linux中搭建公网ftp服务器

Linux搭建ftp服务器汇总整理

一、检查linux中是否已经安装vsftpd服务端软件

rpm -qa |grep vsftpd

二、卸载linux中的vsftpd服务端软件

rpm -e vsftpd安装版本号

三、安装linux中的vsftpd服务端

yum install vsftpd -y

四、安装linu中的ftp客户端

yum install ftp

五、启动停止重启vsftpd服务端

启动：service vsftpd start

关闭：service vsftpd stop

重启：service vsftpd restart

六、设置开机自启

chkconfig vsftpd on

七、配置vsftpd服务端模式

1、主动模式：（公司内网使用可以选择此模式）

# vi /etc/vsftpd/vsftpd.conf

port_enable=YES

connect_from_port_20=YES

2、被动模式：（需要映射到公网的就选择此模式，想对安全）

# vi /etc/vsftpd/vsftpd.conf
connect_from_port_20=NO

pasv_enable=YES（被动模式开启）
pasv_min_port=3010（最小端口）
pasv_max_port=3015（最大端口）

pasv_address=公网IP地址（非常重要这个）

说明：最小端口、最大端口范围最好是5-10端口就行，方便公网开通对应端口，端口数量太少，可能会导致有时候能连接上，有时候连接不上。

八、ftp服务器主动、被动模式区别

1、主动模式（PORT）：

　　原理：

FTP客户端连接到FTP服务器的21端口，发送用户名和密码登录，登录成功后要list列表或者读取数据时，客户端随机开放一个端口（1024以上）， 发送 PORT命令到FTP服务器，告诉服务器客户端采用主动模式并开放端口；FTP服务器收到PORT主动模式命令和端口号后，通过服务器的20端口和客户端 开放的端口连接，发送数据。

　　要点：

传送数据时是“服务器”连接到“客户端”的端口；

需要客户端必须开放端口给服务器，很多客户端都是在防火墙内，开放端口给FTP服务器访问比较困难；

2、被动模式（PASV）：

　　原理：

FTP 客户端连接到FTP服务器的21端口，发送用户名和密码登录，登录成功后要list列表或者读取数据时，发送PASV命令到FTP服务器， 服务器在本地随机开放一个端口（1024以上），然后把开放的端口告诉客户端， 客户端再连接到服务器开放的端口进行数据传输。

　　要点：

传送数据是“客户端”连接到“服务器”的端口；

只需要服务器端开放端口给客户端连接就行；

3、如何选择ftp模式：

如果只是公司内部、局域网使用ftp，可以用主动模式，但是ftp客户端防火墙最好关掉或者开放ftp需要的数据端口范围，不存在安全问题也。如果是公网ftp就用被动模式，可以自定义端口，更加安全。

想要安全、连接方便就用被动模式。

九、ftp服务器中三种用户模式

1、匿名用户：

用anonymous账号，不用输入密码就能够进入ftp服务器。

此用户模式非常不安全，一般不采用。如果需要详情见网上连接：https://www.cnblogs.com/revo/p/7444897.html

2、本地用户：

首先在linux中需要创建用户，然后将创建的用户添加到ftp服务器的白名单中，然后该用户才可以登录ftp服务器。

默认用户可以登录ftp，也可以通过sftp登录上去查看其它资源，可以让用户只登录ftp，不能通过sftp方式登录服务器。

此用户模式比匿名想对安全，需要限定ftp用户不能通过sftp方式访问22端口的服务器资源就更加安全了。

3、虚拟用户：

就是不需要创建linux中实际账号，只需要配置虚拟用户、生成数据文件配置就行，详情见网上连接：https://www.cnblogs.com/revo/p/7444897.html

4、禁止ftp用户ssh登录（安全问题可以解决）：

　　禁止ftp用户ssh登录：

　　查看/etc/shells文件，找到nologin的路径

　　执行命令：

usermod -s /sbin/nologin 用户名称

　　解除ftp用户ssh登录禁止：

　　查看/etc/shells文件，找到bash的路径

　　执行命令：

usermod -s /bin/bash 用户名称

十、修改vsftpd配置文件

1、匿名登录：

允许：anonymous_enable=YES

不允许：anonymous_enable=NO

2、是否只显示用户路径：

用户只看到自己路径：chroot_local_user=YES

用户可查看其它路径：chroot_local_user=NO

3、是否添加可查看其它目录用户名单：

不添加可查看其它目录名单：chroot_list_enable=NO

添加可以查看其它目录名单：

chroot_list_enable=YES

chroot_list_file=/etc/vsftpd/chroot_list（用户名单文件）

4、只允许名单内用户登录：

userlist_enable=NO

5、被动模式添加配置信息：

connect_from_port_20=NO

pasv_enable=YES
pasv_min_port=3010（最小端口）
pasv_max_port=3015（最大端口）

pasv_address=公网IP地址（非常重要这个）

6、添加可登录用户白名单：

在user_list文件中添加用户名，一行一个（此方式最方便，直接配置允许登录的用户账号名称即可）

7、添加可查看其它目录用户名单：

在chroot_list文件中添加用户名，一行一个，如果没有自己创建文件

8、权限配置：

local_umask=022（暂时不清楚为什么）

anon_umask=077（暂时不清楚为什么）

十一、修改linux的防火墙端口

vim /etc/sysconfig/iptables

添加一行，修改需要开通的端口号：

-A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 21 -j ACCEPT

如果是ftp是被动模式，还需要开通最小到最大端口的访问：

-A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 3010:3015 -j ACCEPT（例如：最小为3010，最大为3015端口）

重启服务

service iptables restart

十二、互联网端口映射配置

1、ftp连接端口配置：

一般默认的就是21端口

2、ftp数据端口配置：

就是自己指定的最小端口、最大端口范围内，包括最大、最小端口，逐个开通就行。

十三、ftp服务器增加新用户步骤

1、创建用户并指定默认路径：

useradd -d /data/ftpFiles/lsyftp（指定home路径）-m lsyftp（用户名称）

注意：用户文件夹lsyftp不要自己创建，会自动创建，以免因为文件夹权限问题出现异常。

2、修改用户密码：

passwd lsyftp（用户名称）

3、禁止ftp用户ssh登录：

　　查看/etc/shells文件，找到nologin的路径

　　执行命令：

usermod -s /sbin/nologin 用户名称

说明：通过禁止ftp用户进行ssh登录，可以尽量保证安全性；

4、将新创建用户添加到ftp白名单中

在/etc/vsftpd/user_list文件中添加用户名，一行一个