在Linux实例上安装并配置vsftpd 手动搭建FTP站点（CentOS 7）

如何在Ubuntu系统中开启sftp功能-阿里云帮助中心_(ECS)-阿里云帮助中心 https://help.aliyun.com/zh/ecs/enable-sftp-in-ubuntu

本文创建的用户组和用户以实际环境为准。

1. Ubuntu由于没有安装openssl服务，因此需要执行如下命令进行安装。
    

    

   sudo apt-get install openssh-server

2. 执行如下命令，创建SFTP用户组，方便进行管理测试。
   

   提示：也可以不进行创建，直接使用root用户。

    

    

   sudo addgroup sftp-test

3. 依次执行如下命令，创建SFTP用户，并配置相应权限。
    

    

   sudo adduser alice
   删除 sudo deluser alice
   sudo usermod -G sftp-test -s /bin/false alice

4. 依次执行如下命令，创建SSH用户组，并把管理员加入到该组。
    

    

   sudo addgroup ssh-users
   sudo usermod -a -G ssh-users admin

   注：-a参数的意思是不从其他用户组用移除用户。

5. 执行如下命令，编辑SSH配置文件。
    

    

   sudo nano /etc/ssh/sshd_config

   sudo vim /etc/ssh/sshd_config

6. 在sshd_config文件的中，添加如下内容。
    

    

   AllowGroups ssh-users sftp-users
   Match Group sftp-users
      ChrootDirectory /home/sftp_root
      AllowTcpForwarding no
      X11Forwarding no
       ForceCommand internal-sftp

   注：
   

   • AllowGroups ssh-users sftp-users：只允许ssh-uers及sftp-users通过SSH访问系统。
   • Match Group sftp-users：针对sftp-users用户，额外增加一些设置。
   • ChrootDirectory /home/sftp_root：将/home/sftp_root设置为该组用户的系统根目录，因此它们将不能访问该目录之外的其他系统文件。
   • AllowTcpForwarding no和X11Forwarding no：禁止TCP Forwarding和X11 Forwarding。
   • ForceCommand internal-sftp：强制该组用户仅仅使用SFTP。

7. 重启系统以便使新配置生效。
   

   提示：执行重启等风险操作前，需要保证业务的正常进行并做好数据备份。

 

 

实战：

1、

cat   /etc/vsftpd.conf

# Example config file /etc/vsftpd.conf
#
# The default compiled in settings are fairly paranoid. This sample file
# loosens things up a bit, to make the ftp daemon more usable.
# Please see vsftpd.conf.5 for all compiled in defaults.
#
# READ THIS: This example file is NOT an exhaustive list of vsftpd options.
# Please read the vsftpd.conf.5 manual page to get a full idea of vsftpd's
# capabilities.
#
#
# Run standalone?  vsftpd can run either from an inetd or as a standalone
# daemon started from an initscript.
listen=NO
#
# This directive enables listening on IPv6 sockets. By default, listening
# on the IPv6 "any" address (::) will accept connections from both IPv6
# and IPv4 clients. It is not necessary to listen on *both* IPv4 and IPv6
# sockets. If you want that (perhaps because you want to listen on specific
# addresses) then you must run two copies of vsftpd with two configuration
# files.
listen_ipv6=YES
#
# Allow anonymous FTP? (Disabled by default).
anonymous_enable=NO
#
# Uncomment this to allow local users to log in.
local_enable=YES
#
# Uncomment this to enable any form of FTP write command.
write_enable=YES
#
# Default umask for local users is 077. You may wish to change this to 022,
# if your users expect that (022 is used by most other ftpd's)
#local_umask=022
#
# Uncomment this to allow the anonymous FTP user to upload files. This only
# has an effect if the above global write enable is activated. Also, you will
# obviously need to create a directory writable by the FTP user.
#anon_upload_enable=YES
#
# Uncomment this if you want the anonymous FTP user to be able to create
# new directories.
anon_mkdir_write_enable=YES
#
# Activate directory messages - messages given to remote users when they
# go into a certain directory.
dirmessage_enable=YES
#
# If enabled, vsftpd will display directory listings with the time
# in  your  local  time  zone.  The default is to display GMT. The
# times returned by the MDTM FTP command are also affected by this
# option.
use_localtime=YES
#
# Activate logging of uploads/downloads.
xferlog_enable=YES
#
# Make sure PORT transfer connections originate from port 20 (ftp-data).
connect_from_port_20=YES
#
# If you want, you can arrange for uploaded anonymous files to be owned by
# a different user. Note! Using "root" for uploaded files is not
# recommended!
#chown_uploads=YES
#chown_username=whoever
#
# You may override where the log file goes if you like. The default is shown
# below.
#xferlog_file=/var/log/vsftpd.log
#
# If you want, you can have your log file in standard ftpd xferlog format.
# Note that the default log file location is /var/log/xferlog in this case.
#xferlog_std_format=YES
#
# You may change the default value for timing out an idle session.
#idle_session_timeout=600
#
# You may change the default value for timing out a data connection.
#data_connection_timeout=120
#
# It is recommended that you define on your system a unique user which the
# ftp server can use as a totally isolated and unprivileged user.
#nopriv_user=ftpsecure
#
# Enable this and the server will recognise asynchronous ABOR requests. Not
# recommended for security (the code is non-trivial). Not enabling it,
# however, may confuse older FTP clients.
#async_abor_enable=YES
#
# By default the server will pretend to allow ASCII mode but in fact ignore
# the request. Turn on the below options to have the server actually do ASCII
# mangling on files when in ASCII mode.
# Beware that on some FTP servers, ASCII support allows a denial of service
# attack (DoS) via the command "SIZE /big/file" in ASCII mode. vsftpd
# predicted this attack and has always been safe, reporting the size of the
# raw file.
# ASCII mangling is a horrible feature of the protocol.
#ascii_upload_enable=YES
#ascii_download_enable=YES
#
# You may fully customise the login banner string:
#ftpd_banner=Welcome to blah FTP service.
#
# You may specify a file of disallowed anonymous e-mail addresses. Apparently
# useful for combatting certain DoS attacks.
#deny_email_enable=YES
# (default follows)
#banned_email_file=/etc/vsftpd.banned_emails
#
# You may restrict local users to their home directories.  See the FAQ for
# the possible risks in this before using chroot_local_user or
# chroot_list_enable below.
chroot_local_user=NO
#
# You may specify an explicit list of local users to chroot() to their home
# directory. If chroot_local_user is YES, then this list becomes a list of
# users to NOT chroot().
# (Warning! chroot'ing can be very dangerous. If using chroot, make sure that
# the user does not have write access to the top level directory within the
# chroot)
#chroot_local_user=YES
chroot_list_enable=YES
# (default follows)
chroot_list_file=/etc/vsftpd.chroot_list

#开启被动模式。
pasv_enable=YES
allow_writeable_chroot=YES
#
# You may activate the "-R" option to the builtin ls. This is disabled by
# default to avoid remote users being able to cause excessive I/O on large
# sites. However, some broken FTP clients such as "ncftp" and "mirror" assume
# the presence of the "-R" option, so there is a strong case for enabling it.
#ls_recurse_enable=YES
#
# Customization

# Some of vsftpd's settings don't fit the filesystem layout by
# default.
#
# This option should be the name of a directory which is empty.  Also, the
# directory should not be writable by the ftp user. This directory is used
# as a secure chroot() jail at times vsftpd does not require filesystem
# access.
secure_chroot_dir=/var/run/vsftpd/empty
#
# This string is the name of the PAM service vsftpd will use.
pam_service_name=vsftpd
#
# This option specifies the location of the RSA certificate to use for SSL
# encrypted connections.
rsa_cert_file=/etc/ssl/certs/ssl-cert-snakeoil.pem
rsa_private_key_file=/etc/ssl/private/ssl-cert-snakeoil.key
ssl_enable=NO

#
# Uncomment this to indicate that vsftpd use a utf8 filesystem.
#utf8_filesystem=YES

　　

 

 

手动搭建FTP站点（CentOS 7） https://help.aliyun.com/document_detail/92048.html

程>搭建应用>搭建FTP站点>手动搭建FTP站点（CentOS 7）

手动搭建FTP站点（CentOS 7）

更新时间：2022-12-28 15:11

vsftpd（very secure FTP daemon）是Linux下的一款小巧轻快、安全易用的FTP服务器软件。本教程介绍如何在Linux实例上安装并配置vsftpd。

前提条件

已创建ECS实例并为实例分配了公网IP地址。若尚未创建，请参见创建方式导航。

背景信息

FTP（File Transfer Protocol）是一种文件传输协议，基于客户端/服务器架构，支持以下两种工作模式：

• 主动模式：客户端向FTP服务器发送端口信息，由服务器主动连接该端口。
• 被动模式：FTP服务器开启并发送端口信息给客户端，由客户端连接该端口，服务器被动接受连接。

 

说明 大多数FTP客户端都在局域网中，没有独立的公网IP地址，且有防火墙阻拦，主动模式下FTP服务器成功连接到客户端比较困难。因此，如无特殊需求，建议您将FTP服务器配置为被动模式。

FTP支持以下三种认证模式：

• 匿名用户模式：任何人无需密码验证就可以直接登录到FTP服务器。这种模式最不安全，一般只用来保存不重要的公开文件，不推荐在生产环境中使用。
• 本地用户模式：通过Linux系统本地账号进行验证的模式，相较于匿名用户模式更安全。
• 虚拟用户模式：FTP服务器的专有用户。虚拟用户只能访问Linux系统为其提供的FTP服务，而不能访问Linux系统的其它资源，进一步增强了FTP服务器的安全性。

本文主要介绍被动模式下，使用本地用户访问FTP服务器的配置方法。关于匿名模式的配置方式、第三方FTP客户端工具使用方式等介绍，请参见常见问题。

本文示例步骤使用以下资源版本：

• 实例规格：ecs.c6.large
• 操作系统：CentOS 7.2 64位
• vsftpd：3.0.2

当您使用不同软件版本时，可能需要根据实际情况调整命令和参数配置。

步骤一：安装vsftpd

1. 远程连接Linux实例。
   远程连接的具体操作，请参见连接方式介绍。
2. 运行以下命令安装vsftpd。
    

   yum install -y vsftpd

   出现如下图所示界面时，表示安装成功。
3. 运行以下命令设置FTP服务开机自启动。
    

   systemctl enable vsftpd.service

4. 运行以下命令启动FTP服务。
    

   systemctl start vsftpd.service

    

   说明 执行该命令时如果提示错误信息Job for vsftpd.service failed because the control process exited with error code，请排查是否存在下述问题。

   • 网络环境不支持IPv6时，运行命令vim /etc/vsftpd/vsftpd.conf将内容listen_ipv6=YES修改为listen_ipv6=NO。
   • MAC地址不匹配时，运行命令ifconfig查看MAC地址，并在/etc/sysconfig/network-scripts/ifcfg-xxx配置文件中新增或修改HWADDR=<MAC地址>。
5. 运行以下命令查看FTP服务监听的端口。
    

   netstat -antup | grep ftp

   出现如下图所示界面，表示FTP服务已启动，监听的端口号为21。此时，vsftpd默认已开启匿名访问功能，您无需输入用户名密码即可登录FTP服务器，但没有修改或上传文件的权限。

步骤二：配置vsftpd

为保证数据安全，本文主要介绍被动模式下，使用本地用户访问FTP服务器的配置方法。

1. 运行以下命令为FTP服务创建一个Linux用户。本示例中，该用户名为ftptest。
    

   adduser ftptest

2. 运行以下命令修改ftptest用户的密码。
    

   passwd ftptest

   运行命令后，根据命令行提示完成FTP用户的密码修改。
3. 运行以下命令创建一个供FTP服务使用的文件目录。
    

   mkdir /var/ftp/test

4. 运行以下命令，创建测试文件。
   该测试文件用于FTP客户端访问FTP服务器时使用。

    

   touch /var/ftp/test/testfile.txt

5. 运行以下命令更改/var/ftp/test目录的拥有者为ftptest。
    

   chown -R ftptest:ftptest /var/ftp/test

6. 修改vsftpd.conf配置文件。
   1. 运行以下命令，打开vsftpd的配置文件。
      如果您在安装vsftpd时，使用的是apt install vsftpd安装命令，则配置文件路径为/etc/vsftpd.conf。

       

      vim /etc/vsftpd/vsftpd.conf

   2. 按i进入编辑模式。
   3. 配置FTP服务器为被动模式。
      具体的配置参数说明如下：

       

      重要 修改和添加配置文件内的信息时，请注意格式问题。例如，添加多余的空格会造成无法重启服务的结果。

       

      #除下面提及的参数，其他参数保持默认值即可。
      
      #修改下列参数的值：
      #禁止匿名登录FTP服务器。
      anonymous_enable=NO
      #允许本地用户登录FTP服务器。
      local_enable=YES
      #监听IPv4 sockets。
      listen=YES
      
      #在行首添加#注释掉以下参数：
      #关闭监听IPv6 sockets。
      #listen_ipv6=YES
      
      #在配置文件的末尾添加下列参数：
      #设置本地用户登录后所在目录。
      local_root=/var/ftp/test
      #全部用户被限制在主目录。
      chroot_local_user=YES
      #启用例外用户名单。
      chroot_list_enable=YES
      #指定例外用户列表文件，列表中用户不被锁定在主目录。
      chroot_list_file=/etc/vsftpd/chroot_list
      #开启被动模式。
      pasv_enable=YES
      allow_writeable_chroot=YES
      #本教程中为Linux实例的公网IP。
      pasv_address=<FTP服务器公网IP地址>
      #设置被动模式下，建立数据传输可使用的端口范围的最小值。
      #建议您把端口范围设置在一段比较高的范围内，例如50000~50010，有助于提高访问FTP服务器的安全性。
      pasv_min_port=<port number>
      #设置被动模式下，建立数据传输可使用的端口范围的最大值。
      pasv_max_port=<port number>

      更多参数的详细信息，请参见vsftp配置文件及参数说明。

   4. 按Esc退出编辑模式，然后输入:wq并回车以保存并关闭文件。
7. 创建chroot_list文件，并在文件中写入例外用户名单。
   1. 运行以下命令，创建chroot_list文件。
       

      vim /etc/vsftpd/chroot_list

   2. 按i进入编辑模式。
   3. 输入例外用户名单。此名单中的用户不会被锁定在主目录，可以访问其他目录。
   4. 按Esc退出编辑模式，然后输入:wq并回车以保存并关闭文件。
    

   重要 没有例外用户时，也必须创建chroot_list文件，内容可为空。
8. 运行以下命令重启vsftpd服务。
    

   systemctl restart vsftpd.service

步骤三：设置安全组

搭建好FTP站点后，在实例安全组的入方向添加规则并放行下列FTP端口。具体操作，请参见添加安全组规则。

 

说明 大多数客户端位于局域网中，IP地址是经过转换的，因此ipconfig或ifconfig命令返回的IP不一定是客户端的真实公网IP地址。若后续客户端无法登录FTP服务器，请重新确认其公网IP地址。

被动模式需开放21端口，以及配置文件/etc/vsftpd/vsftpd.conf中参数pasv_min_port和pasv_max_port之间的所有端口。配置详情如下表所示。

规则方向	授权策略	协议类型	端口范围	授权对象
入方向	允许	自定义TCP	21/21	所有要访问FTP服务器的客户端公网IP地址，多个地址之间用逗号隔开。 允许所有客户端访问时，授权对象为0.0.0.0/0。
入方向	允许	自定义TCP	pasv_min_port/pasv_max_port。例如：50000/50010	所有要访问FTP服务器的客户端公网IP地址，多个地址之间用逗号隔开。 允许所有客户端访问时，授权对象为0.0.0.0/0。

步骤四：客户端测试

FTP客户端、Windows命令行工具或浏览器均可用来测试FTP服务器。本文以Windows Server 2012 R2 64位系统的本地主机作为FTP客户端，介绍FTP服务器的访问步骤。

1. 在本地主机，打开这台电脑。
2. 在地址栏中输入ftp://<FTP服务器公网IP地址>:FTP端口，本文中为Linux实例的公网IP地址。例如：ftp://121.43.XX.XX:21。
3. 在弹出的登录身份对话框中，输入已设置的FTP用户名和密码，然后单击登录。
   登录后，您可以查看到FTP服务器指定目录下的文件，例如：测试文件testfile.txt。

vsftp配置文件及参数说明

/etc/vsftpd目录下文件说明如下：

• /etc/vsftpd/vsftpd.conf是vsftpd的核心配置文件。
• /etc/vsftpd/ftpusers是黑名单文件，此文件中的用户不允许访问FTP服务器。
• /etc/vsftpd/user_list是白名单文件，此文件中的用户允许访问FTP服务器。

配置文件vsftpd.conf参数说明如下：

• 用户登录控制参数说明如下表所示。

  参数	说明
  anonymous_enable=YES	接受匿名用户
  no_anon_password=YES	匿名用户login时不询问口令
  anon_root=（none）	匿名用户主目录
  local_enable=YES	接受本地用户
  local_root=（none）	本地用户主目录

• 用户权限控制参数说明如下表所示。

  参数	说明
  write_enable=YES	可以上传文件（全局控制）
  local_umask=022	本地用户上传的文件权限
  file_open_mode=0666	上传文件的权限配合umask使用
  anon_upload_enable=NO	匿名用户可以上传文件
  anon_mkdir_write_enable=NO	匿名用户可以建目录
  anon_other_write_enable=NO	匿名用户修改删除
  chown_username=lightwiter	匿名上传文件所属用户名

常见问题

• 问题一：本地主机为Windows系统，为什么我无法下载FTP服务器中的文件？
  您需要根据以下操作步骤，开启IE浏览器的下载权限。

  1. 在本地主机中打开IE浏览器。
  2. 在浏览器的右上角单击图标，然后单击Internet 选项。
  3. 在Internet 选项对话框的顶部，单击安全页签。
  4. 在选择一个区域以查看或更改安全设置区域，单击Internet，然后在该区域的安全级别区域，单击自定义级别。
  5. 选择下载 > 文件下载 > 启用，然后单击确定。
  6. 单击应用，然后单击确定。
• 问题二：在Windows系统中，使用命令行工具、浏览器等方式连接FTP服务器报错如何处理？
  您可以根据FTP的报错信息手动排查问题。当您的报错难以排查解决时，建议您使用第三方FTP客户端连接工具。例如：FileZilla。下载地址为FileZilla官网。本示例介绍使用FileZilla连接匿名模式的FTP服务器。

  1. 在Linux系统的FTP服务器中，安装vsftpd。

     具体操作，请参见步骤一：安装vsftpd。如果您已安装vsftpd，请跳过该步骤。

  2. 配置vsftpd为匿名模式。
     1. 运行以下命令，修改配置文件/etc/vsftpd/vsftpd.conf。
        如果您在安装vsftpd时，使用的是apt install vsftpd安装命令，则配置文件路径为/etc/vsftpd.conf。

         

        vim /etc/vsftpd/vsftpd.conf

     2. 按i进入编辑模式。
     3. 将匿名上传权限的注释去掉，修改为anon_upload_enable=YES。
     4. 按Esc退出编辑模式，然后输入:wq并回车以保存并关闭文件。
        修改后的配置文件，如下图所示。
     5. 运行以下命令更改/var/ftp/pub目录的权限，为FTP用户添加写权限。
        /var/ftp/pub为FTP服务默认的文件目录。

         

        chmod o+w /var/ftp/pub/

     6. 运行以下命令重新加载配置文件。
         

        systemctl restart vsftpd.service

  3. 下载并安装FileZilla。
  4. 通过FileZilla连接匿名模式的FTP服务器。
     1. 打开FileZilla客户端。
     2. 在顶部菜单栏，选择文件 > 站点管理器。
     3. 在站点管理器对话框的左下角，单击新站点。
     4. 输入新站点的名称，并完成站点配置。
        具体的配置项说明如下：

        • 新站点名称：您自定义的站点名称。例如test-01。
        • 协议：FTP-文件传输协议。
        • 主机：FTP服务器公网IP地址。本文中为Linux实例的公网IP地址，例如121.43.XX.XX。
        • 端口：21。
        • 登录类型：匿名。

          本示例中使用FTP客户端连接匿名模式的FTP服务器。如果您需要使用FTP用户密码连接FTP服务器，则登录类型需要设置为正常，并需要配置用户和密码信息。

     5. 单击连接。
        连接成功后，您可以对文件进行上传、下载和删除等操作。FileZilla工具界面如下图所示。图中各区域的信息说明如下表所示。

        序号	说明
        ①	显示命令、FTP连接状态和任务执行结果。
        ②	本地区域，显示本地主机的目录信息。
        ③	远程区域，显示FTP服务器的目录信息。匿名模式下，默认目录为/pub。
        ④	记录区域，可查看FTP任务的队列信息和日志信息。

 

翻译

搜索

复制