前言：在數(shù)據(jù)傳輸安全方面，被動(dòng)模式安全性更高，且ftp連接工具都是默認(rèn)被動(dòng)模式；在網(wǎng)絡(luò)安全方面，則是主動(dòng)模式安全性更高。

安裝vsftpd和ftp連接工具

yum -y install vsftpd ftp

修改vsftpd的配置文件

vim /etc/vsftpd/vsftpd.conf

修改：

anonymous_enable=NO //修改為NO
chroot_list_enable=YES //去掉前面的#號(hào)
chroot_list_file=/etc/vsftpd/chroot_list //去掉前面的#號(hào)
ascii_upload_enable=YES //去掉前面的#號(hào)
ascii_download_enable=YES //去掉前面的#號(hào)
local_umask=033 //修改權(quán)限
listen=YES //設(shè)置vsftpd擁有自己的守護(hù)進(jìn)程
listen_ipv6=NO

注意：listen和listen_ipv6不能同時(shí)設(shè)置YES

添加：

pasv_enable=YES #開啟被動(dòng)模式
pasv_min_port=30000 #被動(dòng)模式最小端口
pasv_max_port=40000 #被動(dòng)模式最大端口
pasv_promiscuous=YES #關(guān)閉端口安全檢查
pasv_address=公網(wǎng)IP地址 #局域網(wǎng)搭建忽略此項(xiàng)
allow_writeable_chroot=YES

cmds_allowed=FEAT,REST,CWD,LIST,MDTM,MKD,NLST,PASS,PASV,PORT,PWD,QUIT,RMD,RNFR,RNTO,RETR,SIZE,TYPE,USER,ACCT,STOR,APPE,CDUP,HELP,MODE,NOOP,REIN,STAT,STOU,STRU,SYST

注意：cmds_allowed參數(shù)不能有空格，這里設(shè)置權(quán)限可以上傳，下載，重命名，替換，刪除空文件夾，但不可以刪除文件；為了安全考慮，被動(dòng)模式端口最好大于10000，端口范圍過(guò)小則無(wú)法訪問(wèn)ftp服務(wù)

設(shè)置ftp用戶黑名單（把本地用戶添加到以下兩個(gè)文件）

cut -d : -f 1 /etc/passwd>>/etc/vsftpd/ftpusers
cut -d : -f 1 /etc/passwd>>/etc/vsftpd/user_list

注意：如果只在ftpusers添加，登錄ftp時(shí)會(huì)提示用戶密碼錯(cuò)誤，在user_list添加則會(huì)提示權(quán)限拒絕

建議：兩邊都加

創(chuàng)建ftp用戶（新建的用戶不在黑名單內(nèi)）

useradd -s /sbin/nologin bing //用戶名為bing
passwd bing //設(shè)置密碼

注意：ftp用戶的主目錄默認(rèn)在/home/用戶名/下面

限制ftp用戶不能離開它的home目錄

touch /etc/vsftpd/chroot_list
cut -d : -f 1 /etc/passwd>>/etc/vsftpd/chroot_list

防火墻開放ftp，使系統(tǒng)不用完全關(guān)閉防火墻

firewall-cmd --zone=public --add-port=21/tcp --permanent
firewall-cmd --zone=public --add-port=30000-40000/tcp --permanent
firewall-cmd --add-service=ftp --permanent
firewall-cmd --reload
firewall-cmd --list-services //查看ftp是否開放
firewall-cmd --zone=public --list-ports //查看已開放的端口

注意：還需要在阿里云控制臺(tái)的安全組規(guī)則添加被動(dòng)模式的端口范圍，否則會(huì)導(dǎo)致訪問(wèn)不了ftp服務(wù)

配置selinux 允許ftb訪問(wèn)home和外網(wǎng)訪問(wèn)

getsebool -a | grep ftp //查看setenforce的ftp布爾值
setsebool -P ftpd_full_access on
setsebool -P ftpd_connect_all_unreserved on
setsebool -P ftpd_use_passive_mode on
semanage port -a -t ftp_port_t -p tcp 30000-40000
semanage port -l |grep ftp //查看selinux開啟的ftp端口

注意：如果semanage命令默認(rèn)是沒(méi)有安裝的，報(bào)錯(cuò)運(yùn)行以下命令

yum -y install policycoreutils-python //安裝selinux端口管理工具

設(shè)置home目錄權(quán)限

chmod 777 /home/bing

啟動(dòng)并設(shè)置開機(jī)自啟

service vsftpd start
systemctl enable vsftpd.service

注意：在windows端訪問(wèn)ftp服務(wù)器需要設(shè)置被動(dòng)模式，如下圖所示

附加：ftp的卸載

卸載之前備份文件

mkdir /bak
cp -fr /home/bing/* /bak

卸載ftp

yum remove -y vsftpd

刪除配置文件

rm -fr /etc/vsftpd

刪除ftp用戶

userdel -fr bing

本文轉(zhuǎn)載于：https://www.idaobin.com/archives/181.html