使用ECS 搭建FTP服務
步驟一:安裝vsftpd
- 遠端連接配接Linux執行個體。
連接配接方法,請參見
連接配接方式介紹。
- 運作以下指令安裝vsftpd。
yum install -y vsftpd - 運作以下指令設定FTP服務開機自啟動。
systemctl enable vsftpd.service - 運作以下指令啟動FTP服務。
systemctl start vsftpd.service - 運作以下指令檢視FTP服務監聽的端口。
netstat -antup | grep ftp
出現如下圖所示界面,表示FTP服務已啟動,監聽的端口号為21。此時,vsftpd預設已開啟匿名通路功能,您無需輸入使用者名密碼即可登入FTP伺服器,但沒有修改或上傳檔案的權限。
步驟二:配置vsftpd
本示例提供兩種方式配置vsftpd:匿名使用者模式或本地使用者模式。請根據您的需求選擇其中一種方式進行配置。
方式一:配置匿名使用者上傳檔案權限。
- 修改配置檔案/etc/vsftpd/vsftpd.conf。
說明 如果您在安裝vsftpd時,使用的是
apt install vsftpd
安裝指令,則配置檔案路徑為/etc/vsftpd.conf。
- 運作vim /etc/vsftpd/vsftpd.conf指令打開配置檔案。
- 按i進入編輯模式。
- 将匿名上傳權限的注釋去掉,修改為
anon_upload_enable=YES
- 按Esc退出編輯模式,然後輸入:wq并回車以儲存并關閉檔案。
- 運作以下指令更改/var/ftp/pub目錄的權限,為FTP使用者添加寫權限。
/var/ftp/pub為FTP服務預設的檔案目錄。
chmod o+w /var/ftp/pub/
- 運作以下指令重新加載配置檔案。
systemctl restart vsftpd.service
-
-
anon_upload_enable=YES
chmod o+w /var/ftp/pub/
-
systemctl restart vsftpd.service
方式二:配置本地使用者通路FTP伺服器。
- 運作以下指令為FTP服務建立一個Linux使用者。本示例中,該使用者名為ftptest。
adduser ftptest - 運作以下指令修改ftptest使用者的密碼。
passwd ftptest - 運作以下指令建立一個供FTP服務使用的檔案目錄。
mkdir /var/ftp/test - 運作以下指令更改/var/ftp/test目錄的擁有者為ftptest。
chown -R ftptest:ftptest /var/ftp/test - 修改vsftpd.conf配置檔案。
- 根據如下内容,修改或添加相關配置參數。
#除下面提及的參數外,其他參數保持預設值即可。 #修改下列參數的值 #禁止匿名登入FTP伺服器 anonymous_enable=NO #允許本地使用者登入FTP伺服器 local_enable=YES #監聽IPv4 sockets listen=YES #在行首添加#注釋掉以下參數,關閉監聽IPv6 sockets #listen_ipv6=YES #添加下列參數 #設定本地使用者登入後所在目錄 local_root=/var/ftp/test #全部使用者被限制在主目錄 chroot_local_user=YES #啟用例外使用者名單 chroot_list_enable=YES #指定例外使用者清單檔案,清單中使用者不被鎖定在主目錄 chroot_list_file=/etc/vsftpd/chroot_list #開啟被動模式 pasv_enable=YES allow_writeable_chroot=YES #本教程中為Linux執行個體公網IP pasv_address=<FTP伺服器公網IP位址> #設定被動模式下,建立資料傳輸可使用的端口範圍的最小值 pasv_min_port=<port number> #設定被動模式下,建立資料傳輸可使用的端口範圍的最大值 pasv_max_port=<port number> 123456789101112131415161718192021222324252627282930 - 建立chroot_list檔案,并在檔案中寫入例外使用者名單。
- 運作vim /etc/vsftpd/chroot_list指令建立chroot_list檔案。
- 輸入例外使用者名單。此名單中的使用者不會被鎖定在主目錄,可以通路其他目錄。
說明 沒有例外使用者時,也必須建立chroot_list檔案,内容可為空。
- 運作以下指令重新開機vsftpd服務。
systemctl restart vsftpd.service
步驟三:設定安全組
搭建好FTP站點後,在執行個體安全組的入方向添加規則并放行下列FTP端口。
說明 大多數用戶端位于區域網路中,IP位址是經過轉換的,是以ipconfig或ifconfig指令傳回的IP不一定是用戶端的真實公網IP位址。若後續用戶端無法登入FTP伺服器,請重新确認其公網IP位址。
FTP被動模式需要開放端口,配置詳情如下表所示。
| 規則方向 | 授權政策 | 協定類型 | 端口範圍 | 授權對象 |
|---|---|---|---|---|
| 入方向 | 允許 | 自定義TCP | 21/21 | 所有要通路FTP伺服器的用戶端公網IP位址,多個位址之間用逗号隔開。允許所有用戶端通路時,授權對象為0.0.0.0/0。 |
| 不同模式的開放端口範圍如下:匿名使用者模式:1024/65535本地使用者模式:配置檔案/etc/vsftpd/vsftpd.conf中配置項pasv_min_port和pasv_max_port之間的端口。即pasv_min_port/pasv_max_port |
步驟四:用戶端測試
FTP用戶端、Windows指令行工具或浏覽器均可用來測試FTP伺服器。本教程以Google Chrome浏覽器為例,介紹FTP伺服器的通路步驟。
說明 使用浏覽器通路FTP伺服器出錯時,建議您清除浏覽器緩存後再嘗試。
- 打開用戶端的Google Chrome浏覽器。
- 在位址欄中輸入
ftp://<FTP伺服器公網IP位址>:21
本教程中為Linux執行個體的公網IP位址。
- 在彈出的對話框中,輸入使用者名ftptest和對應的密碼,即可對FTP檔案進行相應權限的操作。
說明 此步驟僅适用于本地使用者,匿名使用者無需輸入使用者名和密碼即可登入FTP伺服器。
vsftp配置檔案及參數說明
/etc/vsftpd目錄下檔案說明如下:
- /etc/vsftpd/vsftpd.conf是vsftpd的核心配置檔案。
- /etc/vsftpd/ftpusers是黑名單檔案,此檔案中的使用者不允許通路FTP伺服器。
- /etc/vsftpd/user_list是白名單檔案,此檔案中的使用者允許通路FTP伺服器。
配置檔案vsftpd.conf參數說明如下:
- 工作模式說明如下表所示。
| 參數 | 說明 |
|---|---|
| pasv_enable=YES | 開啟被動模式 |
| pasv_enable=NO | 開啟主動模式 |
| 不設定該參數 | 配置檔案中預設不設定該參數,表示使用被動模式 |
- 使用者登入控制參數說明如下表所示。
| anonymous_enable=YES | 接受匿名使用者 |
| no_anon_password=YES | 匿名使用者login時不詢問密碼 |
| anon_root=(none) | 匿名使用者主目錄 |
| local_enable=YES | 接受本地使用者 |
| local_root=(none) | 本地使用者主目錄 |
- 使用者權限控制參數說明如下表所示。
| write_enable=YES | 可以上傳檔案(全局控制) |
| local_umask=022 | 本地使用者上傳的檔案權限 |
| file_open_mode=0666 | 上傳檔案的權限配合umask使用 |
| anon_upload_enable=NO | 匿名使用者可以上傳檔案 |
| anon_mkdir_write_enable=NO | 匿名使用者可以建目錄 |
| anon_other_write_enable=NO | 匿名使用者修改删除 |
| al_umask=022 | |
| chown_username=lightwiter | 匿名上傳檔案所屬使用者名 |