linux ftp 服务器

Linux搭建FTP服务器 - 知乎 (zhihu.com)

Linux 部署ftp服务_linux搭建ftp服务器-CSDN博客

Linux下搭建FTP服务器的方法 | 《Linux就该这么学》 (linuxprobe.com)

Linux系统ftp服务设置_linux ftp配置-CSDN博客

用户验证FTP实验_vsftp 验证-CSDN博客

一、概念简介

vsftpd（very secure FTP daemon）是Linux下的一款小巧轻快、安全易用的FTP服务器软件，本次实验介绍如何在Linux上安装并配置vsftpd。

FTP（File Transfer Protocol）是一种文件传输协议，基于客户端/服务器架构，支持以下两种工作模式：

• 主动模式：客户端向FTP服务器发送端口信息，由服务器主动连接该端口。
• 被动模式：FTP服务器开启并发送端口信息给客户端，由客户端连接该端口，服务器被动接受连接。

 FTP支持以下三种认证模式：

• 匿名用户模式：任何人无需密码验证就可以直接登录到FTP服务器，这种模式最不安全，一般只用来保存不重要的公开文件，不推荐在生产环境中使用。
• 本地用户模式：通过Linux系统本地账号进行验证的模式，相较于匿名用户模式更安全。
• 虚拟用户模式：FTP服务器的专有用户，虚拟用户只能访问Linux系统为其提供的FTP服务，而不能访问Linux系统的其它资源，进一步增强了FTP服务器的安全性。 

二、实验过程

步骤一：安装vsftpd

1、运行以下命令安装vsftpd。

yum install -y vsftpd

2、运行以下命名查看是否安装成功。

rpm -qa | grep vsftpd

3、运行以下命令查看FTP服务是否开机自启动。

systemctl list-unit-files | grep vsftpd

4、运行以下命令设置FTP服务开机自启动。

systemctl enable vsftpd.service

5、运行以下命令查看FTP服务监听的端口。

netstat -antup | grep ftp

如下图所示，表示FTP服务已启动，监听的端口号为21，此时，vsftpd默认已开启本地用户模式，还需要继续进行配置才能正常使用FTP服务。

6、运行以下命名查看FTP服务运行状态。

service vsftpd status

ftp的配置文件主要有三个，位于/etc/vsftpd/目录下，分别是：

ftpusers 该文件用来指定那些用户不能访问ftp服务器。如果要root 登陆，这里面把root用户#注销
user_list 该文件用来指示的默认账户在默认情况下也不能访问ftp
vsftpd.conf vsftpd的主配置文件

步骤二：配置vsftpd

为保证数据安全，本文主要介绍被动模式下，使用本地用户访问FTP服务器的配置方法。

1、运行以下命令为FTP服务创建一个Linux用户，本示例中，该用户名为ftptest。

adduser ftptest

2、运行以下命令修改ftptest用户的密码，运行命令后，根据命令行提示完成FTP用户的密码修改。（备注：此处修改密码为python@123）。

passwd ftptest

3、运行以下命令创建一个供FTP服务使用的文件目录。

mkdir /var/ftp/test

4、运行以下命令，创建测试文件，该测试文件用于FTP客户端访问FTP服务器时使用。

touch /var/ftp/test/testfile.txt

5、运行以下命令，通过vim编辑器在testfile.txt中写入点内容。

vim /var/ftp/test/testfile.txt 

6、运行以下命令更改/var/ftp/test目录的拥有者为ftptest。

chown -R ftptest:ftptest /var/ftp/test

7、修改vsftpd.conf配置文件。

a.运行以下命令，打开vsftpd的配置文件。

如果您在安装vsftpd时，使用的是apt install vsftpd安装命令，则配置文件路径为/etc/vsftpd.conf。

vim /etc/vsftpd/vsftpd.conf

b.按i进入编辑模式。

c.配置FTP服务器为被动模式。具体的配置参数如下：

# 关闭匿名用户登录
anonymous_enable=NO 

anon_upload_enable=YES            #允许匿名用户上传文件，取消注释
anon_mkdir_write_enable=YES     #允许匿名用户创建目录，需取消注释
anon_other_write_enable=YES      #允许匿名删除、重命名、覆盖等操作，需添加
 
anon_root=/var/ftp/pub       
#anon_root 针对匿名用户(如果不设置默认为此目录，可以进行修改，修改之后修改给它权限)
anon_umask=000				# 文件所属组拥有读写权限

# 使用本地用户登录
local_enable=YES

# 本地用户FTP访问目录，如果不配做默认就是本地用户的家目录，然后用户登陆之后，ftp:ip 默认指向该目录
local_root=/var/ftp/test
anon_root=/var/www/html/  # 虚拟用户访问目录 anonymous用户，即匿名用户访问的主目录  

# 允许登陆用户有写权限；属于全局设置，默认值为YES
write_enable=YES

local_umask=022

dirmessage_enable=YES

xferlog_enable=YES

xferlog_std_format=YES

# 监听IPv4 sockets
listen=YES

# 关闭监听IPv6 sockets
listen_ipv6=NO

pam_service_name=vsftpd # 指定pam认证文件，可修改 

# userlist_enable=YES 和 userlist_deny=YES 
# 这一组值就是把user_list作为黑名单使用，user_list文件中的用户都被拒绝登录FTP
userlist_enable=YES # 是否启用user_list列表文件
userlist_deny=YES # 是否禁用user_list中的用户
userlist_file=/etc/vsftpd/user_list # 默认就是/etc/vsftpd/user_list


# 全部用户被限制在主目录
chroot_local_user=YES

# 启用例外用户名单
chroot_list_enable=YES

# 指定例外用户列表文件，列表中用户不被锁定在主目录。
chroot_list_file=/etc/vsftpd/chroot_list

# 启用被动模式
pasv_enable=YES 
# 允许被限制的用户主目录具有写权限
allow_writeable_chroot=YES

# 被动模式下FTP服务器IP
pasv_address=192.168.100.20 

# 被动模式下，数据传输最小端口50000，最大端口51000，例如：50000～51000
pasv_min_port=50000
pasv_max_port=51000

guest_enable=YES					 # 开启虚拟用户模式
guest_username=FTP				 # 指定虚拟用户账号映射到本地账号FTP
user_config_dir=/etc/vsftpd/vuser_conf	 # 指定虚拟用户的权限配置目录

常用的全局配置项
-listen=YES：是否以独立运行的方式监听服务
-listen_address=192.168.168.129：设置监听的IP地址
-listen_port=21：设置监听FTP服务的端口号
-write_enable=YES：是否启用写入权限
-download_enable＝YES：是否允许下载文件
-userlist_enable=YES：是否启用user_list列表文件
-userlist_deny=YES：是否禁用user_list中的用户
-max_clients=0：限制并发客户端连接数
-max_per_ip=0：限制同一IP地址的并发连接数
常用的匿名FTP配置项
-anonymous_enable=YES：启用匿名访问(默认已有该项，不再输入这行)
-anon_umask=022：匿名用户所上传文件的权限掩码
-anon_root=/var/ftp：匿名用户的FTP根目录
-anon_upload_enable=YES：允许上传文件(若无全局参数write_enable=YES则不能生效)
-anon_mkdir_write_enable=YES：允许创建目录
-anon_other_write_enable=YES：开放其他写入权
-anon_max_rate=0：限制最大传输速率（字节/秒

这里比较注意的是，本地用户登陆模式下，关于local_root配置的路径，要注意用户的权限问题，否则无权访问或者无数据

(d.按Esc退出编辑模式，然后输入:wq并回车以保存并关闭文件。

8、创建chroot_list文件，并在文件中写入例外用户名单。

a.运行以下命令，创建chroot_list文件

vim /etc/vsftpd/chroot_list

b.按i进入编辑模式。

c.输入例外用户名单。此名单中的用户不会被锁定在主目录，可以访问其他目录。

d.按Esc退出编辑模式，然后输入:wq并回车以保存并关闭文件。

（备注：没有例外用户时，也必须创建chroot_list文件，内容可为空）

9、运行以下命令重启vsftpd服务。

systemctl restart vsftpd.service

10、关闭防火墙，用于FTP测试，否则FTP连接会被防火墙拦截；

# 查看防火墙状态 
systemctl status firewalld

# 关闭防火墙 
systemctl stop firewalld

# 开启防火墙
systemctl start firewalld

# 重启防火墙
systemctl restart firewalld

11、FTP下载，上传测试，如下。

方式1：ftp://192.168.100.20连接FTP服务器，用户名：ftptest ；密码：python@123

方式2：使用WinSCP客户端连接FTP服务器，用户名：ftptest ；密码：python@123

以下是一些文件的位置约定：

/usr/in/vsftpd —- VSFTPD的主程序

/etc/rc.d/init.d/vsftpd —- 启动脚本

/etc/vsftpd/vsftpd.conf —- 主配置文件

/etc/pam.d/vsftpd —- PAM认证文件

/etc/vsftpd.ftpusers —- 禁止使用VSFTPD的用户列表文件

/etc/vsftpd.user_list —- 禁止或允许使用VSFTPD的用户列表文件

/var/ftp —- 匿名用户主目录

/var/ftp/pub —- 匿名用户的下载目录

如果要更改默认下载目录，修改/etc/vsftpd/vsftpd.conf，加入如下三行：

local_root=/

chroot_local_user=YES

anon_root=/

local_root表示使用本地用户登录到ftp时的默认目录

anon_root表示匿名用户登录到ftp时的默认目录

上面的chroot_list_file是设定锁定登陆用户在其home目录的列表，要在chroot_list_enable=YES情况下才生效。