一、安装前的准备

1、关闭防火墙或者开端口权限。一般是firewalld或者iptables。

1 2	$ systemctl stop firewalld $ systemctl disable firewalld

防火墙配置

如果开启防火墙，请开放21端口，被动模式下设置最大和最小端口范围，并在防火墙开放端口范围。

修改vsftpd.conf文件，添加

pasv_min_port=8022          #最小端口
pasv_max_port=8030         #最大端口
pasv_promiscuous=YES      #开启pasv（被动模式）

放开21端口：firewall-cmd –zone=public –add-port=21/tcp –permanent

放开8022-8030端口：firewall-cmd –zone=public –add-port=8022-8030/tcp –permanent

重新加载防火墙：firewall-cmd –reload
可能用到的命令：

永久开放 ftp 服務：firewall-cmd –add-service=ftp –permanent (关闭ftp服务：firewall-cmd –remove-service=ftp –permanent) （验证不起作用）

systemctl start firewalld 启动防火墙服务

firewall-cmd –add-service=ftp 暂时开放ftp服务

firewall-cmd –add-service=ftp –permanent永久开放ftp服務

firewall-cmd –remove-service=ftp –permanent永久关闭ftp服務

systemctl restart firewalld 重启firewalld服务

firewall-cmd –reload 重载配置文件

firewall-cmd –query-service ftp查看服务的启动状态

firewall-cmd –list-all    显示防火墙应用列表

firewall-cmd –add-port=8001/tcp    添加自定义的开放端口

iptables -L -n | grep 21 查看设定是否生效

firewall-cmd –state 检测防火墙状态

2、关闭sellinux

# 临时关闭
$ setenforce 0

# 永久关闭
$ vi /etc/selinux/config
修改
SELINUX=disabled

# 查看是否关闭
$ getenforce

二、安装vsftpd

$ yum install -y vsftpd
# 启动
$ systemctl start vsftpd
# 自启
$ systemctl enable vsftpd

三、配置vsftpd

创建vsftpd使用的系统用户，主目录为/home/vsftpd，禁止ssh登录。创建之后所有虚拟用户使用这个系统用户访问文件。
useradd vsftpd -d /home/vsftpd -s /bin/false

方式一、虚拟用户配置

1、创建虚拟用户主目录，比如虚拟用户叫ftp1，执行下面的命令。

1	$ mkdir -p /home/vsftpd/ftp1

2、创建这个虚拟用户

$ vi /etc/vsftpd/loginusers.conf
增加

ftp1
123456
# 这样就创建了ftp1这个虚拟用户，密码为123456

3、根据这个文件创建数据库文件

1 2	$ db_load -T -t hash -f /etc/vsftpd/loginusers.conf /etc/vsftpd/loginusers.db $ chmod 600 /etc/vsftpd/loginusers.db

4、启用这个数据库文件

$ vi /etc/pam.d/vsftpd
注释掉所有内容后，增加下面的内容

auth    sufficient /lib64/security/pam_userdb.so db=/etc/vsftpd/loginusers
account sufficient /lib64/security/pam_userdb.so db=/etc/vsftpd/loginusers

5、创建虚拟用户配置文件

$ mkdir /etc/vsftpd/userconf
这里的文件名称必须与虚拟用户名一致

$ vi /etc/vsftpd/userconf/ftp1
增加下面的内容
local_root=/home/vsftpd/ftp1/   # 设定主目录为/home/vsftpd/ftp1；虚拟用户的根目录(根据实际修改)
write_enable=YES            # 开启写权限
anon_umask=022             # 设定上传后文件的权限掩码。
anon_world_readable_only=NO 
anon_upload_enable=YES 
anon_mkdir_write_enable=YES
anon_other_write_enable=YES

6、最后修改主配置文件

$ vi /etc/vsftpd/vsftpd.conf
# 更改
anonymous_enable=NO       #设定不允许匿名访问
local_enable=YES         #设定本地用户可以访问。注：如使用虚拟宿主用户，在该项目设定为NO的情况下所有虚拟用户将无法访问。

# 去掉注释
chroot_local_user=YES        # 禁止本地用户访问除主目录以外的目录
chroot_list_enable=YES       #使用户不能离开主目录
ascii_upload_enable=YES      #允许使用ASCII模式上传
ascii_download_enable=YES    #设定支持ASCII模式的上传和下载功能。
xferlog_file=/var/log/vsftpd.log  #设定vsftpd的服务日志保存路径。注意，该文件默认不存在。必须要手动touch出来

# 增加
guest_enable=YES       # 设定启用虚拟用户功能。
guest_username=vsftpd    # 指定虚拟用户的宿主用户。centos 里面已经有内置的ftp用户了（注：此用户在chroot_list_file=/etc/vsftpd/chroot_list文件里所指定的用户）-RHEL/CentOS中已经有内置的ftp用户了
user_config_dir=/etc/vsftpd/userconf   # 设定虚拟用户个人vsftp的RHEL/CentOS FTP服务文件存放路径。存放虚拟用户个性的CentOS FTP服务文件(配置文件名=虚拟用户名)
allow_writeable_chroot=YES # 最新版的vsftpd为了安全必须使用用户主目录（也就是/home/vsftpd/ftp1）没有写权限，才能登录，或者使用allow_writeable_chroot=YES

配置介绍：

anonymous_enable=NO 禁止匿名用户登录
chroot_local_user=YES # 禁止用户访问除主目录以外的目录
ascii_upload_enable=YES ascii_download_enable=YES 设定支持ASCII模式的上传和下载功能
guest_enable=YES 启动虚拟用户
guest_username=vsftpd 虚拟用户使用的系统用户名
user_config_dir=/etc/vsftpd/userconf 虚拟用户使用的配置文件目录
allow_writeable_chroot=YES 最新版的vsftpd为了安全必须用户主目录（也就是/home/vsftpd/ftp1）没有写权限，才能登录，或者使用allow_writeable_chroot=YES
最后重启服务使配置生效
systemctl restart vsftpd
备注：设置ftp1目录权限为vsftpd,  chown -R vsftpd:vsftpd /home/vsftpd/ftp1,否则没有权限创建目录等写的权限，设置777权限也不行。

方式二、本地用户配置

配置 FTP 权限

1、了解 VSFTP 配置

vsftpd 的配置目录为 /etc/vsftpd，包含下列的配置文件：

vsftpd.conf 为主要配置文件

ftpusers 配置禁止访问 FTP 服务器的用户列表

user_list 配置用户访问控制——这里的用户默认情况（即在/etc/vsftpd/vsftpd.conf中设置了userlist_deny=YES）下也不能访问FTP服务器

2、阻止匿名访问和切换根目录

匿名访问和切换根目录都会给服务器带来安全风险，我们把这两个功能关闭。编辑 /etc/vsftpd/vsftpd.conf，找到下面两处配置并修改：

# 禁用匿名用户访问  YES 改为NO 
anonymous_enable=NO

# 禁止本地用户登出自己的FTP主目录。
chroot_local_user=YES

3、修改默认根目录

修改ftp的根目录只要修改/etc/vsftpd/vsftpd.conf文件即可：

加入如下几行：

1
2
3

local_root=/var/www/html
chroot_local_user=YES
anon_root=/var/www/html

注：local_root 针对系统用户；anon_root 针对匿名用户。

编辑完成后保存配置，重新启动 FTP 服务 service vsftpd restart

其它配置项说明：

anonymous_enable=YES #允许匿名登陆

local_enable=YES # 开启本地用户访问

write_enable=YES # ftp写的权限

local_umask=022 # 设定上传后文件的权限掩码。

dirmessage_enable=YES #连接打印的消息

connect_from_port_20=YES # 连接端口20端口

xferlog_std_format=YES

idle_session_timeout=600

data_connection_timeout=300

accept_timeout=60

connect_timeout=60

ascii_upload_enable=YES #上传

ascii_download_enable=YES #下载

chroot_local_user=NO #是否限制用户在主目录活动

chroot_list_enable=YES #启动限制用户的列表

chroot_list_file=/etc/vsftpd/chroot_list #每行一个用户名

allow_writeable_chroot=YES #允许写

listen=NO

listen_ipv6=YES

pasv_min_port=50000 允许ftp工具访问的端口起止端口

pasv_max_port=60000

pam_service_name=vsftpd #配置虚拟用户需要的

userlist_enable=NO #配置yes之后，user_list的用户不能访问ftp

tcp_wrappers=YES

chroot_list 文件需要自己建,内容一行一个用户名字

anon_root=/data/ftp/public #修改匿名用户的访问路径

4、创建 FTP 用户

新建一个不能登录系统用户. 只用来登录ftp服务 ,这里如果没设置用户目录。默认是在home下：

1	$ useradd ftpuser -d /home/vsftpd -s /bin/false

为ftpuser用户设置密码：passwd ftpuser

可能用到：

设置用户的主目录：usermod -d /data/ftp ftpuser

彻底删除用户：#userdel -rf Fuser   //强制删除用户及相关目录文件

变更用户属性：#usermod -s /sbin/nologinftpuser (/bin/bash：可以登录shell，/bin/false：禁止登录shell )

查看当前服务：#netstat -lntp

备注：需要设置根目录权限为777 ，否则会出现无法写入的问题，chmod 777 /var/www/html

四、访问FTP

通过 FTP 客户端工具访问

FTP 客户端工具众多，下面推荐两个常用的：

WinSCP– Windows 下的 FTP 和 SFTP 连接客户端

FileZilla – 跨平台的 FTP 客户端，支持 Windows 和 Mac

本人测试时使用的是Xftp

打开Xftp软件，新建一个会话，输入对应的信息，点击确定(查看ip地址：ip addr)

选中我们新建的会话，点击连接

连接成功后就可以使用Xftp上传文件了

五、要使用Xshell连接，则需要安装openssh-service

查看是否安装ssh安装包，CentOS是被访问者，所以需要安装ssh-server安装包（如果没任何输出显示表示没有安装 openssh-server，可以通过输入

yum install openssh-serve进行安装），查看命令为：rpm -qa | grep ssh，如下图所示，已经安装：

找到/etc/ssh目录下的sshd_config文件，修改一些参数。去掉端口和监听地址的注释；然后允许远程登录；再开启使用用户名密码作为连接验证

开启sshd服务，service sshd start
检查sshd是否开启，ps -e|grep sshd

或者查看22端口是否被监听，netstat -an | grep 22

使用Xshell进行连接，打开Xshell软件，新建一个会话，输入对应的信息，点击确定(查看ip地址：ip addr)

选中我们新建的会话，点击连接
图10
连接成功后就可以使用Xshell执行命令了
图11