在Linux系统部署vsftpd文件服务器
gudong366 2025-04-25 12:26 16 浏览
在Linux中部署VSFTPD时,需确保正确设置被动端口范围和防火墙规则。
1. 安装VSFTPD
sudo yum install vsftpd
2. 配置被动模式
编辑配置文件 /etc/vsftpd.conf:
sudo nano /etc/vsftpd.conf
以下是对 VSFTPD 核心配置参数的详细解析,涵盖常见场景和安全优化建议。建议结合实际需求调整 /etc/vsftpd.conf 文件。
基础连接与权限
参数 | 说明 | 示例值 |
listen=YES | 以独立守护进程模式运行(IPv4)。 | YES |
listen_ipv6=NO | 禁用IPv6监听(若未使用IPv6)。 | NO |
anonymous_enable | 允许匿名用户访问(默认禁用)。强烈建议关闭。 | NO |
local_enable | 允许本地用户登录(需系统用户)。 | YES |
write_enable | 允许文件写入(上传/删除)。 | YES |
local_umask | 本地用户上传文件的默认权限(如 022 对应 755)。 | 022 |
目录限制与安全
参数 | 说明 | 示例值 |
chroot_local_user=YES | 将本地用户限制在其主目录(需配合其他参数)。 | YES |
allow_writeable_chroot=YES | 允许被限制的用户在其主目录中写入(避免权限冲突)。 | YES |
user_sub_token | 动态用户目录(结合 local_root 使用变量 $USER)。 | local_root=/var/ftp/$USER |
userlist_enable | 启用用户列表(userlist_file 指定文件)。 | YES |
userlist_deny=NO | 仅允许 userlist_file 中的用户登录(白名单模式)。 | NO |
被动模式(PASV)配置
参数 | 说明 | 示例值 |
pasv_enable=YES | 启用被动模式(客户端通过随机端口连接数据)。 | YES |
pasv_min_port | 被动模式最小端口号(需与防火墙配合)。 | 10000 |
pasv_max_port | 被动模式最大端口号(范围建议 1000 以内)。 | 10100 |
pasv_address | 服务器公网IP(若在NAT后,需指定客户端连接的IP)。 | 203.203.203.203 |
日志与性能
参数 | 说明 | 示例值 |
xferlog_enable=YES | 启用传输日志(记录上传/下载操作)。 | YES |
xferlog_file | 指定日志文件路径。 | /var/log/vsftpd.log |
dual_log_enable | 同时生成两种格式的日志(兼容性)。 | NO |
max_clients | 最大并发连接数(防DDoS)。 | 50 |
max_per_ip | 单IP最大并发连接数。 | 5 |
高级安全选项
参数 | 说明 | 示例值 |
ssl_enable | 启用SSL/TLS加密(需证书)。 | YES |
rsa_cert_file | SSL证书路径(需自行生成或购买)。 | /etc/ssl/certs/vsftpd.pem |
require_ssl_reuse=NO | 禁用SSL会话重用(增强安全性)。 | NO |
tcp_wrappers=YES | 通过 /etc/hosts.allow 和 hosts.deny 控制访问。 | YES |
其他实用参数
参数 | 说明 | 示例值 |
idle_session_timeout | 空闲会话超时时间(秒)。 | 300 |
data_connection_timeout | 数据传输超时时间(秒)。 | 120 |
anon_upload_enable | 允许匿名用户上传(需 write_enable=YES)。 | NO |
anon_mkdir_write_enable | 允许匿名用户创建目录。 | NO |
配置文件示例
# 基础配置
listen=YES
anonymous_enable=NO
local_enable=YES
write_enable=YES
local_umask=022
dirmessage_enable=YES
xferlog_enable=YES
connect_from_port_20=YES
# 安全限制
chroot_local_user=YES
allow_writeable_chroot=YES
userlist_enable=YES
userlist_file=/etc/vsftpd.user_list
userlist_deny=NO
# 被动模式
pasv_enable=YES
pasv_min_port=10000
pasv_max_port=10100
pasv_address=203.0.113.5
# SSL加密
ssl_enable=YES
rsa_cert_file=/etc/ssl/certs/vsftpd.pem
rsa_private_key_file=/etc/ssl/private/vsftpd.key
force_local_data_ssl=YES
force_local_logins_ssl=YES
关键配置项
# 启用被动模式
pasv_enable=YES
# 指定被动模式端口范围(例如10000-10100)
pasv_min_port=10000
pasv_max_port=10100
# 如果服务器位于NAT/防火墙后,需指定公网IP(客户端连接的IP)
pasv_address=你的公网IP地址
# 例如:pasv_address=203.203.203.203
# 本地用户相关配置
local_enable=YES
write_enable=YES
chroot_local_user=YES
allow_writeable_chroot=YES
3. 防火墙配置
开放FTP控制端口(21)和被动端口范围:
sudo firewall-cmd --permanent --add-port=21/tcp
sudo firewall-cmd --permanent --add-port=10000-10100/tcp
sudo firewall-cmd --reload
4. 处理SELinux
允许FTP服务使用非标准端口:
sudo setsebool -P ftpd_use_passive_mode on
sudo semanage port -a -t ftp_port_t -p tcp 10000-10100
5. 重启VSFTPD服务
sudo systemctl restart vsftpd
# 设置开机自启
sudo systemctl enable vsftpd
6. 测试被动模式
使用FTP客户端(如FileZilla)测试连接,确保客户端模式为 Passive (PASV)。或通过命令行测试:
#创建ftp本地用户
sudo useradd -s /sbin/nologin -d /var/ftpdata -g ftptest ftptest
#创建用户密码
sudo passwd ftptest
#连接FTP服务器
ftp://服务器IP
ftp -u 用户名,密码
# 输入 `ls` 测试数据传输
常见问题排查
- 连接超时或无法传输数据
- 检查防火墙是否开放了被动端口范围(10000-10100)。
- 确认 pasv_address 设置为服务器的公网IP(如果服务器在NAT后)。
- SELinux阻止访问:
- 临时禁用SELinux测试:sudo setenforce 0(生产环境不推荐)。
- 日志查看:
- sudo tail -f /var/log/vsftpd.log
安全建议
- 禁用匿名访问:设置 anonymous_enable=NO。
- 限制用户目录:通过 chroot_local_user=YES 防止用户访问上级目录。
- 使用TLS加密:配置SSL/TLS以增强安全性(需生成证书,可以使用openssl生成自签名证书)。
相关推荐
- 一文讲清怎么利用Python实现Linux系统日志检索分析管理系统
-
摘要:在现代IT运营与开发中,日志分析早已成为不可或缺的核心环节。无论是排查系统故障、进行安全审计,还是优化服务性能,日志文件始终是最真实、最权威的信息来源。Linux系统作为主流的服务器操作系统,其...
- Linux 思维导图整理(建议收藏)(linux知识点总结思维导图)
-
今天整理了一下收集的Linux思维导图。Linux学习路径Linux桌面介绍FHS:文件系统目录标准Linux需要特别注意的目录Linux内核学习路线地址:https://www.jiansh...
- 什么是操作系统(什么叫做操作系统)
-
Linux也是众多操作系统之一,要想知道Linux是什么,首先得说一说什么是操作系统。计算机是一台机器,它按照用户的要求接收信息、存储数据、处理数据,然后再将处理结果输出(文字、图片、音频、视频...
- Windows操作系统和Linux操作系统有什么不同?
-
每天一分钟,关注我学更多今天的内容是Windows操作系统和Linux操作系统在多个方面存在显著差异,主要体现在用户界面、开源性、稳定性和安全性等方面。用户界面:Windows操作系统提供直观高效的图...
- 每日学习“IT”是什么呢?(it学习网站)
-
IT是信息技术(InformationTechnology)的简称,它是一个广泛的领域,涉及到利用计算机、网络通信技术、软件等来存储、处理、传输和获取信息。计算机硬件硬件组成部分:包括中央处理器(...
- CAD是什么?如何选择最适合你的CAD软件?
-
CAD(计算机辅助设计)是建筑、机械、电子等行业的核心工具,通过数字化手段实现高精度设计与协作。传统CAD软件如AutoCAD功能强大,但操作复杂、成本高昂,而轻量化工具又难以满足专业需求。元图CAD...
- Linux是什么?(linux是什么意思)
-
在今天的时代,计算机系统已经成为了我们生活中不可或缺的一部分。而Linux则是目前世界上最为流行和免费的操作系统之一,它以其自由和开放源代码的特点,吸引了全球大量的程序员和开发者前来使用和修改。那么,...
- 牛人带你通透理解高可用网络基础架构的关键组件:负载均衡机制
-
上篇给大家介绍的内容是微服务网关:Zuul源码解析,相信大家已经领会并且贯通了;那么本文将给大家介绍的内容是负载均衡:负载均衡机制。负载均衡负载均衡(LoadBalance)是分布式网络环境中的重要...
- Linux运维网络篇(linux运维网站)
-
Linux运维过程中,我们会遇到各种形形色色的网络问题,今天我们就常见的检测手段以及处理办法给大家做一下统一分享。第一节:网络探测首先,我们需要通过各种命令来探测网络是否畅通,进而跟踪锁定到实际...
- Nginx正向代理、反向代理、负载均衡及性能优化
-
一、Nginx是什么Nginx是一款高性能的HTTP和反向代理服务器,由俄罗斯人IgorSysoev(伊戈尔·赛索耶夫)为俄罗斯网站Rambler.ru开发的,在Rambler.ru网站平稳的运...
- nginx负载均衡配置(nginx负载均衡配置教程)
-
Nginx是什么没有听过Nginx?那么一定听过它的“同行”Apache吧!Nginx同Apache一样都是一种WEB服务器。基于REST架构风格,以统一资源描述符(UniformResources...
- Springmvc使用Nginx负载均衡session共享
-
上一节,我们讲到nginx的结构组成,已经把模块、还有之前谈及负载均衡知识时候遗留的东西进行了讲解,那么今天我们继续把使用nginx做负载均衡的时候,如何处理session的方法做个解析,如何有需要对...
- Linux 系统卡顿问题的排查思路(linux系统突然非常卡)
-
#Linux系统卡顿问题排查思路当Linux系统出现卡顿问题时,可以按照以下系统性排查思路进行分析和解决:##1.快速检查系统整体状态###查看系统负载```bashuptimetophto...
- 一文搞懂LVS负载均衡工作原理 :NAT、DR、TUN模式
-
大家好,我是IT售前工程师Bernie。LVS(LinuxVirtualServer)是企业中常用的负载均衡方案,是一种基于Linux虚拟服务器,也是Linux标准内核的一部分。它能够实现高性...
- 从零构建高性能 LVS + Keepalived 四层负载均衡集群实战指南
-
一、前言在大型网站架构中,四层负载均衡是流量调度的第一道防线。相比七层(如Nginx、HAProxy),四层(基于IP/端口转发)在性能上更具优势。LVS(LinuxVirtualServer...
- 一周热门
- 最近发表
- 标签列表
-
- linux一键安装 (31)
- linux运行java (33)
- ln linux (27)
- linux 磁盘管理 (31)
- linux 内核升级 (30)
- linux 运行python (28)
- linux 备份文件 (30)
- linux 网络测试 (30)
- linux 网关配置 (31)
- linux jre (32)
- linux 杀毒软件 (32)
- linux语法 (33)
- linux博客 (33)
- linux 压缩目录 (37)
- linux 查看任务 (32)
- 制作linux启动u盘 (35)
- linux 查看存储 (29)
- linux乌班图 (31)
- linux挂载镜像 (31)
- linux 软件源 (28)
- linux题目 (30)
- linux 定时脚本 (30)
- linux 网站搭建 (28)
- linux 远程控制 (34)
- linux bind (31)