ECS 7天实践训练营——基于ECS搭建FTP服务

0. 背景知识

ECS：

云服务器 ECS（Elastic Compute Service）是一种阿里云提供的弹性可伸缩的IaaS级别云计算服务，具有稳定可靠、弹性扩展等性质。

FTP：

FTP（File Transfer Protocol） 是 TCP/IP 协议组中的协议之一。FTP协议包括两个组成部分，其一为FTP服务器，其二为FTP客户端。其中FTP服务器用来存储文件，用户可以使用FTP客户端通过FTP协议访问位于FTP服务器上的资源。默认情况下FTP协议使用TCP端口中的 20和21这两个端口，其中20用于传输数据，21用于传输控制信息。

vsftpd：

vsftpd（very secure FTP daemon）是一款在Linux发行版中最受推崇的FTP服务器是一个完全免费的、开放源代码的ftp服务器软件，支持很多其他的 FTP 服务器所不支持的特征。比如：非常高的安全性需求、带宽限制、良好的可伸缩性、可创建虚拟用户、支持IPv6、速率高等。

1. 远程连接ECS服务器

在阿里云中创建好资源后，使用Powershell的ssh工具，利用ssh [username]@[ip]命令远程登录ECS服务器，输入登录密码

2. 安装vsftpd

使用yum install -y vsftpd命令安装vsftpd

使用以下命令设置FTP服务开机自启动

systemctl enable vsftpd.service

使用以下命令启动FTP服务

systemctl start vsftpd.service

使用以下命令查看FTP服务监听端口

netstat -antup | grep ftp

如下图所示，FTP服务已经启动，且监听端口为21。此时，vsftpd默认已开启匿名访问功能，无需输入用户名密码即可登录FTP服务器，但没有修改或上传文件的权限。

3. 配置vsftpd

vsftpd支持匿名访问和本地用户模式两种访问方式。匿名访问方式任何用户都可以访问搭建的FTP服务；本地用户模式只支持添加的本地用户访问搭建的FTP服务，由于匿名用户模式和本地用户模式只可同时配置一种，我们这次使用本地用户模式

• 匿名用户模式

1. 使用vim修改配置文件vsftpd.conf

   vim /etc/vsftpd/vsftpd.conf

按 i 进入INSERT模式，将将匿名上传权限 anon_upload_enable=YES 的注释删掉

1. 按ESC键退出INSERT模式，输入:wq保存并退出vim

2. 使用以下命令更改/var/ftp/pub目录的权限，为FTP用户添加写权限

   chmod o+w /var/ftp/pub/

3. 使用以下命令重启FTP服务

   systemctl restart vsftpd.service 

• 本地用户模式

1. 为FTP服务创建一个用户，并设置密码

   adduser ftpuser
   passwd ftpuser

1. 创建供FTP服务使用的文件目录

   mkdir /var/ftp/test

2. 更改/var/ftp/test目录的拥有者为添加的用户

   chown -R ftpuser:ftpuser /var/ftp/test

3. 修改vsftpd.conf配置文件

   • 用以下命令配置FTP主动模式

   sed -i 's/anonymous_enable=YES/anonymous_enable=NO/' /etc/vsftpd/vsftpd.conf #禁止匿名登录FTP服务器 
   sed -i 's/listen=NO/listen=YES/' /etc/vsftpd/vsftpd.conf #监听IPv4 sockets 
   sed -i 's/listen_ipv6=YES/#listen_ipv6=YES/' /etc/vsftpd/vsftpd.conf #关闭监听IPv6 sockets 
   sed -i 's/#chroot_local_user=YES/chroot_local_user=YES/' /etc/vsftpd/vsftpd.conf #全部用户被限制在主目录 
   sed -i 's/#chroot_list_enable=YES/chroot_list_enable=YES/' /etc/vsftpd/vsftpd.conf #启用例外用户名单 
   sed -i 's/#chroot_list_file=/chroot_list_file=/' /etc/vsftpd/vsftpd.conf #指定例外用户列表文件，列表中的用户不被锁定在主目录 
   echo "allow_writeable_chroot=YES" >> /etc/vsftpd/vsftpd.conf 
   echo "local_root=/var/ftp/test" >> /etc/vsftpd/vsftpd.conf #设置本地用户登录后所在的目录

- 用以下命令配置FTP被动模式

sed -i 's/anonymous_enable=YES/anonymous_enable=NO/' /etc/vsftpd/vsftpd.conf #禁止匿名登录FTP服务器 
sed -i 's/listen=NO/listen=YES/' /etc/vsftpd/vsftpd.conf #监听IPv4 sockets 
sed -i 's/listen_ipv6=YES/#listen_ipv6=YES/' /etc/vsftpd/vsftpd.conf #关闭监听IPv6 sockets 
sed -i 's/#chroot_local_user=YES/chroot_local_user=YES/' /etc/vsftpd/vsftpd.conf #全部用户被限制在主目录 
sed -i 's/#chroot_list_enable=YES/chroot_list_enable=YES/' /etc/vsftpd/vsftpd.conf #启用例外用户名单 
sed -i 's/#chroot_list_file=/chroot_list_file=/' /etc/vsftpd/vsftpd.conf #指定例外用户列表文件，列表中用户不被锁定在主目录 
echo "allow_writeable_chroot=YES" >> /etc/vsftpd/vsftpd.conf 
echo "local_root=/var/ftp/test" >> /etc/vsftpd/vsftpd.conf #设置本地用户登录后所在的目录 
echo "pasv_enable=YES" >> /etc/vsftpd/vsftpd.conf #开启被动模式 
echo "pasv_address=<FTP服务器公网IP地址>" >> /etc/vsftpd/vsftpd.conf #本教程中为ECS服务器弹性IP 
echo "pasv_min_port=20" >> /etc/vsftpd/vsftpd.conf #设置被动模式下，建立数据传输可使用的端口范围的最小值 
echo "pasv_max_port=21" >> /etc/vsftpd/vsftpd.conf #设置被动模式下，建立数据传输可使用的端口范围的最大值

1. 在/etc/vsftpd目录下创建chroot_list文件，使用vim命令编辑chroot_list文件，添加例外用户名单。此名单中的用户不会被锁定在主目录，可以访问其他目录。 没有例外用户时，也必须创建chroot_list文件，内容可为空。

   vim /etc/vsftpd/chroot_list

2. 重启FTP服务

   systemctl restart vsftpd.service

4. 客户端测试

FTP客户端、Windows命令行工具或浏览器均可用来测试FTP服务器。

1. 打开Chrom浏览器，在地址栏中输入ftp://:FTP端口，FTP服务器公网IP地址为ECS服务器的弹性IP地址。
2. 在弹出的对话框中，输入用户名和密码。

1. 登录成功，进行相应权限操作