CentOS 7 安装FTP服务器（vsftpd）

FTP是安装各种环境前的预备环节，因为我们要把下载好的安装包上传上去。
其次，在一个团队中，FTP服务器为多用户提供了一个文件储存场所，总之是一个非常实用的工具。

1.安装vsftpd

# 首先要查看你是否安装vsftpd
rpm -qa | grep vsftpd
vsftpd-3.0.-.el7.x86_64
# 显示也就安装成功了！直接进入下一环节吧
 
# 安装vsftpd
yum install -y vsftpd

2.配置介绍

这里其实就已经安装完了，但是，它的默认配置并不能满足我们的需求。所以我们要进行个性化的配置。

2.1）用户类型

本地用户（local）：用户在FTP服务器拥有账号，且该账号为本地用户的账号，可以通过自己的账号和口令进行授权登录，登录目录为自己的home目录$HOME
虚拟用户（guest）：用户在FTP服务器上拥有账号，但该账号只能用于文件传输服务。登录目录为某一特定的目录，通常可以上传和下载
匿名用户（anonymous）：用户在FTP服务器上没有账号，登录目录为/var/ftp

对于vsftpd默认配置是开启了本地用户和匿名用户，可以直接登录的。

2.2）连接模式

FTP的连接一般是有两个连接的，一个是客户程和服务器传输命令的，另一个是数据传送的连接。FTP服务程序一般会支持两种不同的模式，一种是主动（Port）模式，一种是被动（Passive）模式(又称Pasv Mode),我先说说这两种不同模式连接方式的分别。

先假设客户端为C,服务端为S。

主动（Port）模式:

当客户端C向服务端S连接后，使用的是Port模式,那么客户端C会发送一条命令告诉服务端S(客户端C在本地打开了一个端口N在等着你进行数据连接),当服务端S收到这个Port命令后就会向客户端打开的那个端口N进行连接，这种数据连接就生成了。

被动（Pasv）模式:

当客户端C向服务端S连接后，服务端S会发信息给客户端C,这个信息是(服务端S在本地打开了一个端口M,你现在去连接我吧),当客户端C收到这个信息后，就可以向服务端S的M端口进行连接,连接成功后，数据连接也建立了。

从上面的解释中，大家可以看到两种模式主要的不同是数据连接建立的不同，对于Port模式，是客户端C在本地打开一个端口等服务端S去连接建立数据连接；而Pasv模式就是服务端S打开一个端口等待客户端C去建立一个数据连接。

2.3）防火墙管理

对于CentOS 7 它的默认防火墙已改为FireWall进行管理，但还是有用iptables的，以及SELinux。

firewall能够允许哪些服务可用，那些端口可用…. 属于更高一层的防火墙。

firewall的底层是使用iptables进行数据过滤，建立在iptables之上。
firewall是动态防火墙，使用了D-BUS方式，修改配置不会破坏已有的数据链接。

iptables用于过滤数据包，属于网络层防火墙.

在设置iptables后需要重启iptables，会重新加载防火墙模块，而模块的装载将会破坏状态防火墙和确立的连接。会破坏已经对外提供数据链接的程序。可能需要重启程序。

SELinux(Security-Enhanced Linux) 是美国国家安全局（NSA）对于强制访问控制的实现，是 Linux历史上最杰出的新安全子系统。它不是用来防火墙设置的。但它对Linux系统的安全很有用。Linux内核(Kernel)从2.6就有了SELinux。

SELinux是一种基于域-类型模型（domain-type）的强制访问控制（MAC）安全系统，它由NSA编写并设计成内核模块包含到内核中，相应的某些安全相关的应用也被打了SELinux的补丁，最后还有一个相应的安全策略。任何程序对其资源享有完全的控制权。假设某个程序打算把含有潜在重要信息的文件扔到/tmp目录下，那么在DAC情况下没人能阻止他。SELinux提供了比传统的UNⅨ权限更好的访问控制。

3.配置vsftpd

// 首先我们先看一下本身的vsftpd有什么属性吧
cat /etc/vsftpd/vsftpd.conf | grep -v "#" | more
// 打开vsftpd配置文件
vim /etc/vsftpd/vsftpd.conf
// 基本配置
# 开启匿名登录
anonymous_enable=YES
# 允许使用本地帐户进行FTP用户登录验证
local_enable=YES
# 允许写
write_enable=YES
# 设置本地用户默认文件掩码022
local_umask=
# 允许匿名上传
anon_upload_enable=YES
# 允许匿名创建新目录
anon_mkdir_write_enable=YES
# 同时开放其它权限
anon_other_write_enable=YES
# 可以发送消息当访问某个目录时
dirmessage_enable=YES
# 开启上传下载记录
xferlog_enable=YES
# 数据链通过20端口建立
connect_from_port_20=YES
 
# 允许其它用户上传匿名文件
#chown_uploads=YES
# 所有用户
#chown_username=whoever
# 日志保存到
#xferlog_file=/var/log/xferlog
# 日志标准输出
xferlog_std_format=YES
# 空闲会话时间
#idle_session_timeout=
# 数据连接超时时间
#data_connection_timeout=
# 隔离的安全用户
#nopriv_user=ftpsecure
# 开启异步数据线程
#async_abor_enable=YES
# 开启ASCII协议上传
ascii_upload_enable=YES
# 开启ASCII协议下载
ascii_download_enable=YES
# 开启邮箱验证
#deny_email_enable=YES
# 拒绝的邮箱列表
#banned_email_file=/etc/vsftpd/banned_emails
 
# 是否允许直接获取子目录信息
#ls_recurse_enable=YES
# 监听IPv4
listen=NO
# 监听IPv6和监听IPv4
listen_ipv6=YES
 
# 虚拟用户启用pam认证
pam_service_name=vsftpd
# 用户组管理
userlist_enable=YES
# 访问控制
tcp_wrappers=YES
 
# 允使用被动模式
pasv_enable=YES
# 指定使用被动模式时打开端口的最小值
pasv_min_port=
# 指定使用被动模式时打开端口的最大值。
pasv_max_port=
# 用户宽带限制200kps
#local_max_rate=
# 登录后欢迎内容
ftpd_banner=Welcome to My FTP service.
 
# ---------开启虚拟用户组参数--------
# 开启虚拟用户
guest_enable=YES
# 主虚拟用户名vsftpd，等下会建立
guest_username=vsftpd
# 虚拟用户配置（可以对每一个虚拟用户进行单独的权限配置）
user_config_dir=/etc/vsftpd/vconf
 
# 启用限定用户在其主目录下
chroot_local_user=YES
# 开启用户列表chroot管理
chroot_list_enable=YES
# chroot管理的用户列表（一行一用户,虚拟用户都要添加进去）
# 当设置用户只能在登录目录时，chroot管理的用户为不受限制，否则相反
chroot_list_file=/etc/vsftpd/chroot_list
# 允许chroot管理用户进行写操作
allow_writeable_chroot=YES
 
# ---------虚拟用户高级参数（请选择一组）--------
# 虚拟用户和本地用户有相同的权限
virtual_use_local_privs=YES
 
# 虚拟用户和匿名用户有相同的权限，默认是NO
virtual_use_local_privs=NO
 
# 虚拟用户具有写权限（上传、下载、删除、重命名）
virtual_use_local_privs=YES
write_enable=YES
 
# 虚拟用户不能浏览目录，只能上传文件，无其他权限
virtual_use_local_privs=NO
write_enable=YES
anon_world_readable_only=YES
anon_upload_enable=YES
 
# 虚拟用户只能下载文件，无其他权限
virtual_use_local_privs=NO
write_enable=YES
anon_world_readable_only=NO
anon_upload_enable=NO
 
# 虚拟用户只能上传和下载文件，无其他权限
virtual_use_local_privs=NO
write_enable=YES
anon_world_readable_only=NO
anon_upload_enable=YES
 
# 虚拟用户只能下载文件和创建文件夹，无其他权限
virtual_use_local_privs=NO
write_enable=YES
anon_world_readable_only=NO
anon_mkdir_write_enable=YES
 
# 虚拟用户只能下载、删除和重命名文件，无其他权限
virtual_use_local_privs=NO
write_enable=YES
anon_world_readable_only=NO
anon_other_write_enable=YES

假如你开启了匿名用户，则需要重新修改权限
将匿名目录下的 pub 文件夹赋予匿名用户管理权限：
chown ftp /var/ftp/pub

4.虚拟用户的建立和配置（可选）

对于虚拟用户，它需要一个宿主用户，所以这里需要建立一个新用户，并取消登录系统，只用于登录ftp。

4.1）新建宿主用户（虚拟用户需要映射到一个系统用户）

# 假如宿主用户为vsftpd useradd -s /sbin/nologin vsftpd

4.2）建立虚拟用户账号列表

# 编辑虚拟用户名单文件：
#（第一行账号，第二行密码，注意：不能使用root做用户名，系统保留）
vim /etc/vsftpd/virtusers
# 编辑内容，下面是 virtusers 内容
test
 
# 添加到chroot管理列表
vim /etc/vsftpd/chroot_list
# 用户列表
test

4.3）生成虚拟用户数据文件

可能你没有安装db工具包，所以先查找一下。

rpm -qa | grep db
# 确实没安装，就查下yum可提供的版本
yum  search db4
# 安装（或者安装libdb-utils.x86_64）
yum install-y compat-db47.x86_64

利用db_load命令生成数据文件

db_load -T -t hash -f /etc/vsftpd/virtusers /etc/vsftpd/virtusers.db
# 设定PAM验证文件，并指定对虚拟用户数据库文件进行读取(权限r,w即可)
chmod  /etc/vsftpd/virtusers.db

4.4）添加vsftpd的虚拟用户的验证

vim /etc/pam.d/vsftpd
# -------------内容如下-----------------
#%PAM-1.0
auth sufficient /lib64/security/pam_userdb.so db=/etc/vsftpd/virtusers
account sufficient /lib64/security/pam_userdb.so db=/etc/vsftpd/virtusers
session    optional     pam_keyinit.so    force revoke
auth       required pam_listfile.so item=user sense=deny file=/etc/vsftpd/ftpusers onerr=succeed
auth       required pam_shells.so
auth       include  password-auth
account    include  password-auth
session    required     pam_loginuid.so
session    include  password-auth

4.5）创建虚拟用户个人配置文件

# 建立虚拟用户个人vsftp的配置文件
mkdir -p /etc/vsftpd/vconf
# 进入目录
cd /etc/vsftpd/vconf
 
# 创建并编辑用户的配置文件
vim test
 
# 用户 test 配置目录
local_root=/home/vsftpd/test
# 允许本地用户对FTP服务器文件具有写权限
write_enable=YES
anon_world_readable_only=NO
# 允许匿名用户上传文件(须将全局的write_enable=YES,默认YES)
anon_upload_enable=YES
# 允许匿名用户创建目录
anon_mkdir_write_enable=YES
# 允许匿名用户删除和重命名权限(自行添加)
anon_other_write_enable=YES

# 创建用户目录
mkdir -p /home/vsftpd/test

5.收尾操作

// 权限设置
chown -R vsftpd:vsftpd /home/vsftpd
 
// 防火墙设置
firewall-cmd --permanent --zone=public --add-service=ftp
firewall-cmd --zone=public --add-port=-/tcp --permanent
firewall-cmd --reload
 
// 设置SELinux
getsebool -a | grep ftp
setsebool -P ftpd_full_access on
 
// 设置开机自启
systemctl enable vsftpd
// 服务操作
systemctl restart vsftpd.service  # 重启服务
systemctl start vsftpd.service    # 启动服务
systemctl status vsftpd.service   # 服务状态查看