Linux搭建ftp服务器汇总整理
一、检查linux中是否已经安装vsftpd服务端软件
rpm -qa |grep vsftpd
二、卸载linux中的vsftpd服务端软件
rpm -e vsftpd安装版本号
三、安装linux中的vsftpd服务端
yum install vsftpd -y
四、安装linu中的ftp客户端
yum install ftp
五、启动停止重启vsftpd服务端
启动:service vsftpd start
关闭:service vsftpd stop
重启:service vsftpd restart
六、设置开机自启
chkconfig vsftpd on
七、配置vsftpd服务端模式
1、主动模式:(公司内网使用可以选择此模式)
# vi /etc/vsftpd/vsftpd.conf
port_enable=YES
connect_from_port_20=YES
2、被动模式:(需要映射到公网的就选择此模式,想对安全)
# vi /etc/vsftpd/vsftpd.conf
connect_from_port_20=NO
pasv_enable=YES(被动模式开启)
pasv_min_port=3010(最小端口)
pasv_max_port=3015(最大端口)
pasv_address=公网IP地址(非常重要这个)
说明:最小端口、最大端口范围最好是5-10端口就行,方便公网开通对应端口,端口数量太少,可能会导致有时候能连接上,有时候连接不上。
八、ftp服务器主动、被动模式区别
1、主动模式(PORT):
原理:
FTP客户端连接到FTP服务器的21端口,发送用户名和密码登录,登录成功后要list列表或者读取数据时,客户端随机开放一个端口(1024以上), 发送 PORT命令到FTP服务器,告诉服务器客户端采用主动模式并开放端口;FTP服务器收到PORT主动模式命令和端口号后,通过服务器的20端口和客户端 开放的端口连接,发送数据。
要点:
传送数据时是“服务器”连接到“客户端”的端口;
需要客户端必须开放端口给服务器,很多客户端都是在防火墙内,开放端口给FTP服务器访问比较困难;
2、被动模式(PASV):
原理:
FTP 客户端连接到FTP服务器的21端口,发送用户名和密码登录,登录成功后要list列表或者读取数据时,发送PASV命令到FTP服务器, 服务器在本地随机开放一个端口(1024以上),然后把开放的端口告诉客户端, 客户端再连接到服务器开放的端口进行数据传输。
要点:
传送数据是“客户端”连接到“服务器”的端口;
只需要服务器端开放端口给客户端连接就行;
3、如何选择ftp模式:
如果只是公司内部、局域网使用ftp,可以用主动模式,但是ftp客户端防火墙最好关掉或者开放ftp需要的数据端口范围,不存在安全问题也。如果是公网ftp就用被动模式,可以自定义端口,更加安全。
想要安全、连接方便就用被动模式。
九、ftp服务器中三种用户模式
1、匿名用户:
用anonymous账号,不用输入密码就能够进入ftp服务器。
此用户模式非常不安全,一般不采用。如果需要详情见网上连接:https://www.cnblogs.com/revo/p/7444897.html
2、本地用户:
首先在linux中需要创建用户,然后将创建的用户添加到ftp服务器的白名单中,然后该用户才可以登录ftp服务器。
默认用户可以登录ftp,也可以通过sftp登录上去查看其它资源,可以让用户只登录ftp,不能通过sftp方式登录服务器。
此用户模式比匿名想对安全,需要限定ftp用户不能通过sftp方式访问22端口的服务器资源就更加安全了。
3、虚拟用户:
就是不需要创建linux中实际账号,只需要配置虚拟用户、生成数据文件配置就行,详情见网上连接:https://www.cnblogs.com/revo/p/7444897.html
4、禁止ftp用户ssh登录(安全问题可以解决):
禁止ftp用户ssh登录:
查看/etc/shells文件,找到nologin的路径
执行命令:
usermod -s /sbin/nologin 用户名称
解除ftp用户ssh登录禁止:
查看/etc/shells文件,找到bash的路径
执行命令:
usermod -s /bin/bash 用户名称
十、修改vsftpd配置文件
1、匿名登录:
允许:anonymous_enable=YES
不允许:anonymous_enable=NO
2、是否只显示用户路径:
用户只看到自己路径:chroot_local_user=YES
用户可查看其它路径:chroot_local_user=NO
3、是否添加可查看其它目录用户名单:
不添加可查看其它目录名单:chroot_list_enable=NO
添加可以查看其它目录名单:
chroot_list_enable=YES
chroot_list_file=/etc/vsftpd/chroot_list(用户名单文件)
4、只允许名单内用户登录:
userlist_enable=NO
5、被动模式添加配置信息:
connect_from_port_20=NO
pasv_enable=YES
pasv_min_port=3010(最小端口)
pasv_max_port=3015(最大端口)
pasv_address=公网IP地址(非常重要这个)
6、添加可登录用户白名单:
在user_list文件中添加用户名,一行一个(此方式最方便,直接配置允许登录的用户账号名称即可)
7、添加可查看其它目录用户名单:
在chroot_list文件中添加用户名,一行一个,如果没有自己创建文件
8、权限配置:
local_umask=022(暂时不清楚为什么)
anon_umask=077(暂时不清楚为什么)
十一、修改linux的防火墙端口
vim /etc/sysconfig/iptables
添加一行,修改需要开通的端口号:
-A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 21 -j ACCEPT
如果是ftp是被动模式,还需要开通最小到最大端口的访问:
-A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 3010:3015 -j ACCEPT(例如:最小为3010,最大为3015端口)
重启服务
service iptables restart
十二、互联网端口映射配置
1、ftp连接端口配置:
一般默认的就是21端口
2、ftp数据端口配置:
就是自己指定的最小端口、最大端口范围内,包括最大、最小端口,逐个开通就行。
十三、ftp服务器增加新用户步骤
1、创建用户并指定默认路径:
useradd -d /data/ftpFiles/lsyftp(指定home路径)-m lsyftp(用户名称)
注意:用户文件夹lsyftp不要自己创建,会自动创建,以免因为文件夹权限问题出现异常。
2、修改用户密码:
passwd lsyftp(用户名称)
3、禁止ftp用户ssh登录:
查看/etc/shells文件,找到nologin的路径
执行命令:
usermod -s /sbin/nologin 用户名称
说明:通过禁止ftp用户进行ssh登录,可以尽量保证安全性;
4、将新创建用户添加到ftp白名单中
在/etc/vsftpd/user_list文件中添加用户名,一行一个