CentOS7 FTP安装与配置

### CentOS7 FTP安装与配置详解 #### 一、FTP服务简介 FTP(File Transfer Protocol)是一种用于在网络上进行文件传输的标准协议和服务。它支持两种主要的工作模式：主动模式（Active）和被动模式（Passive）。通常情况下，FTP服务器可以分为匿名访问（无需用户名密码即可访问）和认证访问（需要提供用户名密码等信息进行身份验证）。CentOS 7中推荐使用的FTP服务是VSFTPd（Very Secure FTP daemon），因为它具有较高的安全性并且易于配置。 #### 二、FTP安装与基本配置 ##### 1. FTP服务的安装 - **命令**: `yum install -y vsftpd` - 使用`yum`命令安装`vsftpd`服务。 - **开机启动设置** - **命令**: `systemctl enable vsftpd.service` - 设置`vsftpd`服务随系统启动自动启动。 - **启动服务** - **命令**: `systemctl start vsftpd.service` - 启动`vsftpd`服务。 - **停止服务** - **命令**: `systemctl stop vsftpd.service` - 停止`vsftpd`服务。 - **检查服务状态** - **命令**: `systemctl status vsftpd.service` - 检查`vsftpd`服务的状态。 ##### 2. 配置FTP - **编辑配置文件** - **命令**: `vim /etc/vsftpd/vsftpd.conf` - 打开`vsftpd`的主配置文件进行编辑。 - **配置文件关键项解释** - **禁止匿名访问**: `anonymous_enable=NO` - 关闭匿名访问功能，提高安全性。 - **启用创建目录权限**: `anon_mkdir_write_enable=YES` - 允许用户创建目录。 - **上传文件的所有权转移**: `chown_uploads=YES` - 当用户上传文件时，文件的所有权会自动转移到指定的用户或组。 - **异步中断功能**: `async_abor_enable=YES` - 支持异步中断功能，允许客户端在传输过程中取消传输。 - **ASCII模式上传**: `ascii_upload_enable=YES` - **ASCII模式下载**: `ascii_download_enable=YES` - 开启ASCII模式的上传和下载功能，适用于文本文件。 - **欢迎信息**: `ftpd_banner=Welcome to blah FTP service.` - 自定义连接到FTP服务器时的欢迎信息。 - **限制用户在其家目录内活动**: `chroot_local_user=YES` - 限制本地用户只能在其家目录中操作。 - **添加自定义配置** - **命令**: 在`vsftpd.conf`文件末尾添加以下内容 - **使用本地时间**: `use_localtime=YES` - 使用服务器的本地时间。 - **监听端口**: `listen_port=21` - 监听21端口。 - **空闲超时**: `idle_session_timeout=300` - 设置空闲会话的超时时间为300秒。 - **启用虚拟用户**: `guest_enable=YES` - 启用虚拟用户支持。 - **虚拟用户的用户名**: `guest_username=vsftpd` - 设置虚拟用户的默认用户名。 - **用户配置文件路径**: `user_config_dir=/etc/vsftpd/vconf` - 指定每个虚拟用户的特定配置文件的位置。 - **数据连接超时**: `data_connection_timeout=1` - 设置数据连接的超时时间为1秒。 - **启用虚拟用户使用本地权限**: `virtual_use_local_privs=YES` - 允许虚拟用户使用本地权限。 - **被动模式下最小端口号**: `pasv_min_port=40000` - 被动模式下最小端口号。 - **被动模式下最大端口号**: `pasv_max_port=40010` - 被动模式下最大端口号。 - **接受超时**: `accept_timeout=5` - 设置接受连接的超时时间为5秒。 - **连接超时**: `connect_timeout=1` - 设置连接超时时间为1秒。 - **允许写入受限目录**: `allow_writeable_chroot=YES` - 允许在受限的家目录中进行写入操作。 #### 三、建立虚拟用户和配置 ##### 1. 创建虚拟用户文件 - **命令**: `vim /etc/vsftpd/virtusers` - 创建一个虚拟用户列表文件。 - **示例内容**: - 用户名和密码格式如下: ``` uftp 12345 ``` - 注意不要使用`root`作为用户名。 ##### 2. 生成用户数据文件 - **命令**: `db_load -T -t hash -f /etc/vsftpd/virtusers /etc/vsftpd/virtusers.db` - 使用`db_load`工具根据`virtusers`文件创建哈希数据库。 - **权限设置**: `chmod 600 /etc/vsftpd/virtusers.db` - 设置数据库文件权限。 ##### 3. 修改PAM认证文件 - **备份原文件**: `cp /etc/pam.d/vsftpd /etc/pam.d/vsftpd.bak` - 备份原有的`vsftpd`配置文件。 - **编辑PAM文件**: `vi /etc/pam.d/vsftpd` - 注释掉原有`auth`和`account`配置行。 - 添加新的PAM配置行: - `auth sufficient /lib64/security/pam_userdb.so db=/etc/vsftpd/virtusers` - `account sufficient /lib64/security/pam_userdb.so db=/etc/vsftpd/virtusers` ##### 4. 创建系统用户vsftpd - **命令**: `useradd vsftpd -d /home/vsftpd -s /bin/false` - 创建系统用户`vsftpd`，并设置其家目录和不可登录的shell。 ##### 5. 创建虚拟用户的个人配置文件 - **命令**: `mkdir /etc/vsftpd/vconf` - 创建虚拟用户配置目录。 - **命令**: `touch /etc/vsftpd/vconf/uftp` - 创建虚拟用户`uftp`的配置文件。 - **配置文件内容**: - 示例配置: ``` local_root=/home/vsftpd/uftp/ write_enable=YES anon_world_readable_only=NO anon_upload_enable=YES anon_mkdir_write_enable=YES anon_other_write_enable=YES ``` - **命令**: `mkdir -p /home/vsftpd/uftp/` - 创建虚拟用户`uftp`的根目录。 - **命令**: `chmod 777 -R /home/vsftpd/uftp/` - 设置用户目录权限。 #### 四、防火墙设置 - **命令**: `vi /etc/sysconfig/iptables` - 编辑防火墙规则文件。 - **添加规则**: - 在规则列表中添加以下规则以允许FTP流量通过: ``` -A INPUT -p tcp --dport 21 -j ACCEPT -A INPUT -p tcp --dport 40000:40010 -j ACCEPT ``` - 第一条规则允许TCP流量通过21端口。 - 第二条规则允许TCP流量通过被动模式的端口范围。 通过以上步骤，您可以成功地在CentOS 7上安装并配置一个基本的FTP服务。需要注意的是，在实际部署过程中还需要考虑更多的安全性和性能优化措施，例如使用更复杂的密码策略、定期更新软件包以及监控日志等。