezilla客户端会报以下错误
响应: 530 Login incorrect.
错误: 严重错误: 无法连接到服务器
需要修改/etc/pam.d/vsftpd中的pam_shells.so一行改为pam_nologin.so，这一项的意思为仅允许登录用户的shell为/etc/shells，前面设置的用户shell为/sbin/nologin不包含在其中，所以需要修改这一条

到这里已经完成配置vsftp服务端，重启vsftpd服务就可以了

以下是一些其它配置解释，其他的所有配置解释可以在man 5 vsftpd.conf中找到

• pasv_address=123.123.123.123

连接时"服务器发回了不可路由的地址。使用服务器地址代替"，其实是因为我们平常买的阿里云腾讯云等公有云，还有一层VPC的NAT，FTP使用的是服务器内部地址，即ip a中的本地地址，有教程说修改filezilla的被动模式设置为“退回到主动模式”，我们就要使用被动模式的情况下应该怎么解决呢，添加pasv_address参数将服务器真实地址设置为公有云外网ip或对应域名，使用域名时必须添加pasv_addr_resolve=YES设置

• idle_session_timeout=600

服务器方的连接中断时间，等待时间超出600秒服务器方主动断开连接，此时filezilla客户端会提示
错误: GnuTLS 错误 -110，位于 gnutls_record_recv: The TLS connection was non-properly terminated.
状态: 服务器没有正常的关闭 TLS 连接
错误: 无法读取套接字: ECONNABORTED - 连接中止
错误: 已从服务器断开
属于正常情况，默认值为600

• listen_port=21

FTP建立连接的请求端口，如果需要修改为隐式FTPS则需要修改该值为990（filezilla客户端默认隐式端口为990）并添加implicit_ssl=YES，防火墙开放990端口firewall-cmd --permanent --add-port=990/tcp

参考的网址：
vsftpd 530 Login incorrect 根本原因和解决方案
https://www.jianshu.com/p/91c7d4a115e0
自签SSL证书（推荐）
https://www.tecmint.com/secure-vsftpd-using-ssl-tls-on-centos/
一个显式被动模式连接
https://forums.centos.org/viewtopic.php?t=29016