百度360必应搜狗淘宝本站头条
tomcat 乱码无法与服务器建立安全连接是什么意思sysv-rc-confdocker映射容器目录到宿主机internet explorer 增强的安全配置已启用
当前位置:网站首页 > 技术文章 > 正文

在Linux系统部署vsftpd文件服务器

nanshan 2025-03-26 14:37 14 浏览 0 评论


在Linux中部署VSFTPD时,需确保正确设置被动端口范围和防火墙规则。

1. 安装VSFTPD

sudo yum install vsftpd

2. 配置被动模式

编辑配置文件 /etc/vsftpd.conf

sudo nano /etc/vsftpd.conf


以下是对 VSFTPD 核心配置参数的详细解析,涵盖常见场景和安全优化建议。建议结合实际需求调整 /etc/vsftpd.conf 文件。

基础连接与权限

参数

说明

示例值

listen=YES

以独立守护进程模式运行(IPv4)。

YES

listen_ipv6=NO

禁用IPv6监听(若未使用IPv6)。

NO

anonymous_enable

允许匿名用户访问(默认禁用)。强烈建议关闭

NO

local_enable

允许本地用户登录(需系统用户)。

YES

write_enable

允许文件写入(上传/删除)。

YES

local_umask

本地用户上传文件的默认权限(如 022 对应 755)。

022

目录限制与安全

参数

说明

示例值

chroot_local_user=YES

将本地用户限制在其主目录(需配合其他参数)。

YES

allow_writeable_chroot=YES

允许被限制的用户在其主目录中写入(避免权限冲突)。

YES

user_sub_token

动态用户目录(结合 local_root 使用变量 $USER)。

local_root=/var/ftp/$USER

userlist_enable

启用用户列表(userlist_file 指定文件)。

YES

userlist_deny=NO

仅允许 userlist_file 中的用户登录(白名单模式)。

NO

被动模式(PASV)配置

参数

说明

示例值

pasv_enable=YES

启用被动模式(客户端通过随机端口连接数据)。

YES

pasv_min_port

被动模式最小端口号(需与防火墙配合)。

10000

pasv_max_port

被动模式最大端口号(范围建议 1000 以内)。

10100

pasv_address

服务器公网IP(若在NAT后,需指定客户端连接的IP)。

203.203.203.203

日志与性能

参数

说明

示例值

xferlog_enable=YES

启用传输日志(记录上传/下载操作)。

YES

xferlog_file

指定日志文件路径。

/var/log/vsftpd.log

dual_log_enable

同时生成两种格式的日志(兼容性)。

NO

max_clients

最大并发连接数(防DDoS)。

50

max_per_ip

单IP最大并发连接数。

5

高级安全选项

参数

说明

示例值

ssl_enable

启用SSL/TLS加密(需证书)。

YES

rsa_cert_file

SSL证书路径(需自行生成或购买)。

/etc/ssl/certs/vsftpd.pem

require_ssl_reuse=NO

禁用SSL会话重用(增强安全性)。

NO

tcp_wrappers=YES

通过 /etc/hosts.allow 和 hosts.deny 控制访问。

YES

其他实用参数

参数

说明

示例值

idle_session_timeout

空闲会话超时时间(秒)。

300

data_connection_timeout

数据传输超时时间(秒)。

120

anon_upload_enable

允许匿名用户上传(需 write_enable=YES)。

NO

anon_mkdir_write_enable

允许匿名用户创建目录。

NO

配置文件示例

# 基础配置
listen=YES
anonymous_enable=NO
local_enable=YES
write_enable=YES
local_umask=022
dirmessage_enable=YES
xferlog_enable=YES
connect_from_port_20=YES

# 安全限制
chroot_local_user=YES
allow_writeable_chroot=YES
userlist_enable=YES
userlist_file=/etc/vsftpd.user_list
userlist_deny=NO

# 被动模式
pasv_enable=YES
pasv_min_port=10000
pasv_max_port=10100
pasv_address=203.0.113.5

# SSL加密
ssl_enable=YES
rsa_cert_file=/etc/ssl/certs/vsftpd.pem
rsa_private_key_file=/etc/ssl/private/vsftpd.key
force_local_data_ssl=YES
force_local_logins_ssl=YES

关键配置项

# 启用被动模式
pasv_enable=YES

# 指定被动模式端口范围(例如10000-10100)
pasv_min_port=10000
pasv_max_port=10100

# 如果服务器位于NAT/防火墙后,需指定公网IP(客户端连接的IP)
pasv_address=你的公网IP地址   
# 例如:pasv_address=203.203.203.203

# 本地用户相关配置
local_enable=YES
write_enable=YES
chroot_local_user=YES
allow_writeable_chroot=YES

3. 防火墙配置

开放FTP控制端口(21)和被动端口范围:

sudo firewall-cmd --permanent --add-port=21/tcp
sudo firewall-cmd --permanent --add-port=10000-10100/tcp
sudo firewall-cmd --reload

4. 处理SELinux

允许FTP服务使用非标准端口:

sudo setsebool -P ftpd_use_passive_mode on
sudo semanage port -a -t ftp_port_t -p tcp 10000-10100

5. 重启VSFTPD服务

sudo systemctl restart vsftpd
# 设置开机自启
sudo systemctl enable vsftpd

6. 测试被动模式

使用FTP客户端(如FileZilla)测试连接,确保客户端模式为 Passive (PASV)。或通过命令行测试:

#创建ftp本地用户
sudo useradd -s /sbin/nologin -d /var/ftpdata -g ftptest ftptest
#创建用户密码
sudo passwd ftptest
#连接FTP服务器
ftp://服务器IP
ftp -u 用户名,密码 
# 输入 `ls` 测试数据传输

常见问题排查

  • 连接超时或无法传输数据
  • 检查防火墙是否开放了被动端口范围(10000-10100)。
  • 确认 pasv_address 设置为服务器的公网IP(如果服务器在NAT后)。
  • SELinux阻止访问:
  • 临时禁用SELinux测试:sudo setenforce 0(生产环境不推荐)
  • 日志查看:
  • sudo tail -f /var/log/vsftpd.log

安全建议

  • 禁用匿名访问:设置 anonymous_enable=NO
  • 限制用户目录:通过 chroot_local_user=YES 防止用户访问上级目录
  • 使用TLS加密配置SSL/TLS以增强安全性(需生成证书,可以使用openssl生成自签名证书)。

相关推荐

0722-6.2.0-如何在RedHat7.2使用rpm安装CDH(无CM)

文档编写目的在前面的文档中,介绍了在有CM和无CM两种情况下使用rpm方式安装CDH5.10.0,本文档将介绍如何在无CM的情况下使用rpm方式安装CDH6.2.0,与之前安装C5进行对比。环境介绍:...

ARM64 平台基于 openEuler + iSula 环境部署 Kubernetes

为什么要在arm64平台上部署Kubernetes,而且还是鲲鹏920的架构。说来话长。。。此处省略5000字。介绍下系统信息;o架构:鲲鹏920(Kunpeng920)oOS:ope...

生产环境starrocks 3.1存算一体集群部署

集群规划FE:节点主要负责元数据管理、客户端连接管理、查询计划和查询调度。>3节点。BE:节点负责数据存储和SQL执行。>3节点。CN:无存储功能能的BE。环境准备CPU检查JDK...

在CentOS上添加swap虚拟内存并设置优先级

现如今很多云服务器都会自己配置好虚拟内存,当然也有很多没有配置虚拟内存的,虚拟内存可以让我们的低配服务器使用更多的内存,可以减少很多硬件成本,比如我们运行很多服务的时候,内存常常会满,当配置了虚拟内存...

国产深度(deepin)操作系统优化指南

1.升级内核随着deepin版本的更新,会自动升级系统内核,但是我们依旧可以通过命令行手动升级内核,以获取更好的性能和更多的硬件支持。具体操作:-添加PPAs使用以下命令添加PPAs:```...

postgresql-15.4 多节点主从(读写分离)

1、下载软件[root@TX-CN-PostgreSQL01-252software]#wgethttps://ftp.postgresql.org/pub/source/v15.4/postg...

Docker 容器 Java 服务内存与 GC 优化实施方案

一、设置Docker容器内存限制(生产环境建议)1.查看宿主机可用内存bashfree-h#示例输出(假设宿主机剩余16GB可用内存)#Mem:64G...

虚拟内存设置、解决linux内存不够问题

虚拟内存设置(解决linux内存不够情况)背景介绍  Memory指机器物理内存,读写速度低于CPU一个量级,但是高于磁盘不止一个量级。所以,程序和数据如果在内存的话,会有非常快的读写速度。但是,内存...

Elasticsearch性能调优(5):服务器配置选择

在选择elasticsearch服务器时,要尽可能地选择与当前业务量相匹配的服务器。如果服务器配置太低,则意味着需要更多的节点来满足需求,一个集群的节点太多时会增加集群管理的成本。如果服务器配置太高,...

Es如何落地

一、配置准备节点类型CPU内存硬盘网络机器数操作系统data节点16C64G2000G本地SSD所有es同一可用区3(ecs)Centos7master节点2C8G200G云SSD所有es同一可用区...

针对Linux内存管理知识学习总结

现在的服务器大部分都是运行在Linux上面的,所以,作为一个程序员有必要简单地了解一下系统是如何运行的。对于内存部分需要知道:地址映射内存管理的方式缺页异常先来看一些基本的知识,在进程看来,内存分为内...

MySQL进阶之性能优化

概述MySQL的性能优化,包括了服务器硬件优化、操作系统的优化、MySQL数据库配置优化、数据库表设计的优化、SQL语句优化等5个方面的优化。在进行优化之前,需要先掌握性能分析的思路和方法,找出问题,...

Linux Cgroups(Control Groups)原理

LinuxCgroups(ControlGroups)是内核提供的资源分配、限制和监控机制,通过层级化进程分组实现资源的精细化控制。以下从核心原理、操作示例和版本演进三方面详细分析:一、核心原理与...

linux 常用性能优化参数及理解

1.优化内核相关参数配置文件/etc/sysctl.conf配置方法直接将参数添加进文件每条一行.sysctl-a可以查看默认配置sysctl-p执行并检测是否有错误例如设置错了参数:[roo...

如何在 Linux 中使用 Sysctl 命令?

sysctl是一个用于配置和查询Linux内核参数的命令行工具。它通过与/proc/sys虚拟文件系统交互,允许用户在运行时动态修改内核参数。这些参数控制着系统的各种行为,包括网络设置、文件...

取消回复欢迎 发表评论:

一周热门
最近发表
标签列表