[[424234]]

迷水商城

FTP 是 File Transfer Protocol 的缩写，即文献传输公约，它通过收罗在办事器和客户端之间传输文献，当今也曾成为一种日常使用的法式器用

vsftpd 是 very secure ftp daemon 的缩写，它是 Linux 上使用最受接待、使用最日常的 FTP 办事器之一，它具有安全，速率快，巩固的本性，好多蹙迫的 FTP 站点比如 ftp.gnu.org、ftp.freebsd.org 皆是使用 vsftpd 作为办事器的

迷水商城

现时，FTP办事在日常职责中使用得也挺多，每次办事器版块更新皆需要先打包，然后上传到线上的FTP办事器上，再从FTP办事器险峻载办事器包到线上机器，进行MD5校验，然后就不错更新线上办事器了

迷水商城 证明

在装配 vsftpd 之前，有几个蹙迫的所在需要证明下

职责款式

办事器使用两个端口和客户端通讯，一个是号令端口，也叫适度端口，默许是 21， 用于号令的传输 ，一个是数据端口，默许是 20 ，用于数据的传输

秒睡的药物 主动款式

客户端向FTP办事器发送端口信息，由办事器主动畅达该端口

进程:客户端和FTP办事器的号令端口(21)建造TCP畅达，当需要传输数据时，客户端新启动一个用于数据传输的端口，并在号令端口的畅达上用 PORT 号令告诉办事器该端标语，办事器与该端口建造TCP畅达，畅达班师之后，客户端运行传输数据

被迫款式

FTP办事器开启并发送端口信息给客户端，由客户端畅达该端口，办事器被迫摄取畅达

进程：客户端和FTP办事器的号令端口(21)建造TCP畅达，当需要传输数据时，办事器侦听一个用于数据传输的端口，并在号令端口的畅达上用 PASV 号令告诉客户端该端标语，客户端与该端口建造TCP畅达，畅达班师之后，客户端运行传输数据

迷水商城

暴虐：

1、大大宗FTP客户端皆在局域网中，莫得寥寂的公网IP地址，且有防火墙龙套，主动款式下FTP办事器班师畅达到客户端比拟艰苦。因此，如无特等需求，皆是将FTP办事器竖立为被迫款式，本文后头的FTP办事器竖立亦然以被迫款式为例的

迷水商城

2、被迫款式下，号令端口和数据端口皆是在FTP办事器端开启，也皆不错通过启动竖立来修改，由于默许的端口是公开的，安全性低，是以骨子装配的时辰皆会修改默许端口

用户认证款式 匿名用户款式

任何东谈主无需密码考据就不错平直登录到FTP办事器。这种款式最不安全，一般只用来保存不蹙迫的公开文献，不推选在坐褥环境中使用

土产货用户款式

通过Linux系统土产货账号进行考据的款式，相较于匿名用户款式更安全。

造谣用户款式

FTP办事器的独到用户。造谣用户只可拜谒Linux系统为其提供的FTP办事，而不成拜谒Linux系统的其它资源，进一步增强了FTP办事器的安全性。

匿名用户款式一般用于不蹙迫的于公开文献，况兼只提供下载办事，也即是说，用户只可下载，不成有其他操作，土产货用户款式通过竖立锁定目次、修改号令端口和数据端口 不错进一步增强安全性，本文后头的竖立是以该款式为例的

迷水商城 装配

装配前不错使用底下的号令查验是否已装配

迷水商城

vsftpd -v 

如果未装配会有如下领导

[root@localhost ~]$ vsftpd -v -bash: vsftpd: 未找到号令 

装配 vsftpd

yum install vsftpd 

装配完成后，现实 vsftpd -v 号令，如果输出书本号，示意装配班师

迷水商城

[root@localhost ~]# vsftpd -v vsftpd: version 3.0.2 

竖立办事器

装配完成之后，默许的竖立位于 /etc/vsftpd/vsftpd.conf， 如果找不到默许竖立在那儿，不错使用底下的号令查找下，其中 /etc/vsftpd 目次即是存放竖立的所在

[root@localhost ~]# whereis vsftpd  vsftpd: /usr/sbin/vsftpd /etc/vsftpd /usr/share/man/man8/vsftpd.8.gz 

竖立的面貌相对浅陋，每一瞥皆是谛视粗野选项，谛视以 # 号开始，选项的面貌是 option=value 的面貌，每个选项占一瞥，option、= 以及 value 之间不允许出现空格

vsftpd 对每个竖立的选项皆竖立了一个默许值，办事器启动之后，在 vsftpd.conf 中竖立的选项会遮蔽办事器中的默许值

vsftpd 可竖立的选项好多，底下按照类别把常用的竖立项分红了 拜谒权限、锁定拜谒目次、为止用户登录、修改端口、日记竖立、其他竖立 几组， 每个竖立项前皆加多了防御的证明

竖立项分组主若是为了回来证明每一组竖立项的作用，骨子竖立的过程中，把所有组的竖立项添加到 vsftp.conf 中即可

拜谒权限

#是否允许匿名登录，默许允许，如果允许，用户名 ftp 和 anonymous 皆会被行为念匿名登录 #为了安全，一般不允许匿名登录 anonymous_enable=NO  #是否允许匿名上传，默许不允许，如果允许 write_enable 选项需要竖立为 YES #为了安全，一般不允许 anon_upload_enable=NO  #是否允许土产货用户登录，默许不允许，如果允许，在 ``` /etc/passwd``` 中的用户皆不错登录 FTP 办事器 #如果不予许匿名登录的话，这个选项需要竖立为允许 local_enable=YES  #是否允许在FTP办事器上写入， 默许不允许，如果有上传文献、删除文献等需求，10秒入睡的方法一般皆是开启的 write_enable=YES  #竖立写入办事器文献的权限掩码值，如果值是八进制需要以 0 开始，不然会行为十进制 #值为 022，能得志大部分FTP的需求 local_umask=022 

锁定拜谒目次

#默许为 NO， 如果竖立为 YES，示意用户通过FTP客户端登录之后 #只可在FTP办事器指定的目次中，不允许切出目次， chroot_local_user=YES  #用户名插入到土产货 FTP 主目次中 user_sub_token=$USER  #界说用户 FTP 主目次，用户登录班师之后，vsftpd 办事器会切换到此目次， #此时 FTP 客户端会位于此目次中，后续的上传以及下载皆是针对这个目次的 local_root=/home/$USER/ftp 

把登录的用户锁定在指定的目次中，幸免用户拜谒不应该拜谒的目次，这里咱们竖立成只允许拜谒我方的 home 目次中的 ftp 目次，举例：新添加一个用户 testuser 特意用于上传下载， testuser 通过 FTP 客户端班师登录后，会自动切换到 /home/testuser/ftp 目次，况兼不允许切出该目次

提神：用户上传和下载皆是在为止的目次中，是以一般皆是把锁定目次竖立到剩余空间比拟大的磁盘中

为止用户登录

#如果竖立为 YES ，vsftpd 将会从 userlist_file 选项指定的文献读取用户列表 userlist_enable=YES  #竖立用户列表竖立文献， 如果 /etc/vsftpd/user_list 不存在需要手工创建 userlist_file=/etc/vsftpd/user_list  #此选项查验 userlist_enable 选项，当 userlist_enable 为 YES 时 #如果 userlist_deny 竖立为 NO ， 示意只允许 userlist_file 中的用户登录 #如果 userlist_deny 竖立为 YES， 示意谢绝 userlist_file 中的用户登录，允许其他用户登录 userlist_deny=NO 

修改端口

#如果启用，vsftpd 将在寥寂款式下运行，vsftpd 本人将防备侦听和科罚传入的畅达 listen=NO  # 跟 listen 选型近似，然则此选项是侦听在 IPV6 上的 socket # 而 listen 是 IPV4， 此选项和 listen 是互斥的，不成同期竖立为 YES listen_ipv6=YES  #办事器侦听端口，亦然号令端口， 默许是21，修改之后， 防火墙需要作念相应的调度 #同期 FTP 客户端登录的时辰需要指定端标语 #为了增强安全性，竖立的时辰一般皆会修改 listen_port=48888  #开启被迫款式 pasv_enable=YES #被迫款式下，办事器的地址，默许是内网地址 #如果在云办事器上部署，需要修改成公网IP pasv_address=192.168.70.20  #竖立被迫款式下，建造数据传输可使用的端口边界的最小值。 #暴虐把端口边界竖立在一段比拟高的边界内，举例50000~50010，有助于擢升拜谒FTP办事器的安全性 pasv_min_port=50000  #竖立被迫款式下，建造数据传输可使用的端口边界的最大值 pasv_max_port=50010 

日记竖立

#是否记载上传下载日记，默许是不记载，如果竖立为记载 #默许日记文献位于 /var/log/vsftpd.log， 如果竖立了 vsftpd_log_file 选项，会遮蔽默许日记文献 xferlog_enable=YES  #记载上传下载的日记 xferlog_file=/var/log/xferlog  #是否按照法式面貌记载日记 xferlog_std_format=YES 

其他竖立

# vsftpd 使用的 PAM 办事名字 pam_service_name=vsftpd # tcp_wrappers=YES 

这两个竖立使用默许生成的选项即可，无谓作念任何修改

竖立防火墙

如果你部署的FTP办事器的机器上防火墙是关闭情状的话，不错跳过此治安，粗野你不念念竖立防火墙的话，不错通过 systemctl stop firewalld 号令关闭防火墙，这么也不错忽略此治安

上头竖立中办事器侦听端口(也叫号令端口) listen_port 选项竖立的是 48888，数据端口的边界是 50000-50010， 是以防火墙需要怒放这些端口，现实以下号令即可竖立

[root@localhost ~]# firewall-cmd --zone=public --add-port=48888/tcp --permanent success [root@localhost ~]# firewall-cmd --zone=public --add-port=50000-50010/tcp --permanent success 

防火墙竖立好以后，现实底下的号令重启防火墙办事

[root@localhost ~]# systemctl restart firewalld 

终末，检验下端口是否班师怒放

[root@localhost ~]# firewall-cmd --list-port          50000-50010/tcp 48888/tcp 

从遵守不错看出，防火墙也曾怒放了 48888、50000-50099 端口

迷水商城 启动办事器

竖立完 /etc/vsftpd/vsftpd.conf ，竖立好防火墙之后，现实底下的号令启动办事器

systemctl start vsftpd

启动之后，查询办事器情状，证据办事器是否启动班师

[root@localhost ~]# systemctl status vsftpd                     ● vsftpd.service - Vsftpd ftp daemon    Loaded: loaded (/usr/lib/systemd/system/vsftpd.service; enabled; vendor preset: disabled)    Active: active (running) since Fri 2021-09-1 20:21:00 CST; 3 days ago  Main PID: 94916 (vsftpd)    CGroup: /system.slice/vsftpd.service            └─94916 /usr/sbin/vsftpd /etc/vsftpd/vsftpd.conf  Sep 1 20:21:00 localhost systemd[1]: Starting Vsftpd ftp daemon... Sep 1 20:21:00 localhost systemd[1]: Started Vsftpd ftp daemon. 

将办事器竖立成开机启动

systemctl enable vsftpd 

底下的号令不错证据办事器的号令端口是否开启( 竖立的是 : 48888 )

[root@localhost ~]# netstat -antup | grep vsftpd tcp6       0      0 :::48888                :::*                    LISTEN      20501/vsftpd         [root@localhost ~]# 

新建FTP用户

新建用户 mytest， 并竖立密码

迷水商城

[root@localhost ~]# useradd mytest [root@localhost ~]# passwd mytest 

新建 FTP 目次，并修改目次权限

迷水商城

[root@cghost21 home]# mkdir -p /home/mytest/ftp/files [root@cghost21 home]# chmod -R 500 /home/mytest/ [root@cghost21 home]# chmod -R 700 /home/mytest/ftp/files 

提神：/home/mytest/ftp 是 mytest 用户的锁定目次，mytest 登录之后，只可呆在此目次以及此目次的子目次中，不允许切换到其他目次

迷水商城

"/home/mytest/ftp/files" 目次是骨子的上传下载的目次，是以需要有可读写和可现实权限

终末，还需要把用户名加入到FTP办事器允许登录的用户列表中，也即 /etc/vsftpd/vsftpd.conf 中 userlist_file 选项对应的文献 /etc/vsftpd/user_list中，如果 user_list 不存在，需要手工创建并把 mytest添加进去

测试

办事器通盘搭建好之后，需要进行测试，这里我准备的 FTP办事器的IP是 192.168.70.20， FTP客户端机器的IP是 192.168.70.11

迷水商城

插足FTP办事器的 /home/mytest/ftp/files 目次， 新建一个 a.txt 测试文献

[root@localhost files]# pwd /home/mytest/ftp/files [root@localhost files]# echo "ftp server..." >> a.txt [root@localhost files]# 

插足FTP客户端机器的 /home/wl/temp目次，新建一个 test.txt 测试文献

迷水商城

[root@localhost temp]# echo "ftp test..." >> test.txt [root@localhost temp]# cat test.txt  ftp test... 

测试上传下载需在FTP客户端机器上装配 FTP 客户端， 现实以下号令进行装配，如已装配，可忽略

yum install ftp 

现实底下一系列的号令，进行测试

1、登录FTP办事器号令，面貌：ftp 办事器ID 号令端口  2、输入登寄托户名  3、输入登录密码  4、登录班师之后，此时位于FTP办事器的 /home/mytest/ftp 目次中，现实 ls 号令之后，  遵守闪现现时目次还有一个 files 的子目次  5、现实 pwd 号令检验现时所在目次，FTP办事器上的 /home/mytest/ftp 目次即是 FTP 的根目次  6、现实 cd files 号令插足 files 目次，也即FTP办事器上的 /home/mytest/ftp/files 目次，  然后现实 ls 号令检验现时目次的文献，不错看到 FTP办事器上的测试文献 a.txt  7、现实 put test.txt 号令，把FTP客户端机器上现时目次( /home/wl/temp ) 中的 test.txt 文献  上传到办事器的 /home/mytest/ftp/files 目次中  8、现实 get a.txt 号令，把FTP办事器上的 /home/mytest/ftp/files/a.txt 文献下载到 FTP客户端机器确现时目次( /home/wl/temp ) 中  9、上传下载测试完成之后，现实 exit 号令，退出 FTP 号令行  10、终末现实 cat a.txt 号令检验从 FTP办事器险峻载的测试文献的内容，从遵守不错看出，和办事器上的测试文献内容是相通的 

小结

本文先容了 Linux 下FTP办事器 vsftpd 的装配、竖立、测试等整个治安以及提神事项，文中仅仅对 vsftpd 的常用竖立项作念了证明，更多的竖立项请参考官网文档