基于ECS搭建FTP服務

體驗簡介

本場景将提供一台

配置了CentOS 7.7的ECS執行個體（雲伺服器）

并配置了彈性公網IP。您可以參考本教程的操作快速搭建FTP服務。

體驗此場景後，可以掌握的知識有：

1. 配置雲伺服器 ECS 安全組；
2. FTP伺服器搭建。

背景知識

本場景主要涉及以下雲産品和服務：

雲伺服器ECS

雲伺服器（Elastic Compute Service，簡稱ECS）是阿裡雲提供的性能卓越、穩定可靠、彈性擴充的IaaS（Infrastructure as a Service）級别雲計算服務。雲伺服器ECS免去了您采購IT硬體的前期準備，讓您像使用水、電、天然氣等公共資源一樣便捷、高效地使用伺服器，實作計算資源的即開即用和彈性伸縮。阿裡雲ECS持續提供創新型伺服器，解決多種業務需求，助力您的業務發展。

FTP

FTP（File Transfer Protocol，檔案傳輸協定） 是 TCP/IP 協定組中的協定之一。FTP協定包括兩個組成部分，其一為FTP伺服器，其二為FTP用戶端。其中FTP伺服器用來存儲檔案，使用者可以使用FTP用戶端通過FTP協定通路位于FTP伺服器上的資源。在開發網站的時候，通常利用FTP協定把網頁或程式傳到Web伺服器上。此外，由于FTP傳輸效率非常高，在網絡上傳輸大的檔案時，一般也采用該協定。

預設情況下FTP協定使用TCP端口中的 20和21這兩個端口，其中20用于傳輸資料，21用于傳輸控制資訊。但是，是否使用20作為傳輸資料的端口與FTP使用的傳輸模式有關，如果采用主動模式，那麼資料傳輸端口就是20；如果采用被動模式，則具體最終使用哪個端口要伺服器端和用戶端協商決定。

vsftpd

vsftpd（very secure FTP daemon）是一款在Linux發行版中最受推崇的FTP伺服器。它可以運作在諸如 Linux、BSD、Solaris、 HP-UNIX等系統上面，是一個完全免費的、開放源代碼的ftp伺服器軟體，支援很多其他的 FTP 伺服器所不支援的特征。比如：非常高的安全性需求、帶寬限制、良好的可伸縮性、可建立虛拟使用者、支援IPv6、速率高等。

步驟一：安裝vsftpd

1.運作以下指令安裝vsftpd。

yum install -y vsftpd           

傳回如下圖所示界面時，表示安裝成功。

2.運作以下指令設定FTP服務開機自啟動。

systemctl enable vsftpd.service           

3.啟動FTP服務。

systemctl start vsftpd.service           

4.運作以下指令檢視FTP服務監聽的端口。

netstat -antup | grep ftp           

出現如下圖所示界面，表示FTP服務已啟動，監聽的端口号為21。此時，vsftpd預設已開啟匿名通路功能，您無需輸入使用者名密碼即可登入FTP伺服器，但沒有修改或上傳檔案的權限。

步驟二：配置vsftpd

vsftpd（very secure FTP daemon）是一款在Linux發行版中最受推崇的FTP伺服器。vsftpd支援匿名通路和本地使用者模式兩種通路方式。匿名通路方式任何使用者都可以通路搭建的FTP服務；本地使用者模式隻支援添加的本地使用者通路搭建的FTP服務。

說明：匿名使用者模式和本地使用者模式隻可同時配置一種。

• 匿名使用者模式

a.修改配置檔案vsftpd.conf。

vim /etc/vsftpd/vsftpd.conf           

按i鍵進入編輯模式，将匿名上傳權限

anon_upload_enable=YES的注釋解開。

b.按ESC鍵退出編輯模式，輸入:wq儲存并退出vim。

c.更改/var/ftp/pub目錄的權限，為FTP使用者添加寫權限。

chmod o+w /var/ftp/pub/           

d.重新開機FTP服務。

systemctl restart vsftpd.service           

• 本地使用者模式

a.為FTP服務建立一個Linux使用者。

adduser ftptest           

為使用者設定密碼。

passwd ftptest              

b.建立一個供FTP服務使用的檔案目錄。

mkdir /var/ftp/test           

c.更改/var/ftp/test目錄的擁有者為ftptest。

chown -R ftptest:ftptest /var/ftp/test           

d.修改vsftpd.conf配置檔案。

• 配置FTP為主動模式請執行如下指令。

sed -i 's/anonymous_enable=YES/anonymous_enable=NO/' /etc/vsftpd/vsftpd.conf #禁止匿名登入FTP伺服器
sed -i 's/listen=NO/listen=YES/' /etc/vsftpd/vsftpd.conf                     #監聽IPv4 sockets
sed -i 's/listen_ipv6=YES/#listen_ipv6=YES/' /etc/vsftpd/vsftpd.conf         #關閉監聽IPv6 sockets
sed -i 's/#chroot_local_user=YES/chroot_local_user=YES/' /etc/vsftpd/vsftpd.conf #全部使用者被限制在主目錄
sed -i 's/#chroot_list_enable=YES/chroot_list_enable=YES/' /etc/vsftpd/vsftpd.conf #啟用例外使用者名單
sed -i 's/#chroot_list_file=/chroot_list_file=/' /etc/vsftpd/vsftpd.conf #指定例外使用者清單檔案，清單中的使用者不被鎖定在主目錄
echo "allow_writeable_chroot=YES" >> /etc/vsftpd/vsftpd.conf
echo "local_root=/var/ftp/test" >> /etc/vsftpd/vsftpd.conf #設定本地使用者登入後所在的目錄           

配置FTP為被動模式請執行如下指令。

sed -i 's/anonymous_enable=YES/anonymous_enable=NO/' /etc/vsftpd/vsftpd.conf #禁止匿名登入FTP伺服器
sed -i 's/listen=NO/listen=YES/' /etc/vsftpd/vsftpd.conf                     #監聽IPv4 sockets
sed -i 's/listen_ipv6=YES/#listen_ipv6=YES/' /etc/vsftpd/vsftpd.conf         #關閉監聽IPv6 sockets
sed -i 's/#chroot_local_user=YES/chroot_local_user=YES/' /etc/vsftpd/vsftpd.conf #全部使用者被限制在主目錄
sed -i 's/#chroot_list_enable=YES/chroot_list_enable=YES/' /etc/vsftpd/vsftpd.conf #啟用例外使用者名單
sed -i 's/#chroot_list_file=/chroot_list_file=/' /etc/vsftpd/vsftpd.conf #指定例外使用者清單檔案，清單中的使用者不被鎖定在主目錄
echo "allow_writeable_chroot=YES" >> /etc/vsftpd/vsftpd.conf
echo "local_root=/var/ftp/test" >> /etc/vsftpd/vsftpd.conf #設定本地使用者登入後所在的目錄

echo "pasv_enable=YES" >> /etc/vsftpd/vsftpd.conf #開啟被動模式
echo "pasv_address=<FTP伺服器公網IP位址>" >> /etc/vsftpd/vsftpd.conf #本教程中為Linux執行個體公網IP
echo "pasv_min_port=20" >> /etc/vsftpd/vsftpd.conf #設定被動模式下，建立資料傳輸可使用的端口範圍的最小值
echo "pasv_max_port=1000" >> /etc/vsftpd/vsftpd.conf #設定被動模式下，建立資料傳輸可使用的端口範圍的最大值           

e.在/etc/vsftpd目錄下建立chroot_list檔案，并在檔案中寫入例外使用者名單。

#使用vim指令編輯chroot_list檔案，添加例外使用者名單。此名單中的使用者不會被鎖定在主目錄，可以通路其他目錄。
vim /etc/vsftpd/chroot_list           

說明:沒有例外使用者時，也必須建立chroot_list檔案，内容可為空。

f.重新開機FTP服務。

systemctl restart vsftpd.service           

步驟三：配置安全組

搭建好FTP服務後，在ECS執行個體安全組的入方向添加規則并放行下列FTP端口。

說明：大多數用戶端位于區域網路中，IP位址是經過轉換的，是以ipconfig或ifconfig指令傳回的IP不一定是用戶端的真實公網IP位址。若後續用戶端無法登入FTP伺服器，請重新确認其公網IP位址。

1.在體驗平台體驗頁面，單擊一鍵複制登入url，輸入已建立的子賬号使用者名和密碼登入ECS控制台。

2.在左側導航欄，單擊網絡與安全>安全組。

3.選擇需要配置的安全組，在操作列中，單擊配置規則。

4.選擇安全組規則的規則方向，單擊入方向>添加安全組規則。具體配置如下圖：添加安全組

步驟四：用戶端測試

FTP用戶端、Windows指令行工具或浏覽器均可用來測試FTP伺服器。

說明：使用浏覽器通路FTP伺服器出錯時，建議您清除浏覽器緩存後再嘗試。

1.打開Chrom浏覽器，在位址欄中輸入ftp://<FTP伺服器公網IP位址>:FTP端口，本教程中為Linux執行個體的公網IP位址。例如：ftp://139.0.0.1:21。

2.在彈出的對話框中，輸入使用者名和密碼，即可對FTP檔案進行相應權限的操作。

說明：匿名模式無需進項登入操作。

登入界面類似如下：

登入界面登陸成功界面類似如下：