在 Linux 中配置 FTP Server 是非常容易的,其中最简单、最适用的方案是选择安装 vsftpd server,当然针对不同的 Linux 系统版本,安装方式是各不相同的,也有可能会面临各种各样的问题,尤其是在与 iptables 配合使用的时候,本文旨在简单整理一下其安装部署的相关内容。
在 Ubuntu 系统中安装 vsftpd 是最容易的,只需要简单的一条命令即可:
sudo apt-get install vsftpd
然后需要配置一下 /etc 目录中的 vsftpd.conf 文件,其中最主要的参数如下:
- anonymous_enable=NO
- local_enable=YES
- write_enable=YES
- local_unmark=022
- chroot_local_user=YES
在 Red Hat 系统中安装 vsftpd 时可以选择使用 rpm 进行安装,选择合适的 rpm 安装包,上传到服务器,运行如下的命令即可。
rpm -i vsftpd_version.rpm
若要查看已安装的信息,执行如下命令
rpm -qa | grep vsftpd
当然为安全起见,我们需要对系统做各种配置工作,常见需求及解决方案如下:
- 禁止 FTP 用户登陆 shell
- 修改 /etc/shell ,在最后一行增加 /sbin/nologin
- 修改 /etc/passwd ,修改用户的 shell 为 /sbin/nologin
- 配置 iptables 使用时,需要添加基本的 21 端口配置,同时在使用 passive 的模式传输时,端口是随机的,无法直接指定
方案是在 vsftpd 中指定 passive 模式的端口范围,然后在 iptables 中加以限制
- 配置 INPUT 端口 iptables -A INPUT -p tcp --dport 21 -j ACCEPT
- 配置 OUTPUT 端口 iptables -A OUTPUT -p tcp --sport 21 -j ACCEPT
- 在 vsftpd.conf 中配置 pasv_min_port=xxxx (如1023)
- 在 vsftpd.conf 中配置 pasv_max_port=xxxx (如1050)
- 设置 iptables 使用命令 iptables -A INPUT -p tcp --dport 1023:1050 -j ACCEPT
- 遇到错误信息 500 OOPS: cannot change directory:/home/xxxxLogin failed.
原因是 RHEL5 增强的系统安全的 SELinux 导致的,根据网上的说法,解决方案如下:
- 执行命令 setsebool ftpd_disable_trans 1
- 重启服务 service vsftpd restart
- 可以查看其相关设置 sestatus -b| grep ftp
- 在执行以上命令的时候,遇到这样的提示 Could not change active booleans: Invalid boolean
解决这个问题的方法是执行命令 setsebool ftp_home_dir=1,然后重启 vsftpd 服务,不用管上一问题的步骤。
- 遇到了问题 500 OOPS: vsftpd: refusing to run with writable root inside chroot()
这是因为 vsftpd 启用了 chroot , 必须要保证 ftp 根目录不可写,执行如下命令即可
chmod a-w /home/upload
- 遇到问题无法上传文件
测试发现是 selinux 的问题,执行如下两条命令
- setsebool allow_ftpd_anon_write=1
- setsebool allow_ftpd_full_access=1