百度360必应搜狗淘宝本站头条
当前位置:网站首页 > 技术文章 > 正文

在Linux系统部署vsftpd文件服务器

gudong366 2025-04-25 12:26 16 浏览


在Linux中部署VSFTPD时,需确保正确设置被动端口范围和防火墙规则。


1. 安装VSFTPD

sudo yum install vsftpd

2. 配置被动模式

编辑配置文件 /etc/vsftpd.conf

sudo nano /etc/vsftpd.conf


以下是对 VSFTPD 核心配置参数的详细解析,涵盖常见场景和安全优化建议。建议结合实际需求调整 /etc/vsftpd.conf 文件。


基础连接与权限

参数

说明

示例值

listen=YES

以独立守护进程模式运行(IPv4)。

YES

listen_ipv6=NO

禁用IPv6监听(若未使用IPv6)。

NO

anonymous_enable

允许匿名用户访问(默认禁用)。强烈建议关闭

NO

local_enable

允许本地用户登录(需系统用户)。

YES

write_enable

允许文件写入(上传/删除)。

YES

local_umask

本地用户上传文件的默认权限(如 022 对应 755)。

022


目录限制与安全

参数

说明

示例值

chroot_local_user=YES

将本地用户限制在其主目录(需配合其他参数)。

YES

allow_writeable_chroot=YES

允许被限制的用户在其主目录中写入(避免权限冲突)。

YES

user_sub_token

动态用户目录(结合 local_root 使用变量 $USER)。

local_root=/var/ftp/$USER

userlist_enable

启用用户列表(userlist_file 指定文件)。

YES

userlist_deny=NO

仅允许 userlist_file 中的用户登录(白名单模式)。

NO


被动模式(PASV)配置

参数

说明

示例值

pasv_enable=YES

启用被动模式(客户端通过随机端口连接数据)。

YES

pasv_min_port

被动模式最小端口号(需与防火墙配合)。

10000

pasv_max_port

被动模式最大端口号(范围建议 1000 以内)。

10100

pasv_address

服务器公网IP(若在NAT后,需指定客户端连接的IP)。

203.203.203.203


日志与性能

参数

说明

示例值

xferlog_enable=YES

启用传输日志(记录上传/下载操作)。

YES

xferlog_file

指定日志文件路径。

/var/log/vsftpd.log

dual_log_enable

同时生成两种格式的日志(兼容性)。

NO

max_clients

最大并发连接数(防DDoS)。

50

max_per_ip

单IP最大并发连接数。

5


高级安全选项

参数

说明

示例值

ssl_enable

启用SSL/TLS加密(需证书)。

YES

rsa_cert_file

SSL证书路径(需自行生成或购买)。

/etc/ssl/certs/vsftpd.pem

require_ssl_reuse=NO

禁用SSL会话重用(增强安全性)。

NO

tcp_wrappers=YES

通过 /etc/hosts.allow 和 hosts.deny 控制访问。

YES


其他实用参数

参数

说明

示例值

idle_session_timeout

空闲会话超时时间(秒)。

300

data_connection_timeout

数据传输超时时间(秒)。

120

anon_upload_enable

允许匿名用户上传(需 write_enable=YES)。

NO

anon_mkdir_write_enable

允许匿名用户创建目录。

NO


配置文件示例

# 基础配置
listen=YES
anonymous_enable=NO
local_enable=YES
write_enable=YES
local_umask=022
dirmessage_enable=YES
xferlog_enable=YES
connect_from_port_20=YES

# 安全限制
chroot_local_user=YES
allow_writeable_chroot=YES
userlist_enable=YES
userlist_file=/etc/vsftpd.user_list
userlist_deny=NO

# 被动模式
pasv_enable=YES
pasv_min_port=10000
pasv_max_port=10100
pasv_address=203.0.113.5

# SSL加密
ssl_enable=YES
rsa_cert_file=/etc/ssl/certs/vsftpd.pem
rsa_private_key_file=/etc/ssl/private/vsftpd.key
force_local_data_ssl=YES
force_local_logins_ssl=YES

关键配置项

# 启用被动模式
pasv_enable=YES

# 指定被动模式端口范围(例如10000-10100)
pasv_min_port=10000
pasv_max_port=10100

# 如果服务器位于NAT/防火墙后,需指定公网IP(客户端连接的IP)
pasv_address=你的公网IP地址   
# 例如:pasv_address=203.203.203.203

# 本地用户相关配置
local_enable=YES
write_enable=YES
chroot_local_user=YES
allow_writeable_chroot=YES

3. 防火墙配置

开放FTP控制端口(21)和被动端口范围:

sudo firewall-cmd --permanent --add-port=21/tcp
sudo firewall-cmd --permanent --add-port=10000-10100/tcp
sudo firewall-cmd --reload

4. 处理SELinux

允许FTP服务使用非标准端口:

sudo setsebool -P ftpd_use_passive_mode on
sudo semanage port -a -t ftp_port_t -p tcp 10000-10100

5. 重启VSFTPD服务

sudo systemctl restart vsftpd
# 设置开机自启
sudo systemctl enable vsftpd

6. 测试被动模式

使用FTP客户端(如FileZilla)测试连接,确保客户端模式为 Passive (PASV)。或通过命令行测试:

#创建ftp本地用户
sudo useradd -s /sbin/nologin -d /var/ftpdata -g ftptest ftptest
#创建用户密码
sudo passwd ftptest
#连接FTP服务器
ftp://服务器IP
ftp -u 用户名,密码 
# 输入 `ls` 测试数据传输

常见问题排查

  • 连接超时或无法传输数据
  • 检查防火墙是否开放了被动端口范围(10000-10100)。
  • 确认 pasv_address 设置为服务器的公网IP(如果服务器在NAT后)。
  • SELinux阻止访问:
  • 临时禁用SELinux测试:sudo setenforce 0(生产环境不推荐)
  • 日志查看:
  • sudo tail -f /var/log/vsftpd.log

安全建议

  • 禁用匿名访问:设置 anonymous_enable=NO
  • 限制用户目录:通过 chroot_local_user=YES 防止用户访问上级目录
  • 使用TLS加密配置SSL/TLS以增强安全性(需生成证书,可以使用openssl生成自签名证书)。

相关推荐

一文讲清怎么利用Python实现Linux系统日志检索分析管理系统

摘要:在现代IT运营与开发中,日志分析早已成为不可或缺的核心环节。无论是排查系统故障、进行安全审计,还是优化服务性能,日志文件始终是最真实、最权威的信息来源。Linux系统作为主流的服务器操作系统,其...

Linux 思维导图整理(建议收藏)(linux知识点总结思维导图)

今天整理了一下收集的Linux思维导图。Linux学习路径Linux桌面介绍FHS:文件系统目录标准Linux需要特别注意的目录Linux内核学习路线地址:https://www.jiansh...

什么是操作系统(什么叫做操作系统)

Linux也是众多操作系统之一,要想知道Linux是什么,首先得说一说什么是操作系统。计算机是一台机器,它按照用户的要求接收信息、存储数据、处理数据,然后再将处理结果输出(文字、图片、音频、视频...

Windows操作系统和Linux操作系统有什么不同?

每天一分钟,关注我学更多今天的内容是Windows操作系统和Linux操作系统在多个方面存在显著差异,主要体现在用户界面、开源性、稳定性和安全性等方面。用户界面:Windows操作系统提供直观高效的图...

每日学习“IT”是什么呢?(it学习网站)

IT是信息技术(InformationTechnology)的简称,它是一个广泛的领域,涉及到利用计算机、网络通信技术、软件等来存储、处理、传输和获取信息。计算机硬件硬件组成部分:包括中央处理器(...

CAD是什么?如何选择最适合你的CAD软件?

CAD(计算机辅助设计)是建筑、机械、电子等行业的核心工具,通过数字化手段实现高精度设计与协作。传统CAD软件如AutoCAD功能强大,但操作复杂、成本高昂,而轻量化工具又难以满足专业需求。元图CAD...

Linux是什么?(linux是什么意思)

在今天的时代,计算机系统已经成为了我们生活中不可或缺的一部分。而Linux则是目前世界上最为流行和免费的操作系统之一,它以其自由和开放源代码的特点,吸引了全球大量的程序员和开发者前来使用和修改。那么,...

牛人带你通透理解高可用网络基础架构的关键组件:负载均衡机制

上篇给大家介绍的内容是微服务网关:Zuul源码解析,相信大家已经领会并且贯通了;那么本文将给大家介绍的内容是负载均衡:负载均衡机制。负载均衡负载均衡(LoadBalance)是分布式网络环境中的重要...

Linux运维网络篇(linux运维网站)

Linux运维过程中,我们会遇到各种形形色色的网络问题,今天我们就常见的检测手段以及处理办法给大家做一下统一分享。第一节:网络探测首先,我们需要通过各种命令来探测网络是否畅通,进而跟踪锁定到实际...

Nginx正向代理、反向代理、负载均衡及性能优化

一、Nginx是什么Nginx是一款高性能的HTTP和反向代理服务器,由俄罗斯人IgorSysoev(伊戈尔·赛索耶夫)为俄罗斯网站Rambler.ru开发的,在Rambler.ru网站平稳的运...

nginx负载均衡配置(nginx负载均衡配置教程)

Nginx是什么没有听过Nginx?那么一定听过它的“同行”Apache吧!Nginx同Apache一样都是一种WEB服务器。基于REST架构风格,以统一资源描述符(UniformResources...

Springmvc使用Nginx负载均衡session共享

上一节,我们讲到nginx的结构组成,已经把模块、还有之前谈及负载均衡知识时候遗留的东西进行了讲解,那么今天我们继续把使用nginx做负载均衡的时候,如何处理session的方法做个解析,如何有需要对...

Linux 系统卡顿问题的排查思路(linux系统突然非常卡)

#Linux系统卡顿问题排查思路当Linux系统出现卡顿问题时,可以按照以下系统性排查思路进行分析和解决:##1.快速检查系统整体状态###查看系统负载```bashuptimetophto...

一文搞懂LVS负载均衡工作原理 :NAT、DR、TUN模式

大家好,我是IT售前工程师Bernie。LVS(LinuxVirtualServer)是企业中常用的负载均衡方案,是一种基于Linux虚拟服务器,也是Linux标准内核的一部分。它能够实现高性...

从零构建高性能 LVS + Keepalived 四层负载均衡集群实战指南

一、前言在大型网站架构中,四层负载均衡是流量调度的第一道防线。相比七层(如Nginx、HAProxy),四层(基于IP/端口转发)在性能上更具优势。LVS(LinuxVirtualServer...