CentOS7 安装配置 vsftpd

安装依赖

安装 Berkeley DB 的命令行工具，用于生产虚拟用户文件数据库：

sudo yum -y install libdb-utils

安装 PAM，用于虚拟用户认证：

sudo yum -y install pam

安装 vsftpd

检查是否已安装：

rpm -qa | grep vsftpd

如果无，则安装：

sudo yum -y install vsftpd

如果有，则更新：

sudo yum -y update vsftpd

查看版本信息：

vsftpd -v

vsftpd: version 3.0.2

生成 SSL 证书

检查当前版本 vsftpd 是否支持 SSL：

sudo ldd `which vsftpd` | grep ssl

libssl.so.10 => /lib64/libssl.so.10 (0x00007fa9662c2000)

使用 openssl 生成 SSL 证书：

sudo openssl req -x509
                 -nodes \
                 -days 3650 \
                 -newkey rsa:2048 \
                 -out /etc/vsftpd/vsftpd.pem \
                 -keyout /etc/vsftpd/vsftpd.pem

过程中需要输入的证书信息可随意填写，在使用 FTP 工具连接时，会显示填写的证书信息。

修改文件权限：

sudo chmod 400 /etc/vsftpd/vsftpd.pem

Tips: 使用 FTP 工具连接时，需要设置使用 显式 SSL/TLS 方式连接。

创建宿主用户

创建宿主用户：

sudo useradd -M -s /sbin/nologin vsftpd

Tips: vsftpd 为宿主用户名。

修改主配置文件

备份默认的主配置文件：

sudo mv /etc/vsftpd/vsftpd.conf /etc/vsftpd/vsftpd.conf.bak

重新创建主配置文件：

sudo vim /etc/vsftpd/vsftpd.conf

插入配置信息：

# standalone mode
listen=YES
listen_port=21

# security
tcp_wrappers=NO
reverse_lookup_enable=NO

# PORT method
port_enable=YES
port_promiscuous=YES
connect_from_port_20=YES
ftp_data_port=20

# PASV method
pasv_enable=YES
pasv_promiscuous=YES
pasv_min_port=18000
pasv_max_port=19000

# SSL / TLS
ssl_enable=YES
ssl_tlsv1=YES
ssl_sslv2=NO
ssl_sslv3=NO
ssl_ciphers=HIGH
allow_anon_ssl=NO
require_ssl_reuse=NO
force_local_logins_ssl=YES
force_local_data_ssl=YES
force_anon_logins_ssl=YES
force_anon_data_ssl=YES
rsa_cert_file=/etc/vsftpd/vsftpd.pem
rsa_private_key_file=/etc/vsftpd/vsftpd.pem

# timeout(s)
accept_timeout=60
connect_timeout=60
data_connection_timeout=300
idle_session_timeout=600

# log
#log_ftp_protocol=YES
xferlog_enable=YES
xferlog_std_format=YES
xferlog_file=/var/log/vsftpd.log

# anonymous user
anonymous_enable=NO

# local user
local_enable=YES
local_umask=022

# user list
userlist_enable=YES
userlist_deny=NO
userlist_file=/etc/vsftpd/user_list

# chroot list
chroot_local_user=YES
chroot_list_enable=YES
chroot_list_file=/etc/vsftpd/chroot_list
allow_writeable_chroot=YES

# virtual user
guest_enable=YES
guest_username=vsftpd
pam_service_name=vsftpd
virtual_use_local_privs=YES
user_config_dir=/etc/vsftpd/vuser_conf

Tip:
配置项等号两边不能有空格。
pasv_min_port 和 pasv_max_port 为被动模式端口起始范围。
guest_username 为上面创建的宿主用户，是 FTP 操作的目录和文件的真正所有者。
pam_service_name 为 PAM 认证配置文件名。
user_config_dir 为存放虚拟用户独立配置文件的目录。

保存退出。

虚拟用户配置

添加虚拟用户

添加虚拟用户：

sudo vim /etc/vsftpd/vuser

在文件中添加虚拟用户名和密码：

test
test123

Tips: 奇数行为用户名，偶数行为密码。

保存退出，并修改文件权限：

sudo chmod 400 /etc/vsftpd/vuser

生成虚拟用户认证使用的数据库文件：

sudo db_load -T -t hash -f /etc/vsftpd/vuser /etc/vsftpd/vuser.db

Tips:
每次修改 /etc/vsftpd/vuser 文件内容后需重新生成一次认证文件。
如果出现以下错误：
db_load： unexpected end of input data or key/data pair、db_load： odd number of key/data pairs
在 /etc/vsftpd/vuser 最后添加一行空行，再重新生成用户认证文件。

修改认证文件权限：

sudo chmod 400 /etc/vsftpd/vuser.db

PAM 认证配置

备份 vsftpd 默认的 PAM 认证文件：

sudo mv /etc/pam.d/vsftpd /etc/pam.d/vsftpd.bak

重新创建 PAM 文件：

sudo vim /etc/pam.d/vsftpd

插入配置（64 位系统）：

auth required /lib64/security/pam_userdb.so db=/etc/vsftpd/vuser
account required /lib64/security/pam_userdb.so db=/etc/vsftpd/vuser

Tips:

如果是 32 位系统：

auth required pam_userdb.so db=/etc/vsftpd/vuser
account required pam_userdb.so db=/etc/vsftpd/vuser

保存退出。

独立配置文件

新建用于存放虚拟用户独立配置文件的目录：

sudo mkdir /etc/vsftpd/vuser_conf

创建虚拟用户独立配置文件：

sudo vim /etc/vsftpd/vuser_conf/test

TIps: test 为虚拟用户的用户名，一个虚拟用户，一个单独的配置文件。

写入该用户的独立配置：

local_root=/home/wwwroot/www.xxx.com
write_enable=YES
download_enable=YES

Tips: local_root 为该虚拟用户 FTP 主目录。

保存退出。

创建该虚拟用户的主目录：

sudo mkdir -p /home/wwwroot/www.xxx.com

修改目录所有者：

sudo chown vsftpd:vsftpd /home/wwwroot/www.xxx.com

修改目录权限：

sudo chmod 755 /home/wwwroot/www.xxx.com

虚拟用户白名单

备份 vsftpd 默认的允许访问 FTP 的用户白名单文件：

sudo mv /etc/vsftpd/user_list /etc/vsftpd/user_list.bak

重新创建白名单文件，并添加允许访问 FTP 的用户名：

sudo vim /etc/vsftpd/user_list

Tips: 一行一个用户名。

保存退出。

chroot 白名单

创建允许执行 chroot 操作的虚拟用户白名单文件，根据需要添加用户名：

sudo vim /etc/vsftpd/chroot_list

Tips:
正常虚拟用户会被限制在自己的主目录之内，允许执行 chroot 表示可以切换到主目录之外的目录。
一行一个用户名。

保存退出。

启动 vsftpd

启动 vsftpd 服务：

sudo systemctl start vsftpd

设置开机启动：

sudo systemctl enable vsftpd

FirewallD 配置

查看 FirewallD 当前默认区域永久配置：

sudo firewall-cmd --permanent --list-all

public target: default icmp-block-inversion: no interfaces: sources: services: ssh ports: protocols: masquerade: no forward-ports: source-ports: icmp-blocks: rich rules:

可见 services 没有添加了 ftp 服务，ports 中也没有添加 FTP 相关端口（20，21 等）。

永久添加 ftp 服务当当前默认区域：

sudo firewall-cmd --permanent --add-service=ftp

给 ftp 服务添加额外的 FTP 相关端口：

# 主配置文件中设置的主动模式传输数据端口 20/tcp
sudo firewall-cmd --permanent --service=ftp --add-port=20/tcp

# 主配置文件中设置的被动模式传输数据端口区域 18000-19000/tcp
sudo firewall-cmd --permanent --service=ftp --add-port=18000-19000/tcp

查看重载 FirewallD 规则之后永久生效的服务：

sudo firewall-cmd --permanent --list-service

ssh ftp

查看重载 FirewallD 规则之后永久生效的 ftp 服务的信息：

sudo firewall-cmd --permanent --info-service=ftp

ftp ports: 21/tcp 20/tcp 18000-19000/tcp protocols: source-ports: modules: ftp destination:

重载 FirewallD 规则：

sudo firewall-cmd --reload

Tips: 阿里云主机需要在安全组规则中添加入方向的 20/tcp, 21/tcp, 18000-19000/tcp 端口。

日志管理

如需开启日志功能，先取消掉主配置文件中的 #log_ftp_protocol=YES 注释。

创建日志文件：

sudo touch /var/log/vsftpd.log

设置文件权限：

sudo chown vsftp:vsftp /var/log/vsftpd.log

重启 vsftpd 服务：

sudo systemctl restart vsftpd

FTP 客户端

推荐使用免费开源全平台支持的 FileZilla：FileZilla 官方下载。

第一次连接的时候会提示 “未知证书”，并显示之前填写的证书信息，勾选 “在以后的会话中始终信任该证书“ 并确定即可。

参考文献

PreviousCentOS NextCentOS7 设置虚拟内存

Last updated 5 years ago

Was this helpful?