centos8系統ftp伺服器安裝及被動模式配置-新手友好
這是一篇新手向的ftp伺服器安裝。
在開始安裝ftp伺服器前,我們需要了解,我們需要做哪些事情?
- 瞭解安裝配置需要用到的基礎知識
- 確認系統環境
- 安裝ftp指令【非必須】
- 安裝vsftpd
- 設定本地登入使用者
- 配置vsftpd本身的conf檔案
- 配置系統相關軟體的配合
1、瞭解基礎知識
FTP:檔案傳輸協議(File Transfer Protocol,FTP)。
FTP是歷史上最悠久的檔案傳輸協議之一,在很多軟體體系中都有應用。比如說wordpress後臺更新就需要FTP服務。
FTP使用 TCP 協議傳輸而不是 UDP。
FTP使用兩類埠:控制埠21,傳輸埠。
FTP傳輸有兩類模式,被動模式(PASV)和主動模式(PORT)。
在傳輸的過程中,無論是被動模式,還是主動模式,都是【客戶端】和【伺服器端的21埠】交換使用者名稱密碼等相關資訊並確認使用什麼模式傳輸。如果是主動模式,客戶端和伺服器端在【伺服器端的20埠】交換資料。如果是被動模式,將有伺服器端確認一個或幾個自身的隨機埠,客戶端需要與伺服器端的這個埠進行資料交換。
VSFTPD是廣泛使用的FTP伺服器軟體。FTP命令是客戶端的操作命令。
還有一種SFTP。SFTP和FTP只是名字類似,不可簡單地理解問安全(safe)的FTP。他是ssh協議提供的檔案傳輸方式,很多雲伺服器自帶ssh連線便於遠端操作,所以即使你沒有成功配置FTP,可能也是可以使用SFTP傳輸的。SFTP只用22埠。
2、確認系統環境
個人配置FTP伺服器使用的是阿里雲的ECS伺服器。虛擬主機可能不支援部分配置,但是很多虛擬主機都自帶FTP服務。
系統是Alibaba Cloud Linux 3.2104 64位,相容Centos8的指令。如果讀者使用的是其他版本的系統,需要自行確認部分指令是否能用。
使用的軟體包管理器是DNF。這是YUM的替代版本,相容大多數YUM的指令。軟體包管理器可以以預設路徑讓你方便地安裝、更新系統的軟體,減少因為安裝路徑的設定帶來的問題,建議初學者使用。
在進一步操作前,我們可以通過如下指令,確認你的系統是否已經安裝了相關元件:
whereis vsftpd
如果系統沒有安裝vsftpd,將會返回
VSFTPD:
否則會返回類似如下的目錄
vsftpd: /usr/sbin/vsftpd /etc/vsftpd /usr/share/man/man8/vsftpd.8.gz
這裡面是三個目錄,使用空格隔開。在CENTOS8的DNF預設安裝中,/etc/vsftpd是預設安裝位置。
3、安裝ftp指令【非必須】
ftp指令可以讓你在伺服器端連線自己的FTP伺服器,避免了防火牆的干擾,更利於排查問題。非必須,但建議。
dnf install ftp
安裝上就可以直接使用。
連結伺服器:
ftp XXX.XXX.XXX.XXX
XXX.XXX.XXX.XXX代表IP地址。也可以使用ftp localhost連結本地伺服器。
退出伺服器
quit
更多的內容對於新手來說並非必要,如想了解請自行搜尋。
4、安裝VSFTPD
dnf install vsftpd
5、設定本地使用者
useradd xxx passwd xxx
XXX代表你取的使用者名稱。通過useradd新增使用者,通過passwd修改密碼
值得注意的是,通過這種方式新增的使用者為CENTOS系統的使用者,而不是vsftpd這個軟體的使用者。更改的一些設定也是針對系統使用者的。
也可以使用虛擬使用者,將虛擬使用者對映到系統使用者上,但相關設定對新手多少有點繁瑣,如需瞭解請搜尋。
6、配置vsftpd的conf檔案
之前提及了,CENTOS8下dnf安裝,預設安裝路徑為/etc/vsftpd。vsftpd的設定檔案就在這裡。
這篇文章使用被動模式連結。主要需要修改的引數如下(【】以及【】內的內容為相關設定的註解,請不要寫入設定檔案)
禁用PORT模式
connect_from_port_20=NO【禁用了PORT模式使用的傳輸埠】
開啟PASV模式
listen=YES listen_ipv6=NO【PASV模式會向客戶端返回自己隨機分配的連線地址及埠,這個返回值是一個6位的:XXX,XXX,XXX,XXX,a,b。其中前四位為IP,後兩位按著a*256+b的計算方式為埠值如果這個開啟,該值會被識別成IPV6地址,帶來複雜的情況】 pasv_enable=YES【允許PASV模式】 pasv_min_port=xxxx pasv_max_port=xxxx【規定伺服器端分配的最小和最大埠號。如果不規定,伺服器可能配置的埠號和其他軟體的埠重複,導致出錯。建議分配較大的埠避免衝突,但是過大的埠可能超出伺服器的範圍】 pasv_addr_resolve=YES【十分重要。允許ip地址修改。】 pasv_address=XXX.XXX.XXX.XXX【十分重要。這個地址是你伺服器的公網地址。PASV模式,伺服器會返回一個6位的地址和埠。如果不設定上述兩項,返回的是私網ip,遠端連線無法找到你的地址。】 pasv_promiscuous=YES【YES關閉安全檢查。有一定風險。正常情況下伺服器會檢查客戶端兩次連線的IP是否一致,如果不一致將會拒絕連結。】
建議修改的安全性相關設定
anonymous_enable=NO【禁止匿名使用者】 chroot_local_user=YES【禁止使用者訪問規定根目錄以外的檔案】 allow_writeable_chroot=NO
7、配置系統相關軟體的配合
設定nologin
修改passwd檔案,一般在/etc路徑下,將/bin/bash修改為/sbin/nologin,禁止你的ftp使用者名稱密碼直接登入系統
修改根目錄
修改passwd檔案,把目錄地址更換成你想讓ftp使用者訪問的地址。
修改目錄許可權
這部分建議專門找一篇介紹許可權的書籍。我設定的755許可權。
根目錄許可權根據你的設定檔案,會有不同的出錯可能。
pam檔案
修改了使用者的nologin之後,需要查詢系統pam.d資料夾(一般在etc路徑下)。有一條auth required pam_shells.so,當你修改成了nologin之後和這個對不上,會出錯,註釋掉。
如果你有其他設定,可能需要進一步修改這個檔案。
開放埠給外網
這一步包括兩個內容,一個是開放伺服器的防火牆,另一個是可能你的伺服器提供商有外部安全組。
開放伺服器的防火牆
CENTOS預設安裝firewalld,如果你的系統是iptables請自行搜尋,selunix也需要相關設定,但是因為較容易出錯很多人都預設關閉
systemctl status firewalld【檢視firewalld是否開啟】 firewall-cmd --add-port=xxx-xxx/tcp --permanent【xxx-xxx代表設定檔案裡配置的埠範圍,左小右大】 firewall-cmd --add-port=21/tcp --permanent【開放控制鏈路的21埠。如果你沒禁用PORT模式,還需要開放20埠】 firewall-cmd --reload【重新載入設定】
開放服務商的外部安全組
以阿里云為例,在控制檯-伺服器-安全組,入方向做類似配置,把設定檔案裡面的PASV埠範圍、控制鏈路的21埠(PORT模式沒關閉還需要開放20埠)
8、測試可能出現的錯誤
在伺服器及遠端客戶端,通過ftp指令及ip登入。windows可以通過資源管理器ftp://XXX,XXX,XXX,XXX(公網ip地址)登入,可以通過cmd命令測試,也可以使用ftp軟體。
1、如果伺服器可以登入遠端不可以,那麼檢查一下防火牆的設定。
2、如果出現“227 Entering Passive Mode”的錯誤,那麼就是沒有設定好pasv_addr_resolve=YES和pasv_address=XXX.XXX.XXX.XXX。伺服器返回的地址是私網地址或者錯誤的ip,客戶端無法連線上。
我暫時沒有遇到更多問題,經過如上配置使用FTP更新了自己的wordpress。如果錯漏,懇請斧正。謝謝閱讀。