天翼云主机部署配置ftp服务详解

大家知道在服务器上上传下载文件有很多种方案比如最著名的ftp协议，或者安装lrzsz,这款工具比ftp服务安装配置要简单很多，今天我主要介绍ftp服务在centos7下的安装配置，首先来回顾一下ftp服务的两种工作模式：

一、ftp工作模式

ftp协议是tcp协议，有两个端口可以控制：

tcp 20用于数据传输

tcp 21用于控制或建立tcp连接

模式一（PORT模式又叫主动模式）

FTP服务器“主动”去连接客户端的数据端口，具体就是：客户端从一个端口N（N>1024）连接到FTP服务器的命令端口tcp 21，紧接着客户端开始监听端口N+1，并发送FTP命令“port N+1”到FTP服务器。然后服务器从数据端口（tcp 20）“主动”连接到客户端指定的数据端口（N+1），客户端就可和ftp服务器建立数据传输通道了。这里面的关键是主动模式的主动指的是服务器主动连接客户端建立数据传输通道。

主动模式服务器端需要开放tcp20，21两个端口

C代表客户端，S代表服务器

• S打开端口20和21
• C用一个随机端口连接到S的端口21，该端口可以在1024到65536之间，它将端口+ x同时发送到服务器以指定C（X）-> S（21）
• 当S收到命令时，它将发送回ACK，S（21）-> C（X）
• S将在其端口20和客户端的X + 1之间建立连接，S（20）-> C（X + 1）
• C回应ACK，C（X + 1）-> S（20）

模式二（PASV模式又叫被动模式）

FTP服务器“被动”等待客户端来连接自己的数据端口，具体是：当开启一个FTP连接时，客户端打开两个任意的非特权本地端口（N >1024和N+1）。第一个端口连接服务器的21端口，客户端向服务器提交PASV命令，服务器收到会开启一个任意的非特权端口（P > 1024），并发送PORT P命令给客户端。然后客户端发起从本地端口N+1到服务器的端口P的连接用来传送数据。

被动模式下服务器需要开发21端口及用于让客户端建立数据通道的非特权端口就是大于1024的其它tcp端口，可以人工指定端口范围。

FTP工具或者浏览器默认使用的都是PASV模式连接FTP服务器

C代表客户端，S代表服务器

• S打开端口21和大于1024的TCP端口
• C使用一个随机端口连接到S的端口21，此随机端口的范围从1024到65535，它将发送命令PASV，C（X）-> S（21）
• S接收命令并响应ACK，并指定新端口y，S（21）-> C（x）
• C使用端口x + 1启动与S的y端口的连接。C（x + 1）-> S（y）
• S返回一个ACK，S（y）-> C（x + 1）

二、安装ftp服务器

yum install vsftpd -y

在操作系统中安装ftp服务。

# systemctl start vsftpd
# systemctl enable vsftpd

三、配置ftp服务

首先备份默认配置文件

cp /etc/vsftpd/vsftpd.conf /etc/vsftpd/vsftpd.conf.orig

修改配置文件

vi /etc/vsftpd/vsftpd.conf

anonymous_enable=NO             # 禁用匿名用户登陆
local_enable=YES		# permit local logins
write_enable=YES		# 启用更改文件系统的ftp命令
local_umask=022		        # 为本地用户创建文件的umask值
dirmessage_enable=YES	        # enable showing of messages when users first enter a new directory
xferlog_enable=YES		# 启用上传、下载的日志功能，默认存储位置/var/log/xferlog
xferlog_std_format=YES          # keep standard log file format
listen=NO   			# prevent vsftpd from running in standalone mode
listen_ipv6=YES		        # vsftpd will listen on an IPv6 socket instead of an IPv4 one
pam_service_name=vsftpd         # name of the PAM service vsftpd will use
userlist_enable=YES  	        # 使用vsftpd加载一个用户列表，该列表中的用户可以登陆
userlist_deny=NO                # 默认在user_list列表中的用户不允许登陆，这条指允许列表中的用户登陆
tcp_wrappers=YES  		# turn on tcp wrappers
chroot_local_user=YES           # 限定登陆用户在其主目录下，不允许跳出到其它目录
allow_writeable_chroot=YES      # 与上面限定用户主目录配合开启
#主动模式配置
connect_from_port_20=YES # use port 20 (ftp-data) on the server machine for PORT style connections#被动模式配置
connect_from_port_20=NO
pasv_enable=yes
pasv_max_port=6010
pasv_min_port=6000

如果userlist_enable = YES，则userlist_file=/etc/vsftpd.userlist拒绝其中列出的用户的userlist_deny选项设置为YES的登录访问。userlist_deny = NO会更改设置，这意味着仅允许在userlist_file = / etc / vsftpd.userlist中明确列出的用户登录。

四、配置网络防火墙与selinux

# firewall-cmd --zone=public --permanent --add-port=21/tcp
# firewall-cmd --zone=public --permanent --add-service=ftp
# firewall-cmd --reload
设置SELinux允许FTP读取/写入用户的主目录
＃semanage boolean -m ftpd_full_access --on
或者直接修改/etc/selinux/config文件直接禁用selinux，但是这样不安全，不建议使用。

五、配置ftp用户及用户目录权限

1、操作系统添加ftp登陆用户

useradd ftpuser -d /home/ftpuser -s /bin/false

chown ftpuser:ftpuser /home/ftpuser -R

passwd ftpuser

echo "ftpuser" | tee -a /etc/vsftpd/user_list

2、配置ftp用户目录权限

mkdir -p /home/ftpuser/ftp/upload

chmod 750 /home/ftpuser/ftp/upload

chown ftpuser /home/ftpuser/ftp/upload

chgrp ftpuser /home/ftpuser/ftp/upload

六、windows下安装图形化ftp客户端

下载安装图形化ftp工具filezilla，该款工具是免费软件。

下载链接如下

https://dl1.cdn.filezilla-project.org/client/FileZilla_3.45.1_win64.zip?h=O-8RxU9Mb0rxL-25bMES6A&x=1571107684

七、测试ftp服务

1、本地测试

ftp localhost

2、远程通过图形终端测试