centos7 创建多用户ftp服务器

一、安装部署

一、安装ftp

#安装vsftpd
yum -y install vsftpd
#设置开机启动
chkconfig vsftpd on
#查看服务状态
service vsftpd status
#默认是关闭的，如下
# vsftpd is stopped

二、创建用户组和用户

#添加组
groupadd -g 1002 vsftpd
#创建用户组目录
mkdir -p /home/vsftpd
#添加用户
useradd -c "FTP User" -d /home/vsftpd/vsftpd -g vsftpd -s /sbin/nologin -u 1002 vsftpd
useradd -c "FTP User" -d /home/vsftpd/test -g vsftpd -s /sbin/nologin test
#设置密码(格式：passswd 用户名)，输入密码回车，再次输入密码回车
passwd vsftpd

三、修改配置文件

#备份原文件
mv /etc/vsftpd/vsftpd.conf /etc/vsftpd/vsftpd.conf.txt
#生成新的配置文件
touch /etc/vsftpd/vsftpd.conf
#编辑配置文件
vim /etc/vsftpd/vsftpd.conf

配置如下

# Example config file /etc/vsftpd/vsftpd.conf
#
# 如果vsftpd处于独立模式，则这是它将侦听传入FTP连接的端口。
listen_port=21
#
# 登入目录
# local_root=/data/vsftpd
#
# 是否允许匿名用户登录
anonymous_enable=NO
#
# 设定本地用户可以访问。注：如使用虚拟宿主用户，在该项目设定为NO的情况下所有虚拟用户将无法访问
local_enable=YES
#
# 设定允许进行写操作(上传、删除)，默认为YES
write_enable=YES
#
# 是否使用本地时间
#use_localtime=YES
#
# 此参数在VSFTPD使用单独(standalone)模式下有效。此参数定义了FTP服务器最大的并发连接数，当超过此连接数时，服务器拒绝客户端连接。默认值：0（无限制）。
#max_clients=5
#
# 此参数在VSFTPD使用单独(standalone)模式下有效。此参数定义每个IP地址最大的并发连接数目。超过这个数目将会拒绝连接。此选项的设置将影响到象网际快车这类的多进程下载软件。默认值为0，表示不限制。
#max_per_ip=3
#
# 掩饰码
local_umask=002
#
# 是否允许匿名FTP用户上传文件。
#anon_upload_enable=NO
#
# 是否允许匿名FTP用户能够创建新目录
#anon_mkdir_write_enable=NO
#
# 激活目录消息 - 当远程用户进入某个目录时发送的消息。
dirmessage_enable=YES
#
# 设置为yes时，用户上传和下载文件都会被记录下来，记录文件位置与xferlog_file=/var/log/vsftpd/xferlog
xferlog_enable=YES
#
# 在vsftpd_log_file和xferlog_file文件之间切换登录文件信息，NO 写入 vsftpd_log_file, YES 写入 xferlog_file
xferlog_std_format=YES
#
# 设置另外一个vsftpd的日记文件，也可以不设置
dual_log_enable=YES
xferlog_file=/var/log/vsftpd/xferlog
#
# 设置日志目录
vsftpd_log_file=/var/log/vsftpd/vsftpd.log
#
# 端口样式连接始发的端口（只要名称不正确的 connect_from_port_20 启用），默认值：20
connect_from_port_20=YES
#
# 是否修改匿名用户所上传文件的所有权。YES，匿名用户所上传的文件的所有权将改为另外一个不同的用户所有，用户由chown_username参数指定。此选项默认值为NO。 
#chown_uploads=YES
#
# 指定拥有匿名用户上传文件所有权的用户
#chown_username=whoever
#
# 远程客户端建立与PASV样式数据连接的连接的超时（以秒为单位）,默认值：60。
#accept_timeout=60
#
# 远程客户端响应我们的端口样式数据连接的超时时间（秒）。默认值：60。
#connect_timeout=60
#
# 远程客户端可能在FTP命令之间花费的最长时间（以秒为单位）。如果超时触发，远程客户端将被启动。默认值：300
#idle_session_timeout=300
#
# 超时时间（以秒为单位），大概是允许数据传输停止而无进度的最大时间。如果超时触发，远程客户端将被启动。默认值：300
#data_connection_timeout=300
#
# 创建上传文件的权限。Umasks应用于此值的顶部。如果要上传的文件可执行，您可能希望更改为0777。默认值：0666
#file_open_mode=002
#
# 本地认证用户允许的最大数据传输速率（以字节为单位）。默认值：0（无限制）
#local_max_rate=0
#
# 建议您在系统上定义一个唯一的用户，ftp服务器可以用作完全独立且无特权的用户。
#nopriv_user=ftpsecure
#
# 是否启动异步传输功能
#async_abor_enable=YES
#
# 是否启用ASCII功能
ascii_upload_enable=YES
ascii_download_enable=YES
#
# 自定义登录显示的字符串
#ftpd_banner=Welcome to blah FTP service.
#
# 指定某个纯文本作为用户登录时显示的欢迎字眼，也可以放置一些让用户知道本FTP服务器的目录架构
#banner_file=/etc/vsftpd/welcome.txt
#
# 您可以指定一个不允许的匿名电子邮件地址的文件。 显然有助于打击某些DoS攻击。
#deny_email_enable=YES
# (default follows)
#banned_email_file=/etc/vsftpd/banned_emails
#
# 锁定某些用户在自家目录中。即当这些用户登录后，不可以转到系统的其他目录，只能在自家目录(及其子目录)下。
# 当chroot_local_user=YES，chroot_list_enable=YES时，chroot_list_file目录里面的用户不被chroot在主目录中。
# 当chroot_local_user=YES，chroot_list_enable=NO时，chroot_list_file目录里面的用户全部给被chroot在主目录中
chroot_local_user=YES
chroot_list_enable=YES
# (default follows)
chroot_list_file=/etc/vsftpd/chroot_list
#
# 此选项默认值为NO , 此时ftpusers 文件中的用户禁止登录FTP 服务器；若此项设为YES ，则 user_list 文件中的用户允许登录 FTP 服务器，而如果同时设置了 userlist_deny=YES ，则 user_list 文件中的用户将不允许登录FTP 服务器，甚至连输入密码提示信息都没有，直接被FTP服务器拒绝
userlist_enable=YES
#
# 此项默认为YES ，设置是否阻扯user_list 文件中的用户登录FTP 服务器,设置为NO时只允许user_list 当中的用户使用ftp,对于后新建的用户起到屏蔽作用，如果想要使用ftp则必须加入这个列表文件中
userlist_deny=NO
#
# 当userlist_enable=YES，当userlist_deny=YES，这里面的用户不能登录，当userlist_deny=NO时，只有这里面的用户才能登录ftp 。
userlist_file=/etc/vsftpd/user_list
#
# 当启用“listen”指令时，vsftpd以独立模式运行，并在IPv4套接字上侦听。 该指令不能与listen_ipv6指令一起使用。
listen=YES
#
# 此指令允许侦听IPv6套接字。 要监听IPv4和IPv6套接字，您必须运行两个vsftpd副本和两个配置文件。请确保其中一个listen选项被注释！
#listen_ipv6=YES
#
# 设置 PAM 外挂模块提供的认证服务所使用的配置文件名 ，即/etc/pam.d/vsftpd 文件
pam_service_name=vsftpd
#
# 是否开启用虚拟用户功能
#guest_enable=YES
#
# 指定虚拟用户的宿主用户，CentOS中已经有内置的ftp用户了
#guest_username=ftp
#
# 匿名客户端允许的最大数据传输速率（以字节为单位）。默认值：0（无限制）
#anon_max_rate=0
#
# 为匿名用户设置文件创建的umask的值。注意！如果要指定八进制值，请记住“0”前缀，否则该值将被视为基数10整数！默认值：077
#anon_umask=002
#
# 设定虚拟用户个人vsftp的CentOS FTP服务文件存放路径。存放虚拟用户个性的CentOS FTP服务文件(配置文件名=虚拟用户名)
#user_config_dir=/etc/vsftpd/virtual_conf
#
# 如果要禁止PASV方法获取数据连接，请设置为NO。
pasv_enable=YES
#
# 设定在PASV模式下，建立数据传输所可以使用port范围的下界和上界，0 表示任意。默认值为0。把端口范围设在比较高的一段范围内
pasv_min_port=20000
pasv_max_port=30000
#
# 默认值为NO。为YES时，将关闭PASV模式的安全检查。该检查确保数据连接和控制连接是来自同一个IP地址。小心打开此选项。此选项唯一合理的用法是存在于由安全隧道方案构成的组织中。
pasv_promiscuous=YES

#使用此选项可覆盖vsftpd将响应PASV命令而通告的IP地址。提供数字IP地址，除非 启用了#pasv_addr_resolve，在这种情况下，您可以提供在启动时为您解析的DNS主机名。
#默认值:(无 - 地址来自传入的连接套接字）
pasv_address=0.0.0.0
#
# 如果您不想使用PORT方法获取数据连接，则设置为NO。
#port_enable=YES
#
# 默认值为NO。如果要禁用PORT安全检查，确保传出数据连接只能连接到客户端，请设置为YES。
#port_promiscuous=YES
#
# 表明服务器使用 tcp_wrappers 作为主机访问控制方式，tcp_wrappers 可以实现linux 系统中网络服务的基于主机地址的访问控制，在/etc 目录中的hosts.allow 和hosts.deny 两个文件用于设置tcp_wrappers 的访问控制，前者设置允许访问记录，后者设置拒绝访问记录。例如想限制某些主机对FTP 服务器12.36.126.141 的匿名访问，编缉/etc/hosts.allow 文件，如在下面增加两行命令：vsftpd:192.168.2.1:DENY 和vsftpd:192.168.2.20:DENY 表明限制IP 为192.168.2.1/192.168.2.20 主机访问IP 为12.36.126.141 的FTP 服务器，此时FTP 服务器虽可以PING 通，但无法连接
tcp_wrappers=YES
user_config_dir=/etc/vsftpd/userconf

# 高版本的vsftpd必须开启这个参数
allow_writeable_chroot=YES

pasv_address设置为局域网ip或者公网ip

四、设置FTP用户信息

#建立限制用户访问目录的空文件
touch /etc/vsftpd/chroot_list
 
#添加ftp用户进来
vim /etc/vsftpd/user_list
 
#注释掉上面的用户，在后面加上
vsftpd
test
 
#创建日志文件
mkdir -p /var/log/vsftpd
touch /var/log/vsftpd/xferlog
touch /var/log/vsftpd/vsftpd.log

五、开启防火墙20000到30000端口和21端口

firewall-cmd --zone=public --add-port=20000-30000/tcp --permanent 
firewall-cmd --zone=public --add-port=21/tcp --permanent
firewall-cmd --reload

六、启动vsftpd服务

service vsftpd restart

使用指南

一、 添加用户

1. 创建用户

useradd -c "FTP User" -d /home/vsftpd/new_user -g vsftpd -s /sbin/nologin new_user

2. 设置密码

passwd new_user

3. 可以查看添加进来的新用户(最后一行就是)

cat /etc/passwd
#如下
# vsftpd:x:1002:1002:FTP User:/home/vsftpd/vsftpd:/sbin/nologin
# new_user:x:1003:1002:FTP User:/home/vsftpd/new_user:/sbin/nologin

4. 创建并设置new_user的ftp目录

mkdir /home/vsftpd/new_user 
vim /etc/vsftpd/userconf/new_user
# 在vim编辑器中写入如下
local_root=/home/vsftpd/new_user

5. 添加new_user到user_list中

vim /etc/vsftpd/user_list
# 将new_user添加到最后一行

6. 访问ftp

new_user即可成功访问ftp服务， /home/vsftpd/new_user为new_user对应的ftp目录文件夹
如果不能访问，则重启vsftpd服务器

service vsftpd restart

二、 删除用户访问权限和恢复用户访问权限

vim /etc/vsftpd/user_list

将需要删除访问权限的用户名从user_list中删除，再次添加进去即可恢复访问权限

三、彻底删除用户

如果要彻底删除new_user

userdel -r new_user

用户new_user将会被彻底删除，但是ftp文件夹还在，如果需要删除可用手动删除文件夹

# 查看new_user的ftp目录
cat /etc/vsftpd/userconf/new_user
# 将会展示以下内容
# local_root=/home/vsftpd/new_user
# /home/vsftpd/new_user就是new_user的ftp目录
# 彻底删除目录的命令如下
rm -rf /home/vsftpd/new_user

常见错误

500 OOPS: vsftpd: refusing to run with writable root inside chroot ()

这是由于下面的更新造成的：

- Add stronger checks for the configuration error of running with a writeable
root directory inside a chroot(). This may bite people who carelessly turned
on chroot_local_user but such is life.
问题的是因为用户的根目录可写，并且使用了chroot限制，而这在最近的更新里是不被允许的。要修复这个错误，可以用命令chmod a-w /home/user去除用户根目录的写权限，注意把目录替换成你自己的。

或者你可以在vsftpd的配置文件中增加下列两项中的一项：

对于标准的vsftpd build (vsftpd):

allow_writeable_chroot=YES
对于扩展的vsftpd build (vsftpd-ext):

allow_writable_chroot=YES

530 Login incorrect

tail -f /var/log/secure查看错误信息，根据相应信息修改
如果没有信息，则修改/etc/pam.d/vsftpd文件，注释掉auth required pam_shells.so，重启vsftpd

centos7上ftp命令行可以登录，但是主动被动模式都无法取到数据

# 在/etc/vsftpd/vsftpd.conf中设置这个值为外网ip
pasv_address=xx.xx.xx.xx# PASV 模式中服务器传回的 ip 地址。默认值为 none，即地址是从呼入的连接套接字中获取。

快捷创建ftp用户脚本

#!/bin/bash
echo "请输入您要创建的ftp账号的用户名："
read ftp_user_name

useradd -c "FTP User" -d /home/vsftpd/$ftp_user_name -g vsftpd -s /sbin/nologin $ftp_user_name
passwd $ftp_user_name
echo "local_root=/home/vsftpd/$ftp_user_name" > /etc/vsftpd/userconf/$ftp_user_name
echo "$ftp_user_name" >> /etc/vsftpd/user_list