基於ECS搭建FTP服務（阿里雲）

介紹

介紹瞭如何在Linux實例上安裝並配置vsftpd。

背景知識

本場景主要涉及如下雲產品和服務：

雲服務器ECS
雲服務器（Elastic Compute Service，簡稱ECS）是阿里雲提供的性能卓越、穩定可靠、彈性擴展的IaaS（Infrastructure as a Service）級別雲計算服務。雲服務器ECS免去了您採購IT硬件的前期準備，讓您像使用水、電、自然氣等公共資源同樣便捷、高效地使用服務器，實現計算資源的即開即用和彈性伸縮。阿里雲ECS持續提供創新型服務器，解決多種業務需求，助力您的業務發展。

FTP
FTP（File Transfer Protocol，文件傳輸協議） 是 TCP/IP 協議組中的協議之一。FTP協議包括兩個組成部分，其一爲FTP服務器，其二爲FTP客戶端。其中FTP服務器用來存儲文件，用戶可使用FTP客戶端經過FTP協議訪問位於FTP服務器上的資源。在開發網站的時候，一般利用FTP協議把網頁或程序傳到Web服務器上。此外，因爲FTP傳輸效率很是高，在網絡上傳輸大的文件時，通常也採用該協議。

默認狀況下FTP協議使用TCP端口中的 20和21這兩個端口，其中20用於傳輸數據，21用於傳輸控制信息。可是，是否使用20做爲傳輸數據的端口與FTP使用的傳輸模式有關，若是採用主動模式，那麼數據傳輸端口就是20；若是採用被動模式，則具體最終使用哪一個端口要服務器端和客戶端協商決定。

vsftpd
vsftpd（very secure FTP daemon）是一款在Linux發行版中最受推崇的FTP服務器。它能夠運行在諸如 Linux、BSD、Solaris、 HP-UNIX等系統上面，是一個徹底免費的、開放源代碼的ftp服務器軟件，支持不少其餘的 FTP 服務器所不支持的特徵。好比：很是高的安全性需求、帶寬限制、良好的可伸縮性、可建立虛擬用戶、支持IPv六、速率高等。

場景體驗

如下地址是阿里雲體驗實驗室提供的一臺配置了CentOS 7.7的ECS實例（雲服務器）並配置了彈性公網IP。您能夠參考本教程的操做快速搭建FTP服務。
阿里雲 場景資源：
https://developer.aliyun.com/adc/scenario/74b64efe414c47fbaf305957a7fb458b

步驟一：安裝vsftpd

1.運行如下命令安裝vsftpd。

yum install -y vsftpd

返回以下圖所示界面時，表示安裝成功。

2.運行如下命令設置FTP服務開機自啓動。

systemctl enable vsftpd.service

3.啓動FTP服務。

systemctl start vsftpd.service

4.運行如下命令查看FTP服務監聽的端口。

netstat -antup | grep ftp

出現以下圖所示界面，表示FTP服務已啓動，監聽的端口號爲21。此時，vsftpd默認已開啓匿名訪問功能，您無需輸入用戶名密碼便可登陸FTP服務器，但沒有修改或上傳文件的權限。

步驟二：配置vsftpd

vsftpd（very secure FTP daemon）是一款在Linux發行版中最受推崇的FTP服務器。vsftpd支持匿名訪問和本地用戶模式兩種訪問方式。匿名訪問方式任何用戶均可以訪問搭建的FTP服務；本地用戶模式只支持添加的本地用戶訪問搭建的FTP服務。

說明：匿名用戶模式和本地用戶模式只可同時配置一種。

• 匿名用戶模式

a.修改配置文件vsftpd.conf。

vim /etc/vsftpd/vsftpd.conf

按i鍵進入編輯模式，將匿名上傳權限
anon_upload_enable=YES的註釋解開。

b.按ESC鍵退出編輯模式，輸入:wq保存並退出vim。
c.更改/var/ftp/pub目錄的權限，爲FTP用戶添加寫權限。

chmod o+w /var/ftp/pub/

d.重啓FTP服務。

systemctl restart vsftpd.service

• 本地用戶模式

a.爲FTP服務建立一個Linux用戶。

adduser ftptest

爲用戶設置密碼。

passwd ftptest

b.建立一個供FTP服務使用的文件目錄。

mkdir /var/ftp/test

c.更改/var/ftp/test目錄的擁有者爲ftptest。

chown -R ftptest:ftptest /var/ftp/test

d.修改vsftpd.conf配置文件。

• 配置FTP爲主動模式請執行以下命令。

sed -i 's/anonymous_enable=YES/anonymous_enable=NO/' /etc/vsftpd/vsftpd.conf #禁止匿名登陸FTP服務器
sed -i 's/listen=NO/listen=YES/' /etc/vsftpd/vsftpd.conf                     #監聽IPv4 sockets
sed -i 's/listen_ipv6=YES/#listen_ipv6=YES/' /etc/vsftpd/vsftpd.conf         #關閉監聽IPv6 sockets
sed -i 's/#chroot_local_user=YES/chroot_local_user=YES/' /etc/vsftpd/vsftpd.conf #所有用戶被限制在主目錄
sed -i 's/#chroot_list_enable=YES/chroot_list_enable=YES/' /etc/vsftpd/vsftpd.conf #啓用例外用戶名單
sed -i 's/#chroot_list_file=/chroot_list_file=/' /etc/vsftpd/vsftpd.conf #指定例外用戶列表文件，列表中的用戶不被鎖定在主目錄
echo "allow_writeable_chroot=YES" >> /etc/vsftpd/vsftpd.conf
echo "local_root=/var/ftp/test" >> /etc/vsftpd/vsftpd.conf #設置本地用戶登陸後所在的目錄

配置FTP爲被動模式請執行以下命令。

sed -i 's/anonymous_enable=YES/anonymous_enable=NO/' /etc/vsftpd/vsftpd.conf #禁止匿名登陸FTP服務器
sed -i 's/listen=NO/listen=YES/' /etc/vsftpd/vsftpd.conf                     #監聽IPv4 sockets
sed -i 's/listen_ipv6=YES/#listen_ipv6=YES/' /etc/vsftpd/vsftpd.conf         #關閉監聽IPv6 sockets
sed -i 's/#chroot_local_user=YES/chroot_local_user=YES/' /etc/vsftpd/vsftpd.conf #所有用戶被限制在主目錄
sed -i 's/#chroot_list_enable=YES/chroot_list_enable=YES/' /etc/vsftpd/vsftpd.conf #啓用例外用戶名單
sed -i 's/#chroot_list_file=/chroot_list_file=/' /etc/vsftpd/vsftpd.conf #指定例外用戶列表文件，列表中的用戶不被鎖定在主目錄
echo "allow_writeable_chroot=YES" >> /etc/vsftpd/vsftpd.conf
echo "local_root=/var/ftp/test" >> /etc/vsftpd/vsftpd.conf #設置本地用戶登陸後所在的目錄

echo "pasv_enable=YES" >> /etc/vsftpd/vsftpd.conf #開啓被動模式
echo "pasv_address=<FTP服務器公網IP地址>" >> /etc/vsftpd/vsftpd.conf #本教程中爲Linux實例公網IP
echo "pasv_min_port=20" >> /etc/vsftpd/vsftpd.conf #設置被動模式下，創建數據傳輸可以使用的端口範圍的最小值
echo "pasv_max_port=1000" >> /etc/vsftpd/vsftpd.conf #設置被動模式下，創建數據傳輸可以使用的端口範圍的最大值

e.在/etc/vsftpd目錄下建立chroot_list文件，並在文件中寫入例外用戶名單。

#使用vim命令編輯chroot_list文件，添加例外用戶名單。此名單中的用戶不會被鎖定在主目錄，能夠訪問其餘目錄。
vim /etc/vsftpd/chroot_list

說明:沒有例外用戶時，也必須建立chroot_list文件，內容可爲空。
f.重啓FTP服務。

systemctl restart vsftpd.service

步驟三：配置安全組

搭建好FTP服務後，在ECS實例安全組的入方向添加規則並放行下列FTP端口。

說明：大多數客戶端位於局域網中，IP地址是通過轉換的，所以ipconfig或ifconfig命令返回的IP不必定是客戶端的真實公網IP地址。若後續客戶端沒法登陸FTP服務器，請從新確認其公網IP地址。
1.在體驗平臺體驗頁面，單擊一鍵複製登陸url，輸入已建立的子帳號用戶名和密碼登陸ECS控制檯。

2.在左側導航欄，單擊網絡與安全>安全組。

3.選擇須要配置的安全組，在操做列中，單擊配置規則。

4.選擇安全組規則的規則方向，單擊入方向>添加安全組規則。具體配置以下圖：添加安全組

步驟四：客戶端測試

FTP客戶端、Windows命令行工具或瀏覽器都可用來測試FTP服務器。

說明：使用瀏覽器訪問FTP服務器出錯時，建議您清除瀏覽器緩存後再嘗試。
1.打開Chrom瀏覽器，在地址欄中輸入ftp://<FTP服務器公網IP地址>:FTP端口，本教程中爲Linux實例的公網IP地址。例如：ftp://139.0.0.1:21。
2.在彈出的對話框中，輸入用戶名和密碼，便可對FTP文件進行相應權限的操做。
說明：匿名模式無需進項登陸操做。
登陸界面相似以下：

登陸界面登錄成功界面相似以下：

節選自阿里雲體驗實驗室
原文：
https://developer.aliyun.com/...