其他文章
云服务器和域名准备
linux安装jdk1.8
linux安装tomcat8
linux安装MySQL(5.6)
linux安装redis
linux安装配置nginx
阿里云镜像
首先我们现在服务器上安装阿里云镜像,因为后期使用的软件基本上都是外网的, 下载速度缓慢,阿里云镜像就是大神们已经将国外的软件下载到国内站点,我们直接从国内下载即可。
- 备份原配置文件
mv /etc/yum.repos.d/CentOS-Base.repo /etc/yum.repos.d/CentOS-Base.repo.backup
- 下载新的CentOS-Base.repo到/etc/yum.repos.d/
CentOS 7
wget -O /etc/yum.repos.d/CentOS-Base.repo http://mirrors.aliyun.com/repo/Centos-7.repo
CentOS 8
wget -O /etc/yum.repos.d/CentOS-Base.repo http://mirrors.aliyun.com/repo/Centos-8.repo
- 生成缓存
yum makecache
安装vsftpd
- 执行以下命令,安装vsftpd
yum install -y vsftpd
- 执行以下命令,设置vsftpd开机自启动
systemctl enable vsftpd
- 执行以下命令,启动FTP服务
systemctl start vsftpd
- 执行以下命令,确认服务是否启动
netstat -antup | grep ftp
此时,vsftpd 已默认开启匿名访问模式,无需通过用户名和密码即可登录 FTP 服务器。使用此方式登录 FTP 服务器的用户没有权修改或上传文件的权限。
配置vsftpd
- 执行以下命令,为 FTP 服务创建用户,本文以 ftpuser 为例
useradd ftpuser
- 执行以下命令,设置 ftpuser 用户的密码
passwd ftpuser
输入密码后请按Enter
- 执行以下命令,创建 FTP 服务使用的文件目录,本为以/ftpfile为例
mkdir /ftpfile
- 执行以下命令,修改目录权限
chown -R ftpuser:ftpuser /ftpfile
这时我们在/目录下 ll一下,会发现ftpfile这个文件夹的目录权限为ftpuser
- 执行以下命令,打开vsftpd.conf文件
vim /etc/vsftpd/vsftpd.conf
-
按i切换至编辑模式,根据实际需求选择 FTP 模式,修改配置文件vsftpd.conf:
FTP 可通过主动模式和被动模式与客户端机器进行连接并传输数据。由于大多数客户端机器的防火墙设置及无法获取真实 IP 等原因,建议您选择被动模式搭建 FTP 服务。如下修改以设置被动模式为例,您如需选择主动模式,请前往 设置 FTP 主动模式。
- 修改以下配置参数,设置匿名用户和本地用户的登录权限,设置指定例外用户列表文件的路径,并开启监听 IPv4 sockets
anonymous_enable=NO
local_enable=YES
chroot_local_user=YES
chroot_list_enable=YES
chroot_list_file=/etc/vsftpd/chroot_list
listen=YES
提示:教给大家vim小技巧:按ESC退出编辑模式,然后按/接着就可以输入我们要找的字符,就可以快速匹配了。例如:本例中 我们输入/chroot 回车
下面我补充一个知识点:
-
chroot_local_user 参数,默认值为NO,意思是是否开启所有用户只能访问其主目录,值为NO时,就是不开启,即所有的用户都能访问他的上一级目录;值为YES时,即所有的用户都只能访问其主目录,不能访问上一级目录。
不难看出,chroot_local_user是一个权限参数,但是实际情况中总会有例外发生,那就是有的用户需要限制,有的用户不用限制,需要一个“微调”。这时就可以配合下一个参数
-
chroot_list_enable 参数,默认为NO,是否启用限制用户的名单。当值为YES时,启用名单。
这时我们就可以配合两个参数完成一些比较高级的应用:
chroot_local_user=YES | chroot_local_user=NO | |
---|---|---|
chroot_list_enable=YES | 所有的用户均被限制在其主目录中;使用chroot_list_enable指定的用户列表,列表中的用户不受限制(白名单) | 所有的用户均可以自由访问上一级目录;使用chroot_list_enable指定的用户列表,列表中的用户受到限制,只能访问主目录(黑名单) |
chroot_list_enable=NO | 所有的用户均被限制在其主目录中,没有例外 | 所有用户均不受限制,没有例外 |
注意:本例中我们创建的ftpuser拥有ftp服务器根目录用户的所有权利,所以当上述两个参数都为YES的时候,一定要把ftpuser加入到chroot_list中去,否则就无法连接。
- 配置参数,关闭监听 IPv6 sockets。
#listen_ipv6=YES
- 添加以下配置参数,开启被动模式,设置本地用户登录后所在目录,以及云服务器建立数据传输可使用的端口范围值
local_root=/ftpfile #修改为刚才创建的ftp地址
allow_writeable_chroot=YES
pasv_enable=YES
pasv_address=xxx.xx.xxx.xx #请修改为您的 Linux 云服务器公网 IP
pasv_min_port=40000
pasv_max_port=45000
-
按 Esc 后输入 :wq 保存后退出
-
执行以下命令,创建并编辑chroot_list文件
vim /etc/vsftpd/chroot_list
由于我们chroot_local_user和chroot_list_enable都是YES,所以需要一个白名单
按 i 进入编辑模式,输入用户名,一个用户名占据一行,设置完成后按 Esc 并输入 :wq 保存后退出
- 执行以下命令,重启 FTP 服务
systemctl restart vsftpd
设置安全组(防火墙)
搭建好 FTP 服务后,您需要根据实际使用的 FTP 模式给 Linux 云服务器放通入站规则,腾讯云服务器的安全组在控制台中可以看到,需要我们手动设置开放的端口,默认不设置的端口都是对外对内无法访问的,这和其他云平台的架构是类似的。详情请参见 添加安全组规则。
大多数客户端机器在局域网中,IP 地址是经过转换的。如果您选择了 FTP 主动模式,请确保客户端机器已获取真实的 IP 地址,否则可能会导致客户端无法登录 FTP 服务器。
- 主动模式:放通端口21。
- 被动模式:放通端口21,及 修改配置文件 中设置的
pasv_min_port
到pasv_max_port
之间的所有端口,本文放通端口为40000 - 45000。我们已经这样干了
验证FTP服务
- 直接在计算机的路径栏输入即可,然后提示我们输入用户和密码,用户即ftpuser。当前我们什么都没有上传,所以文件夹是空的。
用户权限示例
我们再创建一个用户test1
-
将test1加入到白名单时,用filezilla连接文件服务器后,点击右边的目录发现可以访问上一级目录
-
现在将test1用户从chroot_list中去掉,重启vsftpd,再用test1用户连接文件服务器,发现在点右边的“/"并不会进入根目录,说明test1已经没有访问上级目录的权限了。