如何在CentOS 8上使用VSFTPD设置FTP服务器

如何在CentOS 8上使用VSFTPD设置FTP服务器

FTP（文件传输协议）是一种用户端-服务器网络协议，允许客户在远程计算机之间传输文件。

这里有很多可用于Linux的开源FTP服务软件，最流行最常用的FTP服务软件有 PureFTPd, ProFTPD, 和 vsftpd。

在本教程中，我们将在CentOS 8上安装vsftpd（非常安全的Ftp守护程序）。这是一个稳固，安全且快速的FTP服务器。 我们还将向您展现如何配置vsftpd以限制客户访问其主目录，以及如何使用SSL / TLS加密数据传输。

在CentOS 8上安装vsftpd

vsftpd的安装包默认包含在CentOS软件仓库中，要安装它，只要用root帐号或者拥有sudo权限的帐号运行如下命令：

#root帐号运行dnf install vsftpd#具备sudo权限的非root帐号运行sudo dnf install vsftpd

一旦软件包安装完成，可以通过如下命令启动vsftpd守护进程并设置vsftpd在系统启动时启动。

sudo systemctl enable vsftpd --now

验证vsftpd服务状态:

sudo systemctl status vsftpd

命令输出结果相似如下，显示vsftpd服务处于活动状态并且正在运行：

● vsftpd.service - Vsftpd ftp daemon   Loaded: loaded (/usr/lib/systemd/system/vsftpd.service; enabled; vendor preset: disabled)   Active: active (running) since Mon 2020-03-30 15:16:51 EDT; 10s ago  Process: 2880 ExecStart=/usr/sbin/vsftpd /etc/vsftpd/vsftpd.conf (code=exited, status=0/SUCCESS)  ...

配置vsftpd

vsftpd服务的配置存放在/etc/vsftpd/vsftpd.conf 配置文件中。大多数配置在文件中都有详细的记录。有关所有配置选项可以参看官网的vsftpd配置说明页面。

在下面内容中，我们将详情配置安全的vsftpd安装所需要的少量重要的配置。

先从打开vsftpd配置文件开始：

sudo vim /etc/vsftpd/vsftpd.conf

1.FTP 访问控制

我们将仅允许本地客户访问FTP服务器，在配置文件中找到anonymous_enable和local_enable配置项，并确保您的配置与以下行一致：

/etc/vsftpd/vsftpd.conf

anonymous_enable=NOlocal_enable=YES

2.启用上传

取消注释write_enable配置项将允许你对系统文件进行更改，例如上传和删除文件。

/etc/vsftpd/vsftpd.conf

write_enable=YES

3.控制访问范围

通过取消chroot配置项，防止FTP客户访问其主目录之外的任何文件。

/etc/vsftpd/vsftpd.conf

chroot_local_user=YES

默认情况下，启用chroot时，假如客户锁定的目录是可写的，则vsftpd将拒绝上传文件。 这样做是为了防止有安全漏洞。

启用chroot时，可以使用下面任意一种方法允许文件上传。

方法一：推荐允许上传的方法是保持chroot配置的启用情况下配置FTP目录。在本教程中，我们将在客户主目录里创立一个ftp目录。该目录将用作chroot和可写入的uploads目录以上传文件。

/etc/vsftpd/vsftpd.conf

user_sub_token=$USERlocal_root=/home/$USER/ftp

方法二：这个方法是在vsftpd中增加allow_writeable_chroot配置项。假如必需将客户的可写访问权限授予其主目录，可以使用此选项。

/etc/vsftpd/vsftpd.conf

allow_writeable_chroot=YES

4.被动FTP连接

vsftpd可以使用任何端口进行被动FTP连接。 我们将指定端口的最小和最大范围，而后在防火墙中打开该范围。

在vsftpd配置文件中增加如下配置：

/etc/vsftpd/vsftpd.conf

pasv_min_port=30000pasv_max_port=31000

5.限制客户登录

要仅允许某些客户登录FTP服务器，请在配置文件中userlist_enable = YES行之后增加以下行：

/etc/vsftpd/vsftpd.conf

userlist_file=/etc/vsftpd/user_listuserlist_deny=NO

启用此选项后，您需要通过将客户名增加到/etc/vsftpd/user_list文件（每行一个客户）中来明确指定哪些客户可以登录。

6.使用 SSL/TLS 保护传输安全

为了使用SSL/TLS保护传输安全，你需要一个SSL证书并配置FTP 服务器使用该证书。

您可以使用由受信任的证书颁发机构签名的现有SSL证书，也可以创立自签名证书。

假如你有一个执行服务器IP的域名或者者子域，则可以轻松生成一个免费的Let‘s Encrypt证书。

在本教程中，我们将使用“ openssl”工具生成一个自签名SSL证书。

以下命令将创立一个有效期为10年的2048位私钥和自签名证书。 私钥和证书都将保存在同一文件中：

sudo openssl req -x509 -nodes -days 3650 -newkey rsa:2048 -keyout /etc/vsftpd/vsftpd.pem -out /etc/vsftpd/vsftpd.pem

创立SSL证书后，打开vsftpd配置文件：

sudo nano /etc/vsftpd/vsftpd.conf

找到rsa_cert_file和rsa_private_key_file选项，将其值更改为pem文件路径，并将ssl_enable指令设置为YES：

/etc/vsftpd/vsftpd.conf

rsa_cert_file=/etc/vsftpd/vsftpd.pemrsa_private_key_file=/etc/vsftpd/vsftpd.pemssl_enable=YES

假如没有另外指定，则FTP服务器将仅使用TLS建立安全连接。

重启vsftpd服务

你完成配置文件编辑后，你的配置文件内容将会相似下面内容：

/etc/vsftpd/vsftpd.conf

anonymous_enable=NOlocal_enable=YESwrite_enable=YESlocal_umask=022dirmessage_enable=YESxferlog_enable=YESconnect_from_port_20=YESxferlog_std_format=YESchroot_local_user=YESlisten=NOlisten_ipv6=YESpam_service_name=vsftpduserlist_enable=YESuserlist_file=/etc/vsftpd/user_listuserlist_deny=NOtcp_wrappers=YESuser_sub_token=$USERlocal_root=/home/$USER/ftppasv_min_port=30000pasv_max_port=31000rsa_cert_file=/etc/vsftpd/vsftpd.pemrsa_private_key_file=/etc/vsftpd/vsftpd.pemssl_enable=YES

保存配置文件并重启vsftpd服务使更改配置生效：

sudo systemctl restart vsftpd

开启防火墙

假如你在CentOS 8上开启了防火墙，你需要在防火墙中允许FTP流量访问。

要打开防火墙上的端口21（FTP命令端口），端口20（FTP数据端口）和端口30000-31000（被动端口范围），在防火墙上输入以下命令：

sudo firewall-cmd --permanent --add-port=20-21/tcpsudo firewall-cmd --permanent --add-port=30000-31000/tcp

使用以下命令重新加载防火墙规则：

firewall-cmd --reload

创立一个FTP客户

为了测试FTP服务器，我们将创立一个新客户。

• 假如您已经有要授予FTP访问权限的客户，请跳过第一步。
• 假如在配置文件中设置allow_writeable_chroot = YES，请跳过第三步。

1. 第一步、创立一个名为newftpuser的客户：

sudo adduser newftpuser

设置该新建客户密码：

sudo passwd newftpuser

2. 第二步、增加客户到允许ftp的客户列表

echo "newftpuser" | sudo tee -a /etc/vsftpd/user_list

3. 第三步、创立ftp目录并配置正确的权限

sudo mkdir -p /home/newftpuser/ftp/uploadsudo chmod 550 /home/newftpuser/ftpsudo chmod 750 /home/newftpuser/ftp/uploadsudo chown -R newftpuser: /home/newftpuser/ftp

如上一节所述，客户将能够将其文件上传到ftp/upload目录。

至此，你的FTP服务器配置完成，你可以使用任可以何配置为使用TLS加密的用户端软件（例如：FileZilla）连接到FTP服务器。

禁止shell访问

默认情况下，在创立客户时，假如未明确指定，则该客户将具备对服务器的SSH访问权限。

要禁用shell程序访问，我们将创立一个新的shell程序，该shell程序将仅打印一条消息，告诉客户其帐户仅限于FTP访问。

echo -e '#!/bin/sh\necho "This account is limited to FTP access only."' | sudo tee -a  /bin/ftponlysudo chmod a+x /bin/ftponly

运行以下命令来创立/bin/ftponly 并使它可执行：

echo "/bin/ftponly" | sudo tee -a /etc/shells

将客户shell更改为/bin/ftponly：

sudo usermod newftpuser -s /bin/ftponly

使用相同的命令为仅希望授予FTP访问权限的其余客户更改shell程序。

写在最后

我们向您展现了如何在CentOS 8上安装和配置安全快速的FTP服务器。为了更安全，更快地进行数据传输，应该使用SCP或者SFTP。

假如你有任何疑问和建议，欢迎留言！

假如想理解更多Linux中命令使用，可以下载Linux命令中文手册，关注我后，公号里面回复“命令”就可下载。