百度360必应搜狗淘宝本站头条
tomcat 乱码无法与服务器建立安全连接是什么意思sysv-rc-confdocker映射容器目录到宿主机internet explorer 增强的安全配置已启用
当前位置:网站首页 > 技术文章 > 正文

在Linux系统部署vsftpd文件服务器

nanshan 2025-03-26 14:37 11 浏览 0 评论


在Linux中部署VSFTPD时,需确保正确设置被动端口范围和防火墙规则。

1. 安装VSFTPD

sudo yum install vsftpd

2. 配置被动模式

编辑配置文件 /etc/vsftpd.conf

sudo nano /etc/vsftpd.conf


以下是对 VSFTPD 核心配置参数的详细解析,涵盖常见场景和安全优化建议。建议结合实际需求调整 /etc/vsftpd.conf 文件。

基础连接与权限

参数

说明

示例值

listen=YES

以独立守护进程模式运行(IPv4)。

YES

listen_ipv6=NO

禁用IPv6监听(若未使用IPv6)。

NO

anonymous_enable

允许匿名用户访问(默认禁用)。强烈建议关闭

NO

local_enable

允许本地用户登录(需系统用户)。

YES

write_enable

允许文件写入(上传/删除)。

YES

local_umask

本地用户上传文件的默认权限(如 022 对应 755)。

022

目录限制与安全

参数

说明

示例值

chroot_local_user=YES

将本地用户限制在其主目录(需配合其他参数)。

YES

allow_writeable_chroot=YES

允许被限制的用户在其主目录中写入(避免权限冲突)。

YES

user_sub_token

动态用户目录(结合 local_root 使用变量 $USER)。

local_root=/var/ftp/$USER

userlist_enable

启用用户列表(userlist_file 指定文件)。

YES

userlist_deny=NO

仅允许 userlist_file 中的用户登录(白名单模式)。

NO

被动模式(PASV)配置

参数

说明

示例值

pasv_enable=YES

启用被动模式(客户端通过随机端口连接数据)。

YES

pasv_min_port

被动模式最小端口号(需与防火墙配合)。

10000

pasv_max_port

被动模式最大端口号(范围建议 1000 以内)。

10100

pasv_address

服务器公网IP(若在NAT后,需指定客户端连接的IP)。

203.203.203.203

日志与性能

参数

说明

示例值

xferlog_enable=YES

启用传输日志(记录上传/下载操作)。

YES

xferlog_file

指定日志文件路径。

/var/log/vsftpd.log

dual_log_enable

同时生成两种格式的日志(兼容性)。

NO

max_clients

最大并发连接数(防DDoS)。

50

max_per_ip

单IP最大并发连接数。

5

高级安全选项

参数

说明

示例值

ssl_enable

启用SSL/TLS加密(需证书)。

YES

rsa_cert_file

SSL证书路径(需自行生成或购买)。

/etc/ssl/certs/vsftpd.pem

require_ssl_reuse=NO

禁用SSL会话重用(增强安全性)。

NO

tcp_wrappers=YES

通过 /etc/hosts.allow 和 hosts.deny 控制访问。

YES

其他实用参数

参数

说明

示例值

idle_session_timeout

空闲会话超时时间(秒)。

300

data_connection_timeout

数据传输超时时间(秒)。

120

anon_upload_enable

允许匿名用户上传(需 write_enable=YES)。

NO

anon_mkdir_write_enable

允许匿名用户创建目录。

NO

配置文件示例

# 基础配置
listen=YES
anonymous_enable=NO
local_enable=YES
write_enable=YES
local_umask=022
dirmessage_enable=YES
xferlog_enable=YES
connect_from_port_20=YES

# 安全限制
chroot_local_user=YES
allow_writeable_chroot=YES
userlist_enable=YES
userlist_file=/etc/vsftpd.user_list
userlist_deny=NO

# 被动模式
pasv_enable=YES
pasv_min_port=10000
pasv_max_port=10100
pasv_address=203.0.113.5

# SSL加密
ssl_enable=YES
rsa_cert_file=/etc/ssl/certs/vsftpd.pem
rsa_private_key_file=/etc/ssl/private/vsftpd.key
force_local_data_ssl=YES
force_local_logins_ssl=YES

关键配置项

# 启用被动模式
pasv_enable=YES

# 指定被动模式端口范围(例如10000-10100)
pasv_min_port=10000
pasv_max_port=10100

# 如果服务器位于NAT/防火墙后,需指定公网IP(客户端连接的IP)
pasv_address=你的公网IP地址   
# 例如:pasv_address=203.203.203.203

# 本地用户相关配置
local_enable=YES
write_enable=YES
chroot_local_user=YES
allow_writeable_chroot=YES

3. 防火墙配置

开放FTP控制端口(21)和被动端口范围:

sudo firewall-cmd --permanent --add-port=21/tcp
sudo firewall-cmd --permanent --add-port=10000-10100/tcp
sudo firewall-cmd --reload

4. 处理SELinux

允许FTP服务使用非标准端口:

sudo setsebool -P ftpd_use_passive_mode on
sudo semanage port -a -t ftp_port_t -p tcp 10000-10100

5. 重启VSFTPD服务

sudo systemctl restart vsftpd
# 设置开机自启
sudo systemctl enable vsftpd

6. 测试被动模式

使用FTP客户端(如FileZilla)测试连接,确保客户端模式为 Passive (PASV)。或通过命令行测试:

#创建ftp本地用户
sudo useradd -s /sbin/nologin -d /var/ftpdata -g ftptest ftptest
#创建用户密码
sudo passwd ftptest
#连接FTP服务器
ftp://服务器IP
ftp -u 用户名,密码 
# 输入 `ls` 测试数据传输

常见问题排查

  • 连接超时或无法传输数据
  • 检查防火墙是否开放了被动端口范围(10000-10100)。
  • 确认 pasv_address 设置为服务器的公网IP(如果服务器在NAT后)。
  • SELinux阻止访问:
  • 临时禁用SELinux测试:sudo setenforce 0(生产环境不推荐)
  • 日志查看:
  • sudo tail -f /var/log/vsftpd.log

安全建议

  • 禁用匿名访问:设置 anonymous_enable=NO
  • 限制用户目录:通过 chroot_local_user=YES 防止用户访问上级目录
  • 使用TLS加密配置SSL/TLS以增强安全性(需生成证书,可以使用openssl生成自签名证书)。

相关推荐

ssh终端xshell日志查看命令(xshell怎么看日志)

现在我们云服务器运维较多用的是SSH工具,其中常用的包括PUTTY、XSHELL等,其实大同小异界面UI稍微不同,但是都可以进入远程连接。这里有朋友提到如何查看服务器的日志文件,这个其实和是否使用XS...

使用 Fail Ban 日志分析 SSH 攻击行为

通过分析`fail2ban`日志可以识别和应对SSH暴力破解等攻击行为。以下是详细的操作流程和关键分析方法:---###**一、Fail2ban日志位置**Fail2ban的日志路径因系统配置...

如何高效读取Linux日志文件?这些命令要熟记于心!

在Linux系统中,日志文件通常存储在/var/log目录下。比如,/var/log/syslog(或/var/log/messages,视发行版而定)记录系统整体事件,/var/log/a...

Windows服务器远程登录日志查询方法,linux查看登录日志方法

概述本文介绍Windows、Linux服务器查询系统的远程登录日志方法。根据服务器所使用的操作系统不同,有以下两种查询方法。Linux操作系统的登录日志查询通过远程连接登录Linux服务器,使用roo...

iptables防火墙如何记录日志(防火墙日志查看)

例如:记录所有ssh服务的登录的日志首先,我们需要了解如何将所有的iptables的INPUT链数据包记录到/var/log/messages中。如果你已经有一些iptables规则了,那么将记录日志...

如何安全管理SSH密钥以防止服务器被入侵

SSH密钥安全管理实施指南(2025年更新版)一、密钥生成与存储规范高强度密钥生成bashCopyCodessh-keygen-ted25519-a100#生成ED25519算法密钥(比...

在CentOS上安装nginx服务器(centos搭建代理服务器)

一、环境描述1.虚拟机配置CPU:单核内存:2GB硬盘:120GBIP:10.24.17.1082.操作系统版本:CentOS6.6x86_64安装方式:Minimal3.虚拟化环境VM...

CentOS7安全加固的一份整理规划建议

◆更新系统:及时更新CentOS7操作系统版本和安全补丁,确保系统以最新状态运行。◆关闭不必要的服务:在运行系统时,应关闭不需要的服务和端口,以减少系统暴露的攻击面。◆安装防火墙:使用iptables...

第四十七天-二叉树,centOS安装tomcat,Maven,vsftpd

学习笔记:1.Maven是Apache下的一个纯Java开发的开源项目。基于项目对象模型(缩写:POM)概念,Maven利用一个中央信息片断能管理一个项目的构建、报告和文档等步骤。Maven...

Linux远程桌面连接使用教程 Widows终端远程连接Linux服务器

一、前言为什么不是远程连接Linux服务器?因为我不会,远程连接window我就用电脑自带的“远程桌面连接”。以下所述都是在CentOS操作系统下的。服务器刚换成Linux的时候很迷茫,感觉无从下手...

CentOS 安全加固操作,保护你的操作系统

系统加固是保障系统安全的重要手段,对于维护企业数据安全、用户隐私以及系统稳定运行具有重要意义。加固后的系统更加健壮和稳定,能够有效减少因安全问题导致的系统故障和停机时间,提高系统的可用性和可靠性。通过...

Dockerfile部署Java项目(docker如何部署java项目)

1、概述本文主要会简单介绍什么是Docker,什么是Dockerfile,如何安装Docker,Dockerfile如何编写,如何通过Dockerfile安装jar包并外置yaml文件以及如何通过do...

CentOS7云主机部署Fail2ban阻断SSH暴力破解

关于Fail2banFail2ban可以监视你的系统日志,然后匹配日志的错误信息(正则式匹配)执行相应的屏蔽动作(一般情况下是调用防火墙屏蔽)例如:当有人在试探你的HTTP、SSH、SMTP、FTP密...

在CentOS7上用源码编译安装PostgreSQL

1、新建postgres用户#useraddpostgres&&passwdpostgres2、安装依赖包#yum-yinstallmakegccgcc-c++readline...

pure-ftpd 使用(ftp prompt命令)

pure-ftpd是一个免费的ftp软件,其他介绍就不多说了。我们直接开始主题安装centosyuminstallepel-releaseyuminstallpure-ftpd配置备份原配置...

取消回复欢迎 发表评论:

一周热门
最近发表
标签列表