[[191930]]

FTP(文件傳輸協(xié)議)是一種用于通過網絡在服務器和客戶端之間傳輸文件的傳統(tǒng)并廣泛使用的標準工具，特別是在不需要身份驗證的情況下(允許匿名用戶連接到服務器)。我們必須明白，默認情況下 FTP 是不安全的，因為它不加密傳輸用戶憑據(jù)和數(shù)據(jù)。

在本指南中，我們將介紹在 CentOS/RHEL7 和 Fedora 發(fā)行版中安裝、配置和保護 FTP 服務器( VSFTPD 代表 “Very Secure FTP Daemon”)的步驟。

請注意，本指南中的所有命令將以 root 身份運行，如果你不使用 root 帳戶操作服務器，請使用 sudo命令 獲取 root 權限。

步驟 1：安裝 FTP 服務器

1、 安裝 vsftpd 服務器很直接，只要在終端運行下面的命令。

# yum install vsftpd 

2、 安裝完成后，服務先是被禁用的，因此我們需要手動啟動，并設置在下次啟動時自動啟用：

# systemctl start vsftpd 
# systemctl enable vsftpd 

3、 接下來，為了允許從外部系統(tǒng)訪問 FTP 服務，我們需要打開 FTP 守護進程監(jiān)聽的 21 端口：

# firewall-cmd --zone=public --permanent --add-port=21/tcp 
# firewall-cmd --zone=public --permanent --add-service=ftp 
# firewall-cmd --reload 

步驟 2： 配置 FTP 服務器

4、 現(xiàn)在，我們會進行一些配置來設置并加密我們的 FTP 服務器，讓我們先備份一下原始配置文件 /etc/vsftpd/vsftpd.conf：

# cp /etc/vsftpd/vsftpd.conf /etc/vsftpd/vsftpd.conf.orig 

接下來，打開上面的文件，并將下面的選項設置相關的值：

anonymous_enable=NO             ### 禁用匿名登錄 
local_enable=YES        ### 允許本地用戶登錄 
write_enable=YES        ### 允許對文件系統(tǒng)做改動的 FTP 命令 
local_umask=022             ### 本地用戶創(chuàng)建文件所用的 umask 值 
dirmessage_enable=YES           ### 當用戶首次進入一個新目錄時顯示一個消息 
xferlog_enable=YES      ### 用于記錄上傳、下載細節(jié)的日志文件 
connect_from_port_20=YES        ### 使用端口 20 （ftp-data）用于 PORT 風格的連接 
xferlog_std_format=YES          ### 使用標準的日志格式 
listen=NO               ### 不要讓 vsftpd 運行在獨立模式 
listen_ipv6=YES             ### vsftpd 將監(jiān)聽 IPv6 而不是 IPv4 
pam_service_name=vsftpd         ###  vsftpd 使用的 PAM 服務名 
userlist_enable=YES             ### vsftpd 支持載入用戶列表 
tcp_wrappers=YES        ### 使用 tcp wrappers 

5、 現(xiàn)在基于用戶列表文件 /etc/vsftpd.userlist 來配置 FTP 來允許/拒絕用戶的訪問。

默認情況下，如果設置了 userlist_enable=YES，當 userlist_deny 選項設置為 YES 的時候，userlist_file=/etc/vsftpd.userlist 中列出的用戶被拒絕登錄。

然而， 更改配置為 userlist_deny=NO，意味著只有在 userlist_file=/etc/vsftpd.userlist 顯式指定的用戶才允許登錄。

userlist_enable=YES                   ### vsftpd 將從 userlist_file 給出的文件中載入用戶名列表 
userlist_file=/etc/vsftpd.userlist    ### 存儲用戶名的文件 
userlist_deny=NO    

這并不是全部，當用戶登錄到 FTP 服務器時，它們會進入 chroot jail 中，這是僅作為 FTP 會話主目錄的本地根目錄。

接下來，我們將介紹如何將 FTP 用戶 chroot 到 FTP 用戶的家目錄(本地 root)中的兩種可能情況，如下所述。

6、 接下來添加下面的選項來限制 FTP 用戶到它們自己的家目錄。

chroot_local_user=YES 
allow_writeable_chroot=YES 

chroot_local_user=YES 意味著用戶可以設置 chroot jail，默認是登錄后的家目錄。

同樣默認的是，出于安全原因，vsftpd 不會允許 chroot jail 目錄可寫，然而，我們可以添加 allow_writeable_chroot=YES 來覆蓋這個設置。

保存并關閉文件。

步驟 3： 用 SELinux 加密 FTP 服務器

7、現(xiàn)在，讓我們設置下面的 SELinux 布爾值來允許 FTP 能讀取用戶家目錄下的文件。請注意，這原本是使用以下命令完成的：

# setsebool -P ftp_home_dir on 

然而，由于這個 bug 報告：https://bugzilla.redhat.com/show_bug.cgi?id=1097775，ftp_home_dir 指令默認是禁用的。

現(xiàn)在，我們會使用 semanage 命令來設置 SELinux 規(guī)則來允許 FTP 讀取/寫入用戶的家目錄。

# semanage boolean -m ftpd_full_access --on 

這時，我們需要重啟 vsftpd 來使目前的設置生效：

# systemctl restart vsftpd 

步驟 4： 測試 FTP 服務器

8、 現(xiàn)在我們會用 useradd 命令創(chuàng)建一個 FTP 用戶來測試 FTP 服務器。

# useradd -m -c “Ravi Saive, CEO” -s /bin/bash ravi 
# passwd ravi 

之后，我們如下使用 echo 命令添加用戶 ravi 到文件 /etc/vsftpd.userlist 中：

# echo "ravi" | tee -a /etc/vsftpd.userlist 
# cat /etc/vsftpd.userlist 

9、 現(xiàn)在是時候測試我們上面的設置是否可以工作了。讓我們使用匿名登錄測試，我們可以從下面的截圖看到匿名登錄沒有被允許。

# ftp 192.168.56.10 
Connected to 192.168.56.10  (192.168.56.10). 
220 Welcome to TecMint.com FTP service. 
Name (192.168.56.10:root) : anonymous 
530 Permission denied. 
Login failed. 
ftp> 

測試 FTP 匿名登錄

10、 讓我們也測試一下沒有列在 /etc/vsftpd.userlist 中的用戶是否有權限登錄，下面截圖是沒有列入的情況：

# ftp 192.168.56.10 
Connected to 192.168.56.10  (192.168.56.10). 
220 Welcome to TecMint.com FTP service. 
Name (192.168.56.10:root) : aaronkilik 
530 Permission denied. 
Login failed. 
ftp> 

FTP 用戶登錄失敗

11、 現(xiàn)在最后測試一下列在 /etc/vsftpd.userlist 中的用戶是否在登錄后真的進入了他/她的家目錄：

# ftp 192.168.56.10 
Connected to 192.168.56.10  (192.168.56.10). 
220 Welcome to TecMint.com FTP service. 
Name (192.168.56.10:root) : ravi 
331 Please specify the password. 
Password: 
230 Login successful. 
Remote system type is UNIX. 
Using binary mode to transfer files. 
ftp> ls 

用戶成功登錄

警告：使用 allow_writeable_chroot=YES 有一定的安全隱患，特別是用戶具有上傳權限或 shell 訪問權限時。

只有當你完全知道你正做什么時才激活此選項。重要的是要注意，這些安全性影響并不是 vsftpd 特定的，它們適用于所有提供了將本地用戶置于 chroot jail 中的 FTP 守護進程。

因此，我們將在下一節(jié)中看到一種更安全的方法來設置不同的不可寫本地根目錄。

步驟 5： 配置不同的 FTP 家目錄

12、 再次打開 vsftpd 配置文件，并將下面不安全的選項注釋掉：

#allow_writeable_chroot=YES 

接著為用戶(ravi，你的可能不同)創(chuàng)建另外一個替代根目錄，并將所有用戶對該目錄的可寫權限移除：

# mkdir /home/ravi/ftp 
# chown nobody:nobody /home/ravi/ftp 
# chmod a-w /home/ravi/ftp 

13、 接下來，在用戶存儲他/她的文件的本地根目錄下創(chuàng)建一個文件夾：

# mkdir /home/ravi/ftp/files 
# chown ravi:ravi  /home/ravi/ftp/files 
# chmod 0700 /home/ravi/ftp/files/ 

接著在 vsftpd 配置文件中添加/修改這些選項：

user_sub_token=$USER         ### 在本地根目錄下插入用戶名 
local_root=/home/$USER/ftp   ### 定義任何用戶的本地根目錄 

保存并關閉文件。再說一次，有新的設置后，讓我們重啟服務：

# systemctl restart vsftpd 

14、 現(xiàn)在最后在測試一次查看用戶本地根目錄就是我們在他的家目錄創(chuàng)建的 FTP 目錄。

# ftp 192.168.56.10 
Connected to 192.168.56.10  (192.168.56.10). 
220 Welcome to TecMint.com FTP service. 
Name (192.168.56.10:root) : ravi 
331 Please specify the password. 
Password: 
230 Login successful. 
Remote system type is UNIX. 
Using binary mode to transfer files. 
ftp> ls 

FTP 用戶家目錄登錄成功

就是這樣了!在本文中，我們介紹了如何在 CentOS 7 中安裝、配置以及加密的 FTP 服務器，使用下面的評論欄給我們回復，或者分享關于這個主題的任何有用信息。

建議閱讀： 在 RHEL/CentOS 7 上安裝 ProFTPD 服務器

在下一篇文章中，我們還將向你介紹如何在 CentOS 7 中保護使用 SSL/TLS連接的 FTP 服務器，再此之前，請繼續(xù)關注 TecMint。