折腾了一下在云服务器上搭建FTP,可以在浏览器输入公网IP查看共享的文件,也就是创建下载点。现记录如下。第一种场景:匿名访问,通过浏览器输入公网地址即可实现下载第二种场景:输入指定的用户名和密码,可进入到另一个目录,可实现下载和上传与新建。例如通过FileZilla.0、环境华为云ECS ubuntu18.04, vsftpd 3.0.3一、FTP登陆方式FTP可以有三种登入方式分别是: *匿名登录:不需要用户密码*本地用户:使用本地用户和密码登入*虚拟用户:也是使用用户和密码登入,但是该用户不是linux中创建的用户二、FTP连接方式控制连接:标准端口为21,用于发送FTP命令信息。数据连接:标准端口为20,用于上传、下载数据。主动模式:服务端从20端口主动向客户端发起连接。被动模式:服务端在指定范围内的某个端口被动等待客户端发起连接。一般都采用被动模式。主动模式存在安全隐患,客户机很容易发起DdoS攻击。三、FTP传输模式文本模式:ASCII模式,以文本序列传输数据。二进制模式:Binary模式,以二进制序列(比特流)传输数据。ASCII模式一般只用于纯文本文件传输,而Binary模式更适合传输程序、图片等文件。尤其是对于可执行文件,如果把可执行文件以文本模式传输,则下载下来的文件将无法正常使用。四、FTP安装和启动安装:apt-get install vsftpd启动:service vsftpd restart 或者 service vsftpd start查询:service vsftpd status停止:service vsftpd stop服务器放行规则设定:打开20-21 3000-3050(我配置的是3000-3050)五、文件结构vsftpd服务器的文件结构如下:
/usr/sbin/vsftpd ##vsftpd主程序 /etc/rc.d/init.d/vsftpd ##用于启动终止脚本 /etc/vsftpd/vsftpd.conf##vsftpd主配置文件 /etc/pam.d/vsftpd ##PAM认证文件 /etc/vsftpd.ftpusers##禁止使用vsftpd的用户列表 /etc/vsftpd.chroot_list ##禁止或允许使用vsftpd的用户列表 需要在/etc/ 新建该文件/srv/ftp ##匿名用户的下载目录 /etc/logrotate.d/vsftpd.log ##vsftpd的日志文件
六、配置文件说明
#一旦监听,进入standalone模式,与此相对的是inetd(inetd或xinetd)模式listen=YES#是否监听ipv6,如果监听则需要另外再配置一个文件listen_ipv6=NO#是否允许匿名访问ftpanonymous_enable=YES#是否允许本地用户登录,指linux存在的用户,cat /etc/passwd可以查看哪些用户,标准的七字段,默认NOlocal_enable=YES#是否对登录用户开启写权限。属全局性设置。默认NOwrite_enable=YES#本地登录用户权限,022-umask=755,即代表文档的所有者(属主)有读写执行权,所属组有读和执行权,其他用户有读和执行权local_umask=022#是否允许匿名用户上传文件。只有在write_enable设置为YES时,该配置项才有效。而且匿名用户对相应的目录必须有写权限。默认为NO。#anon_upload_enable=YES#是否允许匿名用户创建目录。只有在write_enable设置为YES时有效。且匿名用户对上层目录有写入的权限。默认为NO。#anon_mkdir_write_enable=YES#设置是否显示目录消息dirmessage_enable=YES#显示时间use_localtime=YES#是否启用上传和下载日志xferlog_enable=YES#默认值为YES,指定FTP数据传输连接使用20端口。若设置为NO,则进行数据连接时,所使用的端口由ftp_data_port指定。connect_from_port_20=YES#设置匿名上传文档的属主,默认为NO。若设置为YES,则匿名用户上传的文档的属主将被设置为chown_username配置项所设置的用户名。#chown_uploads=YES#设置匿名用户上传的文档的属主名。只有chown_uploads=YES时才有效。建议不要设置为root用户。 但系统默root#chown_username=whoever#默认的系统日志,设置日志文件名及路径。需启用xferlog_enable选项xferlog_file=/var/log/vsftpd.log#日志文件是否使用标准的xferlog日志文件格式(与wu-ftpd使用的格式相同) 。默认为NOxferlog_std_format=YES#设置多长时间不对FTP服务器进行任何操作,则断开该FTP连接,单位为秒,默认为600秒。即设置发呆的逾时时间,在这个时间内,若没有数据传送或指令的输入,则会强行断开连接。idle_session_timeout=600#设置建立FTP数据连接的超时时间,默认为300秒data_connection_timeout=120## It is recommended that you define on your system a unique user which the# ftp server can use as a totally isolated and unprivileged user.#nopriv_user=ftpsecure## Enable this and the server will recognise asynchronous ABOR requests. Not# recommended for security (the code is non-trivial). Not enabling it,# however, may confuse older FTP clients.#async_abor_enable=YES#设置是否启用ASCII模式上传、下载数据。默认为NO。#ascii_upload_enable=YES#ascii_download_enable=YES#连接FTP的欢迎提示ftpd_banner=Welcome to JackFTP service.##指定不允许通过邮箱登录的文件,可以抵御DoS攻击。#deny_email_enable=YES#邮箱文件#banned_email_file=/etc/vsftpd.banned_emails# 控制用户是否允许切换到上级目录chroot_local_user=YESchroot_list_enable=YESchroot_list_file=/etc/vsftpd.chroot_listallow_writeable_chroot=YES#1)当chroot_list_enable=YES,chroot_local_user=YES时,在/etc/vsftpd/chroot_list文件中列出的用户,可以切换到上级目录;未在文件中列出的用户,不能切换到站点根目录的上级目录。#2)当chroot_list_enable=YES,chroot_local_user=NO时,在/etc/vsftpd/chroot_list文件中列出的用户,不能切换到站点根目录的上级目录;未在文件中列出的用户,可以切换到上级目录。#3)当chroot_list_enable=NO,chroot_local_user=YES时,所有用户均不能切换到上级目录。#4)当chroot_list_enable=NO,chroot_local_user=NO时,所有用户均可以切换到上级目录。#5)当用户不允许切换到上级目录时,登录后FTP站点的根目录“/”是该FTP账户的主目录,即文件的系统的/srv/ftp目录。#被动模式下的设置,设置公网IP,和接收请求IP与端口,这里指定了服务器端口3000-3050用于发起到客户端连接,端口设置为0,则表示任意端口pasv_address=XXX.XXX.XXX.XXXpasv_min_port=3000pasv_max_port=3050#默认采用被动模式#pasv_enable=NO## You may activate the "-R" option to the builtin ls. This is disabled by# default to avoid remote users being able to cause excessive I/O on large# sites. However, some broken FTP clients such as "ncftp" and "mirror" assume# the presence of the "-R" option, so there is a strong case for enabling it.#ls_recurse_enable=YES## This option should be the name of a directory which is empty.Also, the# directory should not be writable by the ftp user. This directory is used# as a secure chroot() jail at times vsftpd does not require filesystem# access.secure_chroot_dir=/var/run/vsftpd/empty## This string is the name of the PAM service vsftpd will use.pam_service_name=vsftpd## This option specifies the location of the RSA certificate to use for SSL# encrypted connections.rsa_cert_file=/etc/ssl/certs/ssl-cert-snakeoil.pemrsa_private_key_file=/etc/ssl/private/ssl-cert-snakeoil.keyssl_enable=NO# Uncomment this to indicate that vsftpd use a utf8 filesystem.utf8_filesystem=YES#################end#######################
其他说明:
#定义匿名用户的账户名称,默认值为ftp。ftp_username=ftp#匿名用户是否允许下载可阅读的文档,默认为YES。anon_world_readable_only=YES#设置本地用户登录后所在的目录。默认配置文件中没有设置该项,此时用户登录FTP服务器后,所在的目录为该用户的主目录,对于root用户,则为/root目录。local_root=/var/ftp#设置匿名用户登录后所在的目录。若未指定,则默认为/srv/ftp目录。anon_root=/srv/ftp#设置匿名用户所能使用的最大传输速度,单位为b/s。若设置为0,则不受速度限制,此为默认值。anon_max_rate=0#设置本地用户所能使用的最大传输速度。默认为0,不受限制。local_max_rate=0#对用户的访问控制由/etc/vsftpd/user_list和/etc/vsftpd/ftpusers文件来控制实现。相关配置命令如下:userlist_enable=YES#决定/etc/vsftpd/user_list文件是否启用生效。YES则生效,NO不生效。userlist_deny=YES#决定/etc/vsftpd/user_list文件中的用户是允许访问还是不允许访问。#若设置为YES,则/etc/vsftpd/user_list 文件中的用户将不允许访问FTP服务器;若设置为NO,则只有vsftpd.user_list文件中的用户,才能访问FTP服务器。#设置vsftpd允许的最大连接数,默认为0,表示不受限制。若设置为150时,则同时允许有150个连接,超出的将拒绝建立连接。只有在以standalone模式运行时才有效。max_per_ip=0#设置每个IP地址允许与FTP服务器同时建立连接的数目。默认为0,不受限制。通常可对此配置进行设置,防止同一个用户建立太多的连接。只有在以standalone模式运行时才有效max_clients=0#设置在指定的IP地址上侦听用户的FTP请求。若不设置,则对服务器所绑定的所有IP地址进行侦听。只有在以standalone模式运行时才有效。 对于只绑定了一个IP地址的服务器,不需要配置该项,默认情况下,配置文件中没有该配置项。若服务器同时绑定了多个IP地址,则应通过该配置项,指定在哪 个IP地址上提供FTP服务,即指定FTP服务器所使用的IP地址。listen_address=IP地址
七、遇到的问题及解决
外网服务器搭建FTP出现的问题及解决: (1)227 Entering Passive Mode 解决方法第一种就是配置为主动模式。 vimetc/vsftpd/vsftpd.conf ##Vsftpd主配置文件 添加:pasv_enable=NO 注意的是:浏览器访问只支持FTP的被动模式,也就是说只有在FTP配置成被动模式时,才能在远程浏览器里通过url访问 第二种解决方法 指定公网ip用listen_address.八、其他
默认情况下,匿名用户所有上传下载,所使用的用户都是ftp用户的权限,若要上传文件,则需要ftp用户有写的权限,若要下载,则需要ftp用户有读的权限,也就是说一般情况下,ftp用户对文件有读权限就对文件有下载权限了。
九、创建用户和密码(1) 创建一个名叫ftpu的用户,并指定他的根目录为/home/ftpdir
useradd -d /home/ftpdir/-s /bin/bash ftpu
(2)设置密码
passwdftpu
(3)查看
cat /etc/passwd
十、xinetd运行模式和 standalone模式
像其它守护程序一样,vsftpd提供了standalone和inetd(inetd或xinetd)两种运行模式。简单解释一下, standalone一次性启动,运行期间一直驻留在内存中,优点是对接入信号反应快,缺点是损耗了一定的系统资源,因此经常应用于对实时反应要求较高的 专业FTP服务器。inetd恰恰相反,由于只在外部连接发送请求时才调用FTP进程,因此不适合应用在同时连接数量较多的系统。此外,inetd模式不 占用系统资源。除了反应速度和占用资源两方面的影响外,vsftpd还提供了一些额外的高级功能,如inetd模式支持per_IP(单一IP)限制,而 standalone模式则更有利于PAM验证功能的应用。
1.xinetd运行模式 大多数较新的系统采用的是xinetd超级服务守护进程。使用“vi /etc/xinetd.d/vsftpd” 看一下它的内容,如下:
disable = nosocket_type = streamwait = no# 这表示设备是激活的,它正在使用标准的TCP Sockets。# 如果“/etc/vsftpd.conf”中的有选项为“listen=YES”,注销它最后,重启xinetd,命令如下:$ /etc/rc.d/init.d/xinetd restart#需要注意的是,“/etc/xinetd.d”目录中仅能开启一个FTP服务。
2.standalone模式
standalone模式便于实现PAM验证功能。进入这种模式首先要关闭xinetd下的vsftpd,设置“disable = yes”,或者注销掉“/etc/inetd.conf”中相应的行。然后修改“/etc/vsftpd.conf”中的选项为“listen=YES”。
如果是standlone模式,那么它是作为单独的一个服务启动的,不需要系统协作,不作为系统服务,如果要是成为xinetd模式,那么它的服务就要受系统服务的限制,比如创建一个新的服务进程,但是也有缺点,如果xinetd服务本身出了问题,那么相关的服务也是会受到影响的。
十一、参考资料/xiaojwang/p/10102668.html /tuteng/articles/2953034.html
