搭建centos7文件上传服务器完美运行

　　搭建vsftpd文件上传服务器，Vsftp是一个专门为unix类型系统设计一个ftp服务器。
　　FTP（FiletransferProtocl），文件传输协议，用于在网络上进行文件传输的一套标准协议，使用客户服务器模式，属于网络传输协议的应用层。
　　FTP服务运行在TCP21和20端口，通常来说21端口是连接端口，20端口是数据端口（备注：可以在配置那里更改这个端口，为安全考虑，建议更改）
　　FTP有两种工作模式，主动模式和被动模式：
　　1、主动模式：由服务器创建连接，建立的过程描述如下：
　　客户端发起请求：
　　Client：50000（大于1023的端口号）Server：21
　　服务端建立数据传输：
　　Server：20tcpClient：500001（客户端请求端口号1）
　　2、被动模式：由客户端创建连接，建立的过程描述如下：
　　客户端发起请求：
　　Client：50000（大于1023的端口号）Server：21
　　客户端建立数据传输：
　　Client：500001（客户端请求端口号1）Server：随机端口
　　现在开始安装Vsftp服务器yumyinstallvsftpd
　　vsftpd的程序主要配置文件有：主程序：usrsbinvsftpd主配置文件：etcvsftpdvsftpd。conf数据根目录：varftp禁止登陆用户列表：etcvsftpdftpusers用户列表：etcvsftpduserlist
　　其中主配置文件etcvsftpdvsftpd。conf的默认配置：anonymousenableYES是否允许匿名用户访问localenableYES是否允许本地用户登录FPTwriteenableYES是否允许写入权限localumask022本地用户上传文件的umask值dirmessageenableYES是否在用户进入某个目录时显示该目录的注意信息xferlogenableYES是否让FTP服务器记录上传下载的情况connectfromport20YES是否使用20端口进行数据传输xferlogstdformatYES是否将记录的上传下载情况写在xferlogfile所指定的文件中listenNO是否以独立运行的方式监听服务listenipv6YES是否支持ipv6pamservicenamevsftpd列出与vsftpd相关的pam文件userlistenableYES是否启用禁止登录用户名单tcpwrappersYES是否支持tcpwrappers
　　除以上默认使用的参数外，主配置文件还可以设置以下参数：定义匿名用户的ftp共享权限：anonworldreadableonlyYES是否全局可读anonuploadenableNO是否允许上传文件anonmkdirwriteenableNO是否允许创建目录anonotherwriteenableNO是否删除文件、删除目录anonumask077匿名用户的umask定义系统用户的ftp权限：localenableYES允许本地用户访问（etcpasswd中的用户）writeenableYES允许写入权限，包括修改，删除localumask022定义本地用户上传的文件的umaskchrootlocaluserYES是否禁锢所有本地用户于其家目录chrootlistenableYES是否启用chrootlistfile的名单chrootlistfileetcvsftpdchrootlist是否限制在主目录下的用户名单
　　注意：当chrootlocaluserYES和chrootlistenableYES时，chrootlist中的用户都是不受限制的用户；当chrootlocaluserNO和chrootlistenableYES时，chrootlist中的用户都是受限制的用户。控制可登陆vsftpd服务的用户列表：userlistenableYES启用etcvsftpduserlist文件来控制可登陆用户；userlistdenyNONO意味着etcvsftpduserlist为白名单，YES为黑名单上传下载速率：anonmaxrate0匿名用户的最大上传下载速率，0表示无限制localmaxrate0本地用户的最大上传下载速率，0表示无限制并发连接数限制：maxclients2000standalone下最大的并发连接数maxperip50设置单个IP的最大连接数
　　注意：通过manvsftpd。conf可以获取更多参数信息。
　　vsftp的3种认证方式
　　vsftp服务为ftp提供了3种认证方式，分别是：匿名用户认证、本地用户认证和虚拟用户认证。匿名用户认证是指任何人无需认证即可访问到FTP服务器；本地用户认证在Linux系统中是指etcpasswd中的用户；虚拟用户认证是指使用vsftp服务独立维护的FTP账号密码进行登录访问。从安全性来说虚拟用户是最安全的，因为就算FTP的账号密码泄露了，也不会泄露本地的用户账号密码，建议使用虚拟用认证方式。
　　1。匿名用户认证登陆方式
　　ftp服务默认就开启了匿名用户登录，此处修改配置文件etcvsftpdvsftpd。conf：cpetcvsftpdvsftpd。conf｛，。bak｝备份vimetcvsftpdvsftpd。conf
　　修改vsftpd。conf配置如下：anonymousenableYESanonuploadenableYESanonmkdirwriteenableYESanonotherwriteenableYESlocalumask022
　　启动vsftpd服务就可以使用了setenforce0systemctlstopvsftpd。servicesystemctlstartvsftpd
　　如果创建test目录失败。匿名用户的默认路径即为ftp用户的家目录varftp，虽然我们已经配置了anonmkdirwriteenableYES，但ftp用户的真正权限是vsftpd。conf定义的共享权限与访问的目录的权限的交集，因此我们需要去修改varftppub目录的文件权限：chownftp：ftpvarftppub
　　2。本地用户认证登陆方式vimetcvsftpdvsftpd。conf
　　修改vsftpd。conf配置如下：anonymousenableNOlocalenableYESwriteenableYESlocalumask022userlistenableYESuserlistdenyNO
　　注意：当userlistenableYES而userlistdenyNO时，etcvsftpduserlist为白名单；当userlistenableYES和userlistdenyYES时，etcvsftpduserlist为黑名单vimetcvsftpduserlist
　　useraddtestftpecho123456passwdstdintestftpsystemctlrestartvsftpd
　　本地用户能切换到etc目录能够下载passwd文件，存在极大风险，因此我们需要把本地用户的访问路径限制在其对应的家目录下：vimetcvsftpdvsftpd。conf
　　修改vsftpd。conf配置如下：chrootlocaluserYESallowwriteablechrootYES
　　通过文件指定禁锢的用户chrootlistfileetcvsftpdchrootlist
　　注意：从2。3。5之后，vsftpd增强了安全检查，如果用户被限定在了其主目录下，则该用户的主目录不能再具有写权限了，客户端执行写操作时会出现提示：500OOPS：vsftpd：refusingtorunwithwritablerootinsidechroot（）。
　　此时如果还想能在对主目录拥有写权限，可以使用allowwriteablechrootYES。
　　3。虚拟用户认证登陆方式
　　虚拟用户认证所使用的账号和密码都不是服务器中真实存在的，其安全性比本地用户更好，即使被抓包获取到账号密码都无法直接登录到服务器。配置虚拟用户的流程如下：
　　1）建立虚拟用户数据库文件
　　2）创建根目录及虚拟用户映射的系统用户
　　3）建立支持虚拟用户的PAM认证文件
　　4）在vsftpd。conf中添加支持配置
　　5）为虚拟用户设置不同的权限
　　1）建立虚拟用户数据库文件vimetcvsftpdvuser
　　格式：一行账号名，一行密码test1123456test212345678
　　使用dbload命令生成数据库文件dbloadTthashfetcvsftpdvuseretcvsftpdvuser。dbchmod600etcvsftpdvuser。dbrmetcvsftpdvuser
　　2）创建根目录及虚拟用户映射的系统用户useradddvarvftpssbinnologinvftpmkdirvarvftphomepchmodR755varvftphome
　　3）建立支持虚拟用户的PAM认证文件vimetcpam。dvsftpd。virtual
　　编辑vsftpd。virtual如下authrequiredpamuserdb。sodbetcvsftpdvuser检查账号及密码，数据库不需要写后缀。dbaccountrequiredpamuserdb。sodbetcvsftpdvuser检查用户是否在有效期内
　　4）在vsftpd。conf中添加支持配置vimetcvsftpdvsftpd。conf
　　修改vsftpd。conf配置文件如下anonymousenableNO禁止匿名登录localenableYES允许本地用户模式，由于映射的系统用户为本地用户，因此此项必须开启guestenableYES开启虚拟用户模式guestusernamevftp指定虚拟用户账号映射到本地账号vftppamservicenamevsftpd。virtual指定pam文件chrootlocaluserYES禁锢用户在其家目录allowwriteablechrootYES允许禁锢的FTP根目录可写userconfigdiretcvsftpdvuserprofile指定虚拟用户的权限配置目录userlistenableYESuserlistdenyYESallowwriteablechrootYES500OOPS：vsftpd：refusingtorunwithwritablerootinsidechroot（）错误
　　5）为虚拟用户设置不同的权限mkdiretcvsftpdvuserprofilevimetcvsftpdvuserprofiletest1
　　修改如下：anonuploadenableYESanonmkdirwriteenableYESanonotherwriteenableYESanonumask022
　　vimetcvsftpdvuserprofiletest2
　　修改配置如下：localrootvftptest2错误提示服务器发回了不可路由的地址。不使用默认的文件目录，自己指定目录anonumask022anonmkdirwriteenableYESanonuploadenableYESanonotherwriteenableYES
　　mkdirpvftptest2chownRvftp：vftpvftptest2systemctlrestartvsftpd
　　6）配置安全规则vietcvsftpdvsftpd。conf
　　修改如下：writeenableYES可写权限pasvenableYES启用pasv模式pasvminport30000设置pasv模式中的可用端口范围（开始）pasvmaxport30100设置pasv模式中的可用端口范围（结束）pasvaddress47。99。56。154设置pasv模式中的外网IPseccompsandboxNO关闭seccomp功能pasvpromiscuousYES（可选）这个不打开，在连接时可能会出现badip。。。。可能是网络不稳定。。也或者是ip在传输时有改变。。。。。
　　最后重启下vsftp服务systemctlrestartvsftpd
　　在ECS实例安全组中，分别增加两条规则，允许相应的tcp端口访问（tcp21端口，和tcp3000到30100端口）
　　客户端测试：
　　用户test1lftp192。168。4。119utest1
　　vsftp修改端口
　　1、编辑etcvsftpdvsftpd。conf文件，在该配置文件中添加此行：listenport811
　　2、编辑etcservices文件，将其中的
　　ftp21tcp改为ftp811tcp，
　　ftp21udp改为ftp811udp
　　3、执行systemctlrestartvsftpd重新启动vsftpd服务。启动完成后可以使用
　　netstattnulpgrepvsftpd
　　你就可以查看到现在系统现监听的vsftpd的端口为811