Day1 基于ECS搭建FTP服務

基于ECS搭建FTP服務

一、主要内容：

在CentOS 7.7的ECS執行個體上安裝并配置vsftpd，搭建FTP服務。

二、背景介紹：

FTP：

FTP（File Transfer Protocol，檔案傳輸協定） 是 TCP/IP 協定組中的協定之一，包括兩個FTP伺服器和FTP用戶端。FTP伺服器用來存儲檔案，使用者可以使用FTP用戶端通過FTP協定通路位于FTP伺服器上的資源。在開發網站的時候，通常利用FTP協定把網頁或程式傳到Web伺服器上。此外，由于FTP傳輸效率非常高，在網絡上傳輸大的檔案時，一般也采用該協定。

預設使用TCP端口中的20和21兩個端口，20用于傳輸資料，21用于傳輸控制資訊。但是，是否使用20作為傳輸資料的端口與FTP使用的傳輸模式有關，如果采用主動模式，那麼資料傳輸端口就是20；如果采用被動模式，則具體最終使用哪個端口要伺服器端和用戶端協商決定。

vsftpd：

vsftpd（very secure FTP daemon）是一款在Linux發行版中最受推崇的FTP伺服器。它可以運作在諸如 Linux、BSD、Solaris、 HP-UNIX等系統上面，是一個完全免費的、開放源代碼的ftp伺服器軟體，支援很多其他的 FTP 伺服器所不支援的特征。比如：非常高的安全性需求、帶寬限制、良好的可伸縮性、可建立虛拟使用者、支援IPv6、速率高等。

三、實驗步驟

1、使用ssh工具連接配接伺服器

2、安裝vsftpd

yum install -y vsftpd           

-y：安裝的軟體有詢問會卡在詢問頁，-y可以預設yes

檢查是否安裝成功：

3、設定FTP服務開機自啟并啟動FTP服務

systemctl enable vsftpd.service
systemctl start vsftpd.service           

systemctl enable：設定服務開機自啟

systemctl start：啟動服務

然後運作以下指令檢視FTP服務監聽的端口，判斷服務是否成功啟動。

netstat -antup | grep vsftpd           

出現如下圖所示界面，表示FTP服務已啟動，監聽的端口号為 21。此時，vsftpd預設已開啟匿名通路功能，無需輸入使用者名密碼即可登入FTP伺服器，但沒有修改或上傳檔案的權限。

4、配置vsftpd

vsftpd支援匿名通路和本地使用者模式兩種通路方式。

匿名通路方式任何使用者都可以通路搭建的FTP服務；本地使用者模式隻支援添加的本地使用者通路搭建的FTP服務。

說明: 匿名使用者模式和本地使用者模式隻可同時配置一種。

匿名使用者模式：

修改配置檔案vsftpd.conf。

vim /etc/vsftpd/vsftpd.conf
# 然後在vim中将匿名上傳權限 anon_upload_enable=YES 的注釋解開           

更改/var/ftp/pub目錄的權限，為FTP使用者添加寫權限。

chmod o+w /var/ftp/pub/           

chmod o+w：表示為所有其他使用者添加寫的權限。

然後重新開機FTP服務：

systemctl restart vsftpd.service           

然後測試：

目前浏覽器是可以通路的，但通過資料總管通路會提示沒有權限。

解決方案：取消掉這個使用被動FTP的勾即可。

然後就可以正常通路了。

上傳本地檔案。

如果要在伺服器端解決這個問題，就要看後面的設定被動模式了。是以現在把勾打回去，開始後面的實驗。

本地使用者模式：

1）為FTP服務建立一個Linux使用者，并設定密碼。

adduser ftptest
passwd ftptest           

2）建立一個供FTP服務使用的檔案目錄，并更改該目錄的擁有者為ftptest。

mkdir /var/ftp/test
chown -R ftptest:ftptest /var/ftp/test           

chown：用于設定檔案所有者和檔案關聯組。

-R : 處理指定目錄以及其子目錄下的所有檔案

ftptest:ftptest 擁有者設為ftptest，使用者組為fpttest。

3）修改vsftpd.conf配置檔案

這裡要根據主動和被動模式的選擇進行不同的設定：

sed指令利用腳本來處理文本檔案，sed -i 's/原字元串/新字元串/' 檔案名

也可以使用vim打開conf檔案，手動修改。

主動模式：

# 禁止匿名登入FTP伺服器
sed -i 's/anonymous_enable=YES/anonymous_enable=NO/' /etc/vsftpd/vsftpd.conf
# 監聽IPv4 sockets
sed -i 's/listen=NO/listen=YES/' /etc/vsftpd/vsftpd.conf
# 關閉監聽IPv6 sockets
sed -i 's/listen_ipv6=YES/#listen_ipv6=YES/' /etc/vsftpd/vsftpd.conf
# 全部使用者被限制在主目錄
sed -i 's/#chroot_local_user=YES/chroot_local_user=YES/' /etc/vsftpd/vsftpd.conf
# 啟用例外使用者名單
sed -i 's/#chroot_list_enable=YES/chroot_list_enable=YES/' /etc/vsftpd/vsftpd.conf
# 指定例外使用者清單檔案，清單中的使用者不被鎖定在主目錄
sed -i 's/#chroot_list_file=/chroot_list_file=/' /etc/vsftpd/vsftpd.conf
echo "allow_writeable_chroot=YES" >> /etc/vsftpd/vsftpd.conf
#設定本地使用者登入後所在的目錄
echo "local_root=/var/ftp/test" >> /etc/vsftpd/vsftpd.conf           

4）在/etc/vsftpd目錄下建立chroot_list檔案，添加例外使用者名單，此名單中的使用者可以通路其他目錄。 沒有例外使用者時，也必須建立chroot_list檔案，但内容可為空。

vim /etc/vsftpd/chroot_list           

5）重新開機FTP服務，更新設定。

systemctl restart vsftpd.service           

然後就可以用賬戶登入了，同理，非被動模式，浏覽器是可以正常通路的，檔案夾需要特殊設定。

如果要使用被動模式，在以上基礎上添加：

# 開啟被動模式 
echo "pasv_enable=YES" >> /etc/vsftpd/vsftpd.conf
echo "pasv_address=<FTP伺服器公網IP位址>" >> /etc/vsftpd/vsftpd.conf
# 設定被動模式下，建立資料傳輸可使用的端口範圍的最小值
echo "pasv_min_port=20" >> /etc/vsftpd/vsftpd.conf
# 設定被動模式下，建立資料傳輸可使用的端口範圍的最大值
echo "pasv_max_port=21" >> /etc/vsftpd/vsftpd.conf
systemctl restart vsftpd.service           

如果沒有失誤的話，資料總管也能正常通路了。

最後關于主動模式與被動模式的選擇：

​ 主動模式對FTP伺服器的管理有利，但對用戶端的管理不利。因為FTP伺服器企圖與用戶端的高位随機端口建立連接配接，而這個端口很有可能被用戶端的防火牆阻塞掉。

​ 被動模式對FTP用戶端的管理有利，但對伺服器端的管理不利。因為用戶端要與伺服器端建立兩個連接配接，其中一個連到一個高位随機端口，而這個端口很有可能被伺服器端的防火牆阻塞掉。

　　既然FTP伺服器的管理者需要他們的伺服器有最多的客戶連接配接，那麼必須得支援被動FTP。而且從剛才的實驗可以看到，不設定被動模式，基本上資料總管是無法通路的。

​ 我們可以通過為FTP伺服器指定一個有限的端口範圍來減小伺服器高位端口的暴露。這樣，不在這個範圍的任何端口會被伺服器的防火牆阻塞。雖然這沒有消除所有針對伺服器的危險，但它大大減少了危險。