如何在centos 7上使用vsftpd设置ftp服务器

FTP（文件传输协议）是一种标准的客户端-服务器网络协议，允许用户与远程网络进行文件传输。

有几种可用于Linux的开源FTP服务器。 最流行和广泛使用的是PureFTPd，ProFTPD和vsftpd。

在本教程中，我们将在CentOS 7上安装vsftpd（非常安全的Ftp守护程序）。这是一个稳定，安全且快速的FTP服务器。 我们还将向您展示如何配置vsftpd以将用户限制在其主目录中，并使用SSL / TLS加密整个传输。

为了更安全，更快地传输数据，请使用SCP或SFTP。

先决条件

在继续本教程之前，请确保您以具有sudo特权的用户身份登录。

在CentOS 7上安装vsftpd

vsftpd软件包在默认的CentOS存储库中可用。 要安装它，请发出以下命令：

sudo yum install vsftpd

安装软件包后，启动vsftpd守护程序，并使其能够在引导时自动启动：

sudo systemctl start vsftpd sudo systemctl enable vsftpd

您可以通过打印其状态来验证vsftpd服务是否正在运行：

sudo systemctl status vsftpd

输出将如下所示，显示vsftpd服务处于活动状态并正在运行：

● vsftpd.service - Vsftpd ftp daemon Loaded: loaded (/usr/lib/systemd/system/vsftpd.service; enabled; vendor preset: disabled) Active: active (running) since Thu 2018-11-22 09:42:37 UTC; 6s ago Main PID: 29612 (vsftpd) CGroup: /system.slice/vsftpd.service └─29612 /usr/sbin/vsftpd /etc/vsftpd/vsftpd.conf

配置vsftpd

配置vsftpd服务涉及编辑 /etc/vsftpd/vsftpd.conf 配置文件。 大多数设置在配置文件中都有详细记录。 有关所有可用选项的信息，请访问官方的vsftpd页面。

在以下各节中，我们将介绍配置安全的vsftpd安装所需的一些重要设置。

首先打开vsftpd配置文件：

sudo nano /etc/vsftpd/vsftpd.conf

1. FTP访问

我们将只允许本地用户访问FTP服务器，找到 anonymous_enable 和 local_enable 指令，并验证您的配置是否与以下行匹配：

/etc/vsftpd/vsftpd.conf

anonymous_enable=NO local_enable=YES

2.启用上传

取消注释 write_enable 设置以允许更改文件系统，例如上载和删除文件。

/etc/vsftpd/vsftpd.conf

write_enable=YES

3. Chroot监狱

通过取消注释 chroot 指令，防止FTP用户访问其主目录之外的任何文件。

/etc/vsftpd/vsftpd.conf

chroot_local_user=YES

默认情况下，启用chroot时，如果用户锁定的目录是可写的，则vsftpd将拒绝上传文件。 这是为了防止安全漏洞。

启用chroot时，请使用以下方法之一允许上传。

• 方法1。-建议的允许上传的方法是保持chroot启用并配置FTP目录。 在本教程中，我们将在用户主目录中创建一个 ftp 目录，该目录将用作chroot，并提供一个可写的目录，用于上传文件。

  /etc/vsftpd/vsftpd.conf

  user_sub_token=$USER local_root=/home/$USER/ftp

  方法2。-另一个选项是在vsftpd配置文件中添加以下指令。 如果必须将用户的可写访问权限授予其主目录，请使用此选项。

  /etc/vsftpd/vsftpd.conf

  allow_writeable_chroot=YES

4.被动FTP连接

vsftpd可以使用任何端口进行被动FTP连接。 我们将指定端口的最小和最大范围，然后在防火墙中打开该范围。

将以下行添加到配置文件：

/etc/vsftpd/vsftpd.conf

pasv_min_port=30000 pasv_max_port=31000

5.限制用户登录

要仅允许某些用户登录FTP服务器，请在 userlist_enable=YES 行之后添加以下行：

/etc/vsftpd/vsftpd.conf

userlist_file=/etc/vsftpd/user_list userlist_deny=NO

启用此选项后，您需要通过将用户名添加到 /etc/vsftpd/user_list 文件（每行一个用户）来明确指定哪些用户可以登录。

6.使用SSL / TLS保护传输

为了使用SSL / TLS加密FTP传输，您需要具有SSL证书并配置FTP服务器以使用它。

您可以使用由受信任的证书颁发机构签名的现有SSL证书，也可以创建自签名证书。

在本教程中，我们将使用 openssl 命令生成一个自签名SSL证书。

以下命令将创建一个有效期为10年的2048位私钥和自签名证书。 私钥和证书都将保存在同一文件中：

sudo openssl req -x509 -nodes -days 3650 -newkey rsa:2048 -keyout /etc/vsftpd/vsftpd.pem -out /etc/vsftpd/vsftpd.pem

创建SSL证书后，打开vsftpd配置文件：

sudo nano /etc/vsftpd/vsftpd.conf

找到 rsa_cert_file 和 rsa_private_key_file 指令，将其值更改为 pam 文件路径，并将 ssl_enable 指令设置为 YES ：

/etc/vsftpd/vsftpd.conf

rsa_cert_file=/etc/vsftpd/vsftpd.pem rsa_private_key_file=/etc/vsftpd/vsftpd.pem ssl_enable=YES

如果没有另外指定，则FTP服务器将仅使用TLS建立安全连接。

重新启动vsftpd服务

完成编辑后，vsftpd配置文件（不包括注释）应如下所示：

/etc/vsftpd/vsftpd.conf

anonymous_enable=NO local_enable=YES write_enable=YES local_umask=022 dirmessage_enable=YES xferlog_enable=YES connect_from_port_20=YES xferlog_std_format=YES chroot_local_user=YES listen=NO listen_ipv6=YES pam_service_name=vsftpd userlist_enable=YES userlist_file=/etc/vsftpd/user_list userlist_deny=NO tcp_wrappers=YES user_sub_token=$USER local_root=/home/$USER/ftp pasv_min_port=30000 pasv_max_port=31000 rsa_cert_file=/etc/vsftpd/vsftpd.pem rsa_private_key_file=/etc/vsftpd/vsftpd.pem ssl_enable=YES

保存文件并重新启动vsftpd服务，以使更改生效：

sudo systemctl restart vsftpd

打开防火墙

要打开端口 21 （FTP命令端口），端口 20 （FTP数据端口）和 30000-31000 （被动端口范围），请发出以下命令：

sudo firewall-cmd --permanent --add-port=20-21/tcp sudo firewall-cmd --permanent --add-port=30000-31000/tcp

通过输入以下命令重新加载防火墙规则：

firewall-cmd --reload

创建一个FTP用户

为了测试我们的FTP服务器，我们将创建一个新用户。

• 如果您已经有要授予FTP访问权限的用户，请跳过第一步。如果在配置文件中设置 allow_writeable_chroot=YES ，请跳过第三步。

1. 创建一个名为 newftpuser 的新用户：

   sudo adduser newftpuser

   接下来，您需要设置用户密码：

   sudo passwd newftpuser

   将用户添加到允许的FTP用户列表中：

   echo "newftpuser" | sudo tee -a /etc/vsftpd/user_list

   创建FTP目录树并设置正确的权限：

   sudo mkdir -p /home/newftpuser/ftp/upload sudo chmod 550 /home/newftpuser/ftp sudo chmod 750 /home/newftpuser/ftp/upload sudo chown -R newftpuser: /home/newftpuser/ftp

   如上一节所述，用户将能够将其文件上传到 ftp/upload 目录。

此时，您的FTP服务器已完全正常运行，您应该能够使用可以配置为使用TLS加密的任何FTP客户端（例如FileZilla）连接到服务器。

禁用外壳访问

默认情况下，在创建用户时，如果未明确指定，则该用户将具有对服务器的SSH访问权限。

要禁用外壳程序访问，我们将创建一个新的外壳程序，该外壳程序将仅打印一条消息，告诉用户其帐户仅限于FTP访问。

运行以下命令以创建 /bin/ftponly shell并使它可执行：

echo -e '#!/bin/sh\necho "This account is limited to FTP access only."' | sudo tee -a /bin/ftponly echo -e '#!/bin/sh\necho "This account is limited to FTP access only."' | sudo tee -a /bin/ftponly sudo chmod a+x /bin/ftponly

将新的shell附加到 /etc/shells 文件中的有效shell列表中：

echo "/bin/ftponly" | sudo tee -a /etc/shells

将用户shell更改为 /bin/ftponly ：

sudo usermod newftpuser -s /bin/ftponly

使用相同的命令来更改仅希望授予FTP访问权限的其他用户的外壳程序。

结论

在本教程中，您学习了如何在CentOS 7系统上安装和配置安全快速的FTP服务器。

FTP中心