Ubuntu16 FTP的安装，基本配置与权限控制

1.ftp与sftp

大致了解下：

ftp是一个文件传输协议，linux环境需要它才能支持文件的传输与查看，它的默认端口是21。

sftp是加密/解密的文件传输协议，因为它每次传输都有加密解密的步骤，所以效率比ftp低的多但是安全。

2.ftp服务的安装

使用命令行从软件库下载安装：apt-get install vsftp ftp

3.ftp服务的匿名访问测试

安装完成后我们可以进行测试，首先测试一下匿名登录：

修改vsftpd的配置文件：vim /etc/vsftpd.conf（配置文件的位置可能不同）

将anonymous_enable设置为YES，意思是允许匿名登录;

再添加一行匿名登录的默认目录:anon_root=/home/annoDir;

最后启动vsftpd服务：/etc/init.d/vsftpd start

用浏览器匿名访问目录：

可以看到，无需输入账号密码就可以访问annoDir这个目录：

4.ftp服务的配置详解

参考（https://www.linuxidc.com/Linux/2017-04/142493.htm）

anonymous_enable=NO             # 关闭匿名登录 默认为NO
local_enable=YES        　　　　# 允许本地用户登录
write_enable=YES        　　　　# 启用可以修改文件的 FTP 命令
local_umask=022            　　　#设置本地用户新增文档的umask，默认为022，
这里的022ftp服务会把它解析成2进制的000 010 010 再取反，即755，代表了文件的权限，即 对新增的目录有读写执行权


dirmessage_enable=YES           # 当用户第一次进入新目录时显示提示消息（按照默认就好）
xferlog_enable=YES      　　　　# 一个存有详细的上传和下载信息的日志文件（启用日志文件）
connect_from_port_20=YES        # 在服务器上针对 PORT 类型的连接使用端口 20（FTP 数据）
xferlog_std_format=YES          # 保持标准日志文件格式（默认不动）
listen=NO               　　# 阻止 vsftpd 在独立模式下运行,默认为NO,但是据说设置为NO的话，有些配置功能会被限制（找不到相关资料）
listen_ipv6=YES             # vsftpd 将监听 ipv6 而不是 IPv4，你可以根据你的网络情况设置，如果需要同时支持ipv4和ipv6的话，需要配置2套
pam_service_name=vsftpd         # vsftpd 将使用的 PAM 验证设备的名字（默认就好）
userlist_enable=YES             # 允许 vsftpd 加载用户名字列表，
注意，默认vsftp是基于/etc/vsftpd.userlist来作为禁止访问ftp的名单的，比如其中就包含root用户
我们也可以通过配置 userlist_deny=NO 这个选项来反转配置，即只有该名单内的用户可以访问该目录。

chroot_local_user=YES
allow_writeable_chroot=YES

　#选项chroot_local_user=YES 表示本地用户将进入 chroot 环境，当登录以后默认情况下是其 home 目录。

　并且我们要知道，默认情况下，出于安全原因，VSFTPD 不允许 chroot 目录具有可写权限。然而，我们可以通过选项 allow_writeable_chroot=YES 来允许。

chroot_list_enable=YES #限制只访问自身目录

chroot_list_file=/etc/vsftpd/vsftpd.chroot_list  #限制访问自身目录的用户列表

5.新增ftp用户

正常使用ftp服务，很少会用匿名登录，我们需要一个专门的用户去做ftp操作。

1.新建用户（xjxftp）并设置主目录和密码：

2.在ftp的配置文件中限制用户的访问路径：

编辑vsftpd.conf文件，设置chroot_local_user=YES

同时，新建一个chroot_list文件，将受限制的用户加入：一个用户名占一行，直接加入就好。

重启服务：root@instance-7k2jqcks:/etc# ./init.d/vsftpd restart

注：如果我们设置了chroot_local_user=YES,又设置了chroot_list_enable=YES限制访问自身目录，则拥有写权限的用户将无法登录：

这是由于ftp新版本的安全机制导致的（https://www.cnblogs.com/zhjh256/p/9155281.html）

我们当然不能没有写的权限，这里我们可以设置 allow_writeable_chroot=YES 来允许（如果white_enable=YES这行被注释掉的话也把它放开）

这样，我们使用xftp就可以新建文件，并且所有的操作也被限制在该用户主目录下：

6.ftp用户无法新建文件夹和403

这里稍微说一点点遇到的小问题，一个是提到的限制用户访问主目录后的无法写的问题，上面的已经有方案了。

403的问题：

1.如果我们使用阿里云服务器，它进入的协议和端口默认是有限制的，我们需要自己做安全组配置，打开20和21端口，如果服务器自带防火墙也一样。

2.还有就是你ftp登录的用户有没有对主目录应有的访问读写权限。

3.默认ftp是对ftpusers这个文件里的用户禁止访问的。它里面就包含root，如果我们的用户在/etc/ftpusers这个文件夹里，登录验证也将失败。

无法新建文件夹的问题：注意有的版本配置文件中write_enable=YES 这个是被注释掉的，这样我们无法写，需要把它打开。

7.vsftpd配置必须需要账号密码访问

把user_list文件作为允许访问的用户列表

配置文件中 配置 userlist_enable=YES和 userlist_deny=NO