vsftpd服务的基本配置

本文环境：CentOS 7

简介

FTP（文件传输协议，File Transfer Protocol）是最古老的协议之一，诞生于1971年，距今已经半个世纪了，它的目的是在不同计算机之间传输文件（实现跨平台传输），工作于TCP/IP协议的应用层，需要注意的是，FTP以明文方式传输。

声明：下文出现的链接是名词，表示端口到端口之间的虚拟链路；而连接是动词，表示建立链路的这个动作，连接 = 建立链接。

工作流程简介

FTP使用两个端口同时进行通信，即控制链接和数据连接，它们都基于TCP协议，控制链接端口默认是21，数据链接默认端口是20，控制链接用来传输用户名、密码、传输方式等，而数据连接就是用来传输真实的文件数据，所以客户端和服务端都同时运行着控制链接进行和数据连接进行，一般而言，客户端首先向服务器发起控制连接请求，服务器的控制链接默认监听21端口，同时告诉服务器自己的一个空闲端口号，用于之后传输数据，然后，服务器通过默认的20端口和客户机所提供的空闲端口建立起数据链接，至此整个FTP链接全部建立，可以开始传输数据了。

默认情况下，控制链接在整个FTP会话期间一直存在，但数据链接在每次传输完文件后会自动断开，继续传文件需要重新建立数据链接。

FTP的数据传输格式

ASCII或BINARY，即以文本方式传输还是以二进制方式传输，以文本方式传输会自动转换一些特殊字符，如，Windows向Linux以文本方式传输文件下会把CRLF转为LF，整个FTP传输的过程以字符流或比特流传输。

服务器应答格式（由三位数字组成）

第一位数字：

1XX 确定预备应答：在发送一个命令前期待另一个命令应答

2XX 确定完成应答：要求的操作已经完成，可以接受新的命令了

3XX 确定中间应答：此命令已被接受，但在处理前，还需要另一个命令

4XX 暂时拒绝完成应答：请求的命令被拒绝，但是只是暂时的，可以稍后重发此命令再次尝试

5XX 永久拒绝应答：请求的命令被拒绝，并且要求不再重试

第二位数字：

X0X 语法错误

X1X 一般性的解释信息

X2X 与控制和数据链接有关

X3X 与认证和账号登入有关

X4X 保留

X5X 与文件系统有关

第三位数字是在第二个数字的基础上对应答做进一步细化，没有具体的规定，但是，有些约定成文的常见应答，如下，

125 数据链接已经打开，开始传输

200 就绪

214 面向用户的帮助信息

331 用户名已接收，等待密码输入

425 不能打开数据链接

452 写文件出错

500 语法错误（未知的命令）

501 语法错误（参数错误）

数据连接的主动和被动

数据链接的建立分为主动方式和被动方式，具体选择哪种方式由客户端决定，客户端在上传或下载文件时要先发送一个PORT或PASV命令，表示采用主动方式还是被动方式，需要注意的是，主动和被动是相对于服务器而言的：如果数据连接由服务器先发起，则为主动方式；如果数据连接由客户机先发起，则为被动方式。

主动方式下，客户端首先通过PORT命令向服务器发送自己的一个空闲端口号（大于1024），然后服务器通过默认的20端口向客户端提供的端口建立数据链接。

被动方式下，客户端先向服务器发送PASV命令，服务器会回应一个它空闲的端口号（定义在主配置文件中的passv_min_port和passv_max_port两个配置项指定的闭区间），告诉客户端它将在这个端口监听来自客户端的数据链接建立请求，最后，客户端选择一个空闲端口（大于1024）向服务器的这个端口建立数据链接。

vsftp服务器端配置

本文以vsftp(very secure ftp)软件来配置服务器端的FTP服务，著名的Red Hat、SUSE、Debian、GNU等都是使用这款软件来部署它们的FTP服务器。

第一步：在服务器端安装vsftpd软件

有三种安装方式，编译源码安装、使用RPM包安装和使用YUM源安装，这里使用YUM 源安装，这种方式安装前请确保已正确配置YUM源，

[root@localhost ~]# yum -y install vsftpd

第二步：在客户端安装ftp软件

也有三种安装方式，这里使用YUM，

[root@localhost ~]# yum -y install ftp

第三步：测试匿名用户是否能登入

先开启服务端的vsftp服务，

[root@localhost ~]# systemctl start vsftpd

关闭服务端的防火墙和SELinux，

[root@localhost ~]# systemctl stop firewalld

[root@localhost ~]# setenforce 0

在客户端输入“ftp 服务器的地址”进行测试，其中匿名用户登入的用户名是anonymous， 密码可以为空，也可以是任意字符串，

[root@localhost ~]# ftp 192.168.88.128

Connected to 192.168.88.128 (192.168.88.128).

220 (vsFTPd 3.0.2)

Name (192.168.88.128:root): anonymous

331 Please specify the password.

Password:

230 Login successful.

Remote system type is UNIX.

Using binary mode to transfer files.

ftp>

输入quit命令即可退出ftp回到原来的Shell，

ftp> quit

221 Goodbye.

第三步：配置本地FTP用户

首先创建一个本地账户，

[root@localhost ~]# useradd -s /sbin/nologin -g ftp ftptest1

为这个用户配置密码，这里密码设为123，

[root@localhost ~]# echo 123 | passwd --stdin ftptest1

Changing password for user ftptest1.

passwd: all authentication tokens updated successfully.

回到客户端，使用之前的方法进行测试，

[root@localhost ~]# ftp 192.168.88.128

Connected to 192.168.88.128 (192.168.88.128).

220 (vsFTPd 3.0.2)

Name (192.168.88.128:root): ftptest1

331 Please specify the password.

Password:

530 Login incorrect.

Login failed.

ftp>

这里出现了一个问题，即便密码输入正确，依旧显示登入失败，这时由于PAM模块验 证机制导致的（PAM会阻止那些是nologin shell的用户登入FTP服务），解决这个问题 有两个办法，第一个是创建一个具有登入shell（如bash）的用户，但是这样会产生安 全问题，第二个是找到PAM模块，将其对FTP验证的功能关闭，这里使用第二个方法，

[root@localhost ~]# vim /etc/pam.d/vsftpd

然后将包含”pam_shells.so”这行注释，前面添加#进行注释，

#auth       required    pam_shells.so

重启vsftpd服务，然后再回到客户端继续尝试登入，

[root@localhost ~]# ftp 192.168.88.128

Connected to 192.168.88.128 (192.168.88.128).

220 (vsFTPd 3.0.2)

Name (192.168.88.128:root): ftptest1

331 Please specify the password.

Password:

230 Login successful.

Remote system type is UNIX.

Using binary mode to transfer files.

ftp>

登入成功，使用pwd命令查看所在的FTP服务器的路径，

ftp> pwd

257 "/home/ftptest1"

发现可以查看到完整路径名（从根开始），这是很不安全的

第四步：限定用户的登入目录

找到vsftpd的主配置文件并打开，

[root@localhost ~]# vim /etc/vsftpd/vsftpd.conf

将其中的”#chroot_local_user=YES”取消注释，然后重启服务，再去客户端登入，

[root@localhost ~]# ftp 192.168.88.128

Connected to 192.168.88.128 (192.168.88.128).

220 (vsFTPd 3.0.2)

Name (192.168.88.128:root): ftptest1

331 Please specify the password.

Password:

500 OOPS: vsftpd: refusing to run with writable root inside chroot()

Login failed.

421 Service not available, remote server has closed connection

ftp>

又出现错误了，大致意思是：拒绝一个带有写权限的根目录，为什么呢？这是因为vsftp 是一个很安全的FTP服务软件，所以，如果一个用户的登入目录被限制了，那么他的登 入目录不应该再有写的权限，我们来看看ftptest1的登入目录（也就是他的家目录），

[root@localhost ~]# ll -d /home/ftptest1/

drwx------. 2 ftptest1 ftp 62 Dec 18 15:11 /home/ftptest1/

可以发现，ftptest1确实对他自己的家目录有写的权限，怎么解决呢？也有两个解决方 法，第一个是使用chmod命令将这个目录的写权限去掉，第二个是修改主配置文件， 这里选择第二个方法，在主配置文件中添加下行，

allow_writeable_chroot=YES

然后重启服务，

[root@localhost ~]# ftp 192.168.88.128

Connected to 192.168.88.128 (192.168.88.128).

220 (vsFTPd 3.0.2)

Name (192.168.88.128:root): ftptest1

331 Please specify the password.

Password:

230 Login successful.

Remote system type is UNIX.

Using binary mode to transfer files.

ftp> pwd

257 "/"

ftp>

问题成功解决，并且用户的登入已经被限制了

第五步：FTP黑名单

vsftpd存在一个全局黑名单，是/etc/vsftpd/ftpusers，将用户添加到这个文件（每个用户 名占一行），那么，即便用户输对了密码，也提示密码错误，除了这个黑名单，vsftpd 还存在另一个黑名单，是/etc/vsftpd/user_list（也是每个用户占一行），开启这个黑名单 需要修改主配置文件，确保userlist_enable的值是YES，如下，

userlist_enable=YES

位于user_list文件中的用户，一旦输入用户名，直接被拒绝，连输入密码的机会都没有， 更新user_list或ftpusers都不需要重启vsftpd服务。

第六步：上传和下载

先将上一步中的ftptest1用户从全局黑名单和user_list黑名单中移除，然后在这个用户 的登入目录新建一个文件夹为pub，权限为777，作为共用目录，

[root@localhost ~]# mkdir /home/ftptest1/pub

[root@localhost ~]# chmod 777 /home/ftptest1/pub/

[root@localhost ~]# ll -d /home/ftptest1/pub/

drwxrwxrwx. 2 root root 6 Dec 18 15:40 /home/ftptest1/pub/

然后在这个目录里面创建一个文件，用于客户端的下载，

[root@localhost ~]# echo "hello I am from vsftpd" > /home/ftptest1/pub/readme.txt

回到客户端，在/tmp下创建一个文件，用于上传，

[root@localhost ~]# echo "2019" > /tmp/example.txt

打开ftp，连接到服务器，查看、下载到客户端的tmp目录和上传到服务器的pub目录，

[root@localhost ~]# ftp 192.168.88.128

Connected to 192.168.88.128 (192.168.88.128).

220 (vsFTPd 3.0.2)

Name (192.168.88.128:root): ftptest1

331 Please specify the password.

Password:

230 Login successful.

Remote system type is UNIX.

Using binary mode to transfer files.

ftp> pwd

257 "/"

ftp> ls

227 Entering Passive Mode (192,168,88,128,51,1).

150 Here comes the directory listing.

drwxrwxrwx    2 0        0              24 Dec 18 20:46 pub

226 Directory send OK.

ftp> cd pub

250 Directory successfully changed.

ftp> ls

227 Entering Passive Mode (192,168,88,128,102,108).

150 Here comes the directory listing.

-rw-r--r--    1 0        0              23 Dec 18 20:41 readme.txt

226 Directory send OK.

ftp> get readme.txt /tmp/readme.txt

local: /tmp/readme.txt remote: readme.txt

227 Entering Passive Mode (192,168,88,128,160,11).

150 Opening BINARY mode data connection for readme.txt (23 bytes).

226 Transfer complete.

23 bytes received in 9.7e-05 secs (237.11 Kbytes/sec)

ftp> put /tmp/example.txt /pub/example.txt

local: /tmp/example.txt remote: /pub/example.txt

227 Entering Passive Mode (192,168,88,128,209,58).

150 Ok to send data.

226 Transfer complete.

5 bytes sent in 0.000344 secs (14.53 Kbytes/sec)

ftp> ls

227 Entering Passive Mode (192,168,88,128,67,163).

150 Here comes the directory listing.

-rw-r--r--    1 1001     50              5 Dec 18 20:50 example.txt

-rw-r--r--    1 0        0              23 Dec 18 20:41 readme.txt

226 Directory send OK.

ftp> quit

221 Goodbye.

至此，基本的vsftpd服务的配置已经完成！