第7章 配置与管理 FTP 服务器

第7章

配置与管理FTP服务器本章导读在网络环境中，文件传输是核心应用需求之一，而FTP服务器作为实现这一功能的关键基础设施，其稳定高效的配置与管理对于保障数据交换的安全性与可靠性具有重要意义。本章将系统讲解FTP服务器的配置与管理，重点围绕VSFTP（VerySecureFTP，非常安全的FTP）的安装部署、典型应用场景配置及安全管理等方面展开，帮助读者全面掌握构建和维护FTP服务的实用技能。学习目标1.知识目标理解FTP的工作原理、连接模式及用户分类。熟悉常见的FTP服务器软件。掌握VSFTP的安装、启动、停止、重启及开机自启设置。了解VSFTP主配置文件vsftp.conf的结构与作用。2.技能目标能够独立完成VSFTP服务器的安装与基本服务控制。熟练配置支持匿名访问和本地用户访问的FTP服务器，掌握用户目录访问限制、FTP目录欢迎信息设置等功能的实现方法。可运用命令行和浏览器方式访问FTP服务器。掌握虚拟用户FTP服务器的的配置方法。能够进行FTP安全分析与故障排除。3.素养目标培养在共享网络中的安全防范意识。提升自主学习和解决问题的能力。目录-CONTENTS7.1FTP服务的相关知识7.2安装FTP服务器7.3配置FTP服务器7.4配置FTP客户端7.5综合案例：配置虚拟用户FTP服务器7.6FTP服务的安全分析与故障排除7.1FTP服务的相关知识1FTP的工作原理2FTP的连接模式3FTP的用户分类4FTP服务器的常用软件7.1FTP服务的相关知识1．FTP的工作原理

FTP是一种基于TCP/IP协议栈的客户端-服务器架构应用层协议，用于在网络环境中实现文件的高效传输。FTP协议遵循RFC959标准，通过建立控制连接和数据连接实现文件交互操作。①

控制连接建立：客户端通过TCP21端口向服务器发起控制连接请求，建立用于传输命令和响应的逻辑通道。②

数据连接建立：根据传输模式（主动/被动），服务器或客户端通过动态端口建立数据连接，用于传输实际文件内容。③

认证与授权：客户端通过用户名/密码或匿名方式完成身份验证，服务器根据配置文件授权访问权限。④

命令与响应交互：客户端发送LIST、RETR、STOR等命令，服务器返回状态码（如226表示传输完成）进行交互。2．FTP的连接模式

FTP的连接模式工作机制适用场景主动模式（PORT模式）客户端通过PORT命令向服务器发送监听端口号，服务器通过TCP20端口主动连接该端口建立数据连接。适用于客户端位于防火墙后且具备明确公网IP的场景，但可能因防火墙规则限制导致连接失败。被动模式（PASV模式）客户端通过PASV命令获取服务器监听的临时端口号，并主动建立数据连接。广泛应用于客户端位于NAT网络之后或防火墙策略严格的场景，可有效避免主动模式下的连接问题。7.1FTP服务的相关知识3．FTP的用户分类

根据访问权限和认证方式，FTP用户可分为以下三类。FTP用户认证方式权限限制匿名用户（AnonymousUser）使用“anonymous”或“ftp”作为用户名，密码可为空或邮箱地址。默认仅能访问特定目录（如/var/ftp/pub），不具备文件上传权限，适用于公共资源分发场景。本地用户（LocalUser）使用系统用户账号进行认证，密码验证通过PAM（PluggableAuthentica-tionModules，可插拔认证模块）实现。可访问用户家目录或指定目录，访问权限受系统文件权限机制与FTP配置规则的双重约束。虚拟用户（VirtualUser）通过数据库（如MySQL）或独立配置文件（如vsftpd.userlist）存储用户名和密码，实现与系统账户的隔离。通过映射机制关联本地系统账户，实现细粒度权限控制，适用于高安全性要求的私有FTP服务。7.1FTP服务的相关知识4．FTP服务器的常用软件

（1）vsftpdvsftpd由RedHat公司主导开发，现为RockyLinux9默认的FTP服务方案。vsftpd的核心优势如下。①

采用轻量化设计，资源占用少。②

内置Chroot隔离机制，有效限制了用户的访问范围。③

支持SSL（SecureSocketsLager，安全套接字）/TLS（TransportLagerSecurrgy，传输层安全）加密传输（vsftpd3.0及以上版本）。④

提供细粒度权限控制能力，可通过local_enable、anon_upload_enable等配置项灵活设定访问策略。（2）ProFTPDProFTPD采用模块化架构，支持MySQL/PostgreSQL等数据库认证，适用于需要复杂认证机制或高并发访问的场景。（3）Pure-FTPDPure-FTPD专注于安全性与性能优化，支持IPv6与PAM认证，适用于需要高吞吐量或加密传输的场景，如CDN（ContentDeliveryNetwork，内容分发网络）分发。软件名称安全性扩展性配置复杂度加密支持典型应用场景VSFTPD高中低需手动配置企业内网文件共享、虚拟用户认证ProFTPD中高中内置支持复杂认证需求、多协议集成Pure-FTPD高高低内置支持高并发传输、加密需求7.2安装FTP服务器7.2.1安装vsftpd7.2.2vsftpd的启动、停止、重启与开机自启设置1．包管理器安装FTP#安装主程序包[root@localhost~]#dnfinstallvsftpd-y#验证安装包信息[root@localhost~]#dnfinfovsftpd2．配置文件完整性检查#主配置文件路径[root@localhost~]#ls-l/etc/vsftpd/vsftpd.conf-rw-------1rootroot5039Nov701:49/etc/vsftpd/vsftpd.conf#PAM认证配置文件[root@localhost~]#ls-l/etc/pam.d/vsftpd-rw-r--r--1rootroot335Nov701:49/etc/pam.d/vsftpd3．安装后验证#查询已安装版本[root@localhost~]#rpm-qvsftpdvsftpd-3.0.5-6.el9.x86_647.2安装FTP服务器7.2.1安装vsftpd（1）启动vsftpd服务[root@localhost~]#systemctlstartvsftpd（2）停止vsftpd服务[root@localhost~]#systemctlstopvsftpd（3）重启vsftpd服务[root@localhost~]#systemctlrestartvsftpd（4）设置vsftpd服务开机自启[root@localhost~]#systemctlenablevsftpd（5）查询vsftpd服务的状态[root@localhost~]#systemctlstatusvsftpd●vsftpd.service-VsftpdftpdaemonLoaded:loaded(/usr/lib/systemd/system/vsftpd.service;enabled;preset:dis>Active:active(running)sinceWed2025-04-3013:28:24CST;1h24minagoMainPID:2183(vsftpd)…省略部分代码…若返回结果为“Active:active(running)”则表示服务正在运行中；若为“Active:inactive(dead)”，则表示服务未运行7.2安装FTP服务器7.2.2vsftpd的启动、停止、重启与开机自启设置7.3配置FTP服务器7.3.1vsftpd3.0.5的目录结构7.3.5知识案例：设置FTP目录欢迎信息7.3.4知识案例：限制用户访问目录7.3.3知识案例：配置本地用户访问FTP服务器7.3.2知识案例：配置匿名FTP服务器1．vsftpd3.0.5的关键目录和文件7.3配置FTP服务器7.3.1vsftpd3.0.5的目录结构vsftpd3.0.5的关键目录和文件说明/usr/sbin/vsftpd主程序二进制文件，负责启动FTP服务/etc/vsftpd/vsftpd.conf主配置文件，用于定义服务器的核心行为，如匿名访问、权限控制、端口设置等。/etc/pam.d/vsftpdPAM配置文件，用于用户认证。/etc/vsftpd/ftpusers黑名单文件，该文件中列出的的用户被禁止访问vsftpd，即使其账号已通过local_enable=YES设置也不例外。/etc/vsftpd/user_list用户访问控制列表，其行为由userlist_enable和userlist_deny决定。若userlist_deny=YES（默认），则列表中的用户被禁止访问；若userlist_deny=NO，则仅允许列表中的用户访问。/var/ftp匿名用户的默认根目录/var/run/vsftpd.pidvsftpd进程的PID文件，用于管理服务状态/var/log/xferlogFTP传输日志（默认格式），用于记录文件上传、下载的详细信息，如用户、IP、文件名、大小等。/var/log/vsftpd.log可选的详细日志文件（需在vsftpd.conf中通过设置dual_log_enable=YES来启用），可记录更丰富的FTP服务运行上下文信息。2．vsftpd3.0.5的主配置文件vsftp.conf7.3配置FTP服务器7.3.1vsftpd3.0.5的目录结构参数类别典型配置项功能说明基础服务listen=YES独立模式监听（非xinetd管理）listen_ipv6=NOIPv6监听控制listen_address监听地址listen_port监听端口用户认证anonymous_enable=YES匿名访问开关local_enable=YES本地用户认证开关权限控制write_enable=YES全局写入权限anon_upload_enable=NO匿名上传权限目录限制chroot_local_user=YES本地用户家目录沙箱local_root=/srv/ftp本地用户根目录覆盖连接管理max_clients=100最大并发连接数max_per_ip=5单IP最大连接数日志审计xferlog_enable=YES传输日志开关vsftpd_log_file=/var/log/vsftpd.log日志路径vsftpd的核心配置项7.3配置FTP服务器1．场景需求

本案例要求搭建仅允许匿名用户下载的FTP服务器。2．配置步骤

①FTP服务器的IP地址为28。②

编辑/etc/vsftpd/vsftpd.conf，添加或修改参数：③

创建并设置目录权限：④重启vsftpd服务，使修改后的配置文件生效：7.3.2知识案例：配置匿名FTP服务器anonymous_enable=YES#允许匿名用户访问anon_root=/var/ftp/pub#匿名用户根目录write_enable=NO#禁止所有写入操作anon_upload_enable=NO#禁止匿名上传anon_mkdir_write_enable=NO#禁止匿名创建目录anon_other_write_enable=NO#禁止其他匿名写入no_anon_password=YES#匿名登录无需密码dirmessage_enable=YES#启用目录消息[root@localhost~]#mkdir-p/var/ftp/pub#创建匿名目录[root@localhost~]#touch/var/ftp/pub/test_1.txt#创建测试文件[root@localhost~]#chmod755/var/ftp/pub#设置目录权限[root@localhost~]#useraddyym[root@localhost~]#passwdyymChangingpasswordforuseryym.Newpassword:BADPASSWORD:ThepasswordisapalindromeRetypenewpassword:passwd:allauthenticationtokensupdatedsuccessfully.[root@localhost~]#chownyym:ftp/var/ftp/pub#修改目录所有者为yym用户[root@localhost~]#systemctlrestartvsftpd7.3配置FTP服务器3．验证测试

使用Windows客户端访问28/，可实现匿名访问和文件下载，但不能新建文件夹和上传文件，如图7.3.2知识案例：配置匿名FTP服务器7.3配置FTP服务器1．场景需求

本案例的配置要求是允许系统用户通过FTP访问其家目录。2．配置步骤

①FTP服务器的IP地址为28。②

编辑/etc/vsftpd/vsftpd.conf文件，修改参数：③

重启vsftpd服务，使修改后的配置文件生效：④

创建系统用户aa并设置密码：7.3.3知识案例：配置本地用户访问FTP服务器anonymous_enable=NO#禁止匿名用户访问local_enable=YES#允许本地用户访问write_enable=YES#允许本地用户写入[root@localhost~]#useraddaa[root@localhost~]#passwdaaChangingpasswordforuseraa.Newpassword:BADPASSWORD:ThepasswordisapalindromeRetypenewpassword:passwd:allauthenticationtokensupdatedsuccessfully.#加入白名单[root@localhost~]#echo"ftpuser">>/etc/vsftpd/user_list#创建测试访问文件[root@localhost~]#touch/home/aa/aa.txt#确保家目录不可被其他用户写入[root@localhost~]#chmod750/home/aa[root@localhost~]#systemctlrestartvsftpd7.3配置FTP服务器3．访问测试

使用Windows客户端访问28/，弹出登录窗口后，输入用户名aa以及密码即可访问FTP服务器，如图7.3.3知识案例：配置本地用户访问FTP服务器7.3配置FTP服务器1．场景需求

本案例的配置要求是仅允许用户alice访问/var/ftp/projects目录，禁止访问其他目录。2．配置步骤

①FTP服务器的IP地址为28。②

编辑/etc/vsftpd/vsftpd.conf，添加以下参数：③

创建用户alice：④

创建chroot_list文件：7.3.4知识案例：限制用户访问目录anonymous_enable=NO#禁止匿名用户访问local_enable=YES#允许本地用户访问chroot_local_user=NO#默认不限制所有用户chroot_list_enable=YES#启用chroot_list文件chroot_list_file=/etc/vsftpd/chroot_list#指定用户列表文件allow_writeable_chroot=YES#允许chroot目录可写[root@localhost~]#useraddalice[root@localhost~]#passwdaliceChangingpasswordforuseralice.Newpassword:BADPASSWORD:ThepasswordisapalindromeRetypenewpassword:passwd:allauthenticationtokensupdatedsuccessfully.[root@localhost~]#echo"alice">/etc/vsftpd/chroot_list#仅alice用户受限[root@localhost~]#chmod600/etc/vsftpd/chroot_list#设置安全权限7.3配置FTP服务器⑤

设置受限目录权限7.3.4知识案例：限制用户访问目录[root@localhost~]#mkdir-p/var/ftp/projects[root@localhost~]#chownroot:root/var/ftp/projects#目录属主必须为root[root@localhost~]#chmod755/var/ftp/projects#目录权限[root@localhost~]#touch/var/ftp/projects/alice.test.txt#创建测试文件[root@localhost~]#usermod-d/var/ftp/projectsalice#修改alice用户的家目录（可选）[root@localhost~]#ftplocalhostTrying::1...ftp:connecttoaddress::1ConnectionrefusedTrying...Connectedtolocalhost().220(vsFTPd3.0.5)Name(localhost:root):alice331Pleasespecifythepassword.Password:230Loginsuccessful.3．访问验证

下面以用户alice通过ftp命令登录本机服务器为例，演示登录过程并尝试访问其他目录，以测试权限控制结果：RemotesystemtypeisUNIX.Usingbinarymodetotransferfiles.ftp>ls227EnteringPassiveMode(127,0,0,1,73,100).150Herecomesthedirectorylisting.-rw-r--r--1000Apr3009:50alice.test.txt226DirectorysendOK.ftp>cd/etc550Failedtochangedirectory.当chroot_list_enable=YES时，若chroot_local_user=NO，则仅限制列表中的用户访问其家目录，其他用户不受限制；若chroot_local_user=YES，则只有列表中的用户不会被限制，其他用户均被限制在其家目录内。7.3配置FTP服务器1．场景需求

本案例的配置要求是为FTP服务器设置登录时的欢迎信息。2．配置步骤

①

创建欢迎信息文件7.3.5知识案例：设置FTP目录欢迎信息[root@localhost~]#echo"WelcometoAnonymousFTPServer">/etc/vsftpd/banner_anon[root@localhost~]#echo"Welcome,LocalUser!">/etc/vsftpd/banner_local[root@localhost~]#chmod644/etc/vsftpd/banner_*#设置可读权限[root@localhost~]#ftplocalhostTrying::1...ftp:connecttoaddress::1ConnectionrefusedTrying...Connectedtolocalhost().220WelcometoblahFTPservice.Name(localhost:root):alice331Pleasespecifythepassword.Password:230Loginsuccessful.RemotesystemtypeisUNIX.Usingbinarymodetotransferfiles.ftpd_banner=WelcometoblahFTPservice.②要使登录后立即显示欢迎信息，可以在/etc/vsftpd/vsftpd.conf文件中添加以下配置：3．登录测试

为验证欢迎信息的设置效果，可通过FTP客户端登录服务器：7.4配置FTP客户端7.4.1命令行方式7.4.2浏览器方式7.4配置FTP客户端采用命令行方式配置FTP客户端时需借助系统自带的FTP命令行工具或支持命令行操作的第三方FTP客户端软件。此方式具备灵活性高、功能强大且适合自动化脚本处理等优势，尤其适用于熟悉命令行操作的专业用户或需要进行批量文件传输的场景。采用命令行方式配置FTP客户端的步骤如下。（1）启动FTP客户端在操作系统终端中输入ftp命令，即可打开FTP命令行交互界面，如Windows操作系统的CMD界面和Linux操作系统的Terminal界面。7.4.1命令行方式7.4配置FTP客户端（2）建立连接在FTP客户端提示符下使用open命令（或第三方客户端的等效命令）与FTP服务器建立连接，命令格式通常为open<FTP服务器地址><端口号>。若FTP服务器使用默认端口（21），则端口号可省略。（3）身份验证连接建立后，FTP客户端将提示输入用户名及密码。用户需准确输入具备相应权限的账户信息，以完成身份验证。（4）文件传输操作身份验证通过后，用户可通过输入相应命令执行文件传输操作。（5）退出FTP客户端完成文件传输操作后，输入bye、exit或quit命令断开与FTP服务器的连接，并退出FTP命令行交互界面。7.4.1命令行方式7.4配置FTP客户端通过浏览器方式配置FTP客户端时，用户可直接利用Web浏览器（如Chrome、Firefox、Edge等）访问FTP服务器，实现文件的浏览、上传与下载。此方式具有操作简便、无须额外安装客户端软件等优势，尤其适合对命令行操作不熟悉或仅需进行简单文件传输的用户。通过浏览器方式配置FTP客户端的步骤如下。7.4.2浏览器方式输入FTP服务器的地址退出FTP服务器浏览与操作文件打开Web浏览器010203047.5综合案例：配置虚拟用户FTP服务器1场景描述6系统用户与目录权限配置5vsftpd核心配置4PAM认证模块配置3虚拟用户数据库配置2系统环境准备1．场景描述

在RockyLinux9环境下构建虚拟用户FTP服务器，能够为多用户场景提供安全、可控且资源隔离的文件传输服务。虚拟用户机制避免了为每个用户创建系统真实账户，降低了系统管理复杂性与安全风险。下面从环境准备、服务部署、虚拟用户体系搭建、权限精细化管理、安全防护强化及测试维护等维度系统阐述配置流程。2．系统环境准备

①

安装vsftpd[root@localhost~]#dnfinstallvsftpdsqlite-y7.5综合案例：配置虚拟用户FTP服务器②

编译安装数据库工具及PAM模块：[root@localhost~]#dnfinstallgccmake-y[root@localhost~]#wget/berkeley-db/db-4.8.30.tar.gz[root@localhost~]#tar-xzvfdb-4.8.30.tar.gz[root@localhost~]#cddb-4.8.30/build_unix[root@localhostbuild_unix]#../dist/configure--enable-compat185[root@localhostbuild_unix]#make[root@localhostbuild_unix]#makeinstall③

关闭防火墙或开放FTP服务端口（默认端口为21，被动模式下需额外开放动态端口范围）firewall-cmd--permanent--add-service=ftpfirewall-cmd--permanent--add-port=1024-65535/tcp#被动模式端口firewall-cmd--reload3．虚拟用户数据库配置

（1）创建虚拟用户信息文件编辑用户列表文件/etc/vsftpd/vusers.txt，格式为“用户名

密码”：[root@localhost~]#vi/etc/vsftpd/vusers.txtuser1psd11user2psd227.5综合案例：配置虚拟用户FTP服务器（2）生成加密数据库文件①

使用db_load工具生成BerkeleyDB格式的数据库文件：[root@localhostbuild_unix]#/usr/local/BerkeleyDB.4.8/bin/db_load-T-thash-f/etc/vsftpd/vusers.txt/etc/vsftpd/vusers.db②

设置严格权限，防止信息泄露：[root@localhostbuild_unix]#chmod600/etc/vsftpd/vusers.txt/etc/vsftpd/vusers.db[root@localhostbuild_unix]#chownroot:root/etc/vsftpd/vusers.db4．PAM认证模块配置

创建PAM配置文件，在/etc/pam.d/目录下新建vsftpd文件，并配置文本数据库认证规则：[root@localhostbuild_unix]#vi/etc/pam.d/vsftpdauthrequiredpam_userdb.sodb=/etc/vsftpd/vusersaccountrequiredpam_userdb.sodb=/etc/vsftpd/vusers7.5综合案例：配置虚拟用户FTP服务器5．vsftpd核心配置

（1）编辑主配置文件①

备份原配置文件后，编辑主配置文件/etc/vsftpd/vsftpd.conf，启用关键参数：anonymous_enable=NO#禁用匿名访问local_enable=YES#允许本地用户登录（虚拟用户需映射为本地用户）write_enable=YES#启用写权限chroot_local_user=YES#限制用户访问主目录allow_writeable_chroot=YES#允许chroot目录可写（RockyLinux9环境下需显式启用）guest_enable=YES#启用虚拟用户模式guest_username=ftpvuser#将虚拟用户映射至系统用户ftpvuseruser_config_dir=/etc/vsftpd/user_conf#虚拟用户个性化配置目录pasv_enable=YES#启用FTP被动模式pasv_min_port=1024#被动模式最小端口pasv_max_port=65535#被动模式最大端口（2）创建虚拟用户个性化配置目录①

创建配置目录并设置权限[root@localhost~]#mkdir-p/etc/vsftpd/user_conf[root@localhost~]#chmod755/etc/vsftpd/user_conf7.5综合案例：配置虚拟用户FTP服务器②

创建配置文件/etc/vsftpd/user_conf/user1，限制虚拟用户user的下载权限[root@localhost~]#vi/etc/vsftpd/user_conf/user1local_root=/home/ftpvuser/user1_data#指定用户根目录download_enable=NO#禁用下载（可选）write_enable=YES#允许上传（根据需求配置）6．系统用户与目录权限配置

①

创建无登录权限的系统用户ftpvuser，作为虚拟用户容器：useradd-d/home/ftpvuser-s/sbin/nologinftpvusermkdir-p/home/ftpvuser/{user1_data,user2_data}#创建用户数据目录chown-Rftpvuser:ftpvuser/home/ftpvuserchmod-R755/home/ftpvuser#设置目录权限②

重启vsftpd服务7．客户端验证

使用FileZilla等FTP客户端，以虚拟用户user1/psd11身份进行登录，测试上传、下载及目录访问权限：7.5综合案例：配置虚拟用户FTP服务器[root@localhostbuild_unix]#ftplocalhostTrying::1...Connectedtolocalhost(::1).220(vsFTPd3.0.5)#或其他您安装的vsftpd版本Name(localhost:root):user1#输入虚拟用户名331Pleasespecifythepassword.Password:psd11#输入虚拟用户密码230Loginsuccessful.#登录成功RemotesystemtypeisUNIX.Usingbinarymodetotransferfiles.ftp>7.6FTP服务的安全分析与故障排除1FTP的常见故障类型及表现2故障分析与排查方向1．FTP的常见故障类型及表现

（1）拒绝用户登录拒绝用户登录是指客户端在尝试使用特定用户名与密码组合登录FTP服务器时，系统反馈登录失败信息，导致用户无法正常访问服务器资源。此类问题不仅影响用户正常的文件传输操作，还可能干扰业务流程的顺畅进行，尤其在企业级应用场景中，会因文件共享与协作受阻而产生连锁反应，进而降低工作效率，甚至可能造成业务延误。（2）客户端连接超时客户端连接超时是指当客户端发起FTP连接请求后，在预设的等待时间内未能成功建立与服务器的连接，系