折腾了一下在云服务器上搭建FTP，可以在浏览器输入公网IP查看共享的文件，也就是创建下载点。现记录如下。

第一种场景：匿名访问，通过浏览器输入公网地址即可实现下载

第二种场景：输入指定的用户名和密码，可进入到另一个目录，可实现下载和上传与新建。例如通过FileZilla.

0、环境

华为云ECS ubuntu18.04, vsftpd 3.0.3

一、FTP登陆方式

FTP可以有三种登入方式分别是：

二、FTP连接方式

一般都采用被动模式。主动模式存在安全隐患，客户机很容易发起DdoS攻击。

三、FTP传输模式

ASCII模式一般只用于纯文本文件传输，而Binary模式更适合传输程序、图片等文件。尤其是对于可执行文件，如果把可执行文件以文本模式传输，则下载下来的文件将无法正常使用。

四、FTP安装和启动

五、文件结构

vsftpd服务器的文件结构如下:

/usr/sbin/vsftpd              ##vsftpd主程序
/etc/rc.d/init.d/vsftpd       ##用于启动终止脚本
/etc/vsftpd/vsftpd.conf       ##vsftpd主配置文件
/etc/pam.d/vsftpd             ##PAM认证文件
/etc/vsftpd.ftpusers          ##禁止使用vsftpd的用户列表
/etc/vsftpd.chroot_list       ##禁止或允许使用vsftpd的用户列表  需要在/etc/ 新建该文件
/srv/ftp                      ##匿名用户的下载目录
/etc/logrotate.d/vsftpd.log   ##vsftpd的日志文件

六、配置文件说明

#一旦监听，进入standalone模式，与此相对的是inetd(inetd或xinetd)模式
listen=YES
# 是否监听ipv6，如果监听则需要另外再配置一个文件
listen_ipv6=NO
#是否允许匿名访问ftp
anonymous_enable=YES
#是否允许本地用户登录，指linux存在的用户，cat /etc/passwd 可以查看哪些用户，标准的七字段，默认NO
local_enable=YES
# 是否对登录用户开启写权限。属全局性设置。默认NO
write_enable=YES
#本地登录用户权限，022-umask=755，即代表文档的所有者（属主）有读写执行权，所属组有读和执行权，其他用户有读和执行权
local_umask=022
#是否允许匿名用户上传文件。只有在write_enable设置为YES时，该配置项才有效。而且匿名用户对相应的目录必须有写权限。默认为NO。
#anon_upload_enable=YES
#是否允许匿名用户创建目录。只有在write_enable设置为    YES时有效。且匿名用户对上层目录有写入的权限。默认为NO。
#anon_mkdir_write_enable=YES
#设置是否显示目录消息
dirmessage_enable=YES
#显示时间
use_localtime=YES
#是否启用上传和下载日志
xferlog_enable=YES
#默认值为YES，指定FTP数据传输连接使用20端口。若设置为NO，则进行数据连接时，所使用的端口由ftp_data_port指定。
connect_from_port_20=YES#设置匿名上传文档的属主，默认为NO。若设置为YES，则匿名用户上传的文档的属主将被设置为chown_username配置项所设置的用户名。
#chown_uploads=YES
#设置匿名用户上传的文档的属主名。只有chown_uploads=YES时才有效。建议不要设置为root用户。 但系统默root
#chown_username=whoever
#默认的系统日志，设置日志文件名及路径。需启用xferlog_enable选项
xferlog_file=/var/log/vsftpd.log#日志文件是否使用标准的xferlog日志文件格式（与wu-ftpd使用的格式相同） 。默认为NO
xferlog_std_format=YES
#设置多长时间不对FTP服务器进行任何操作，则断开该FTP连接，单位为秒，默认为600秒。即设置发呆的逾时时间，在这个时间内，若没有数据传送或指令的输入，则会强行断开连接。
idle_session_timeout=600
#设置建立FTP数据连接的超时时间，默认为300秒
data_connection_timeout=120#
# It is recommended that you define on your system a unique user which the
# ftp server can use as a totally isolated and unprivileged user.
#nopriv_user=ftpsecure
#
# Enable this and the server will recognise asynchronous ABOR requests. Not
# recommended for security (the code is non-trivial). Not enabling it,
# however, may confuse older FTP clients.
#async_abor_enable=YES#设置是否启用ASCII模式上传、下载数据。默认为NO。
#ascii_upload_enable=YES
#ascii_download_enable=YES#连接FTP的欢迎提示
ftpd_banner=Welcome to Jack  FTP service.
#
#指定不允许通过邮箱登录的文件，可以抵御DoS攻击。
#deny_email_enable=YES
#邮箱文件
#banned_email_file=/etc/vsftpd.banned_emails# 控制用户是否允许切换到上级目录
chroot_local_user=YES
chroot_list_enable=YES
chroot_list_file=/etc/vsftpd.chroot_list
allow_writeable_chroot=YES
#1）当chroot_list_enable=YES，chroot_local_user=YES时，在/etc/vsftpd/chroot_list文件中列出的用户，可以切换到上级目录；未在文件中列出的用户，不能切换到站点根目录的上级目录。
#2）当chroot_list_enable=YES，chroot_local_user=NO时，在/etc/vsftpd/chroot_list文件中列出的用户，不能切换到站点根目录的上级目录；未在文件中列出的用户，可以切换到上级目录。
#3）当chroot_list_enable=NO，chroot_local_user=YES时，所有用户均不能切换到上级目录。
#4）当chroot_list_enable=NO，chroot_local_user=NO时，所有用户均可以切换到上级目录。
#5）当用户不允许切换到上级目录时，登录后FTP站点的根目录“/”是该FTP账户的主目录，即文件的系统的/srv/ftp目录。#被动模式下的设置，设置公网IP，和接收请求IP与端口，这里指定了服务器端口3000-3050用于发起到客户端连接，端口设置为0，则表示任意端口
pasv_address=XXX.XXX.XXX.XXX
pasv_min_port=3000
pasv_max_port=3050
#默认采用被动模式
#pasv_enable=NO
#
# You may activate the "-R" option to the builtin ls. This is disabled by
# default to avoid remote users being able to cause excessive I/O on large
# sites. However, some broken FTP clients such as "ncftp" and "mirror" assume
# the presence of the "-R" option, so there is a strong case for enabling it.
#ls_recurse_enable=YES
## This option should be the name of a directory which is empty.  Also, the
# directory should not be writable by the ftp user. This directory is used
# as a secure chroot() jail at times vsftpd does not require filesystem
# access.
secure_chroot_dir=/var/run/vsftpd/empty
#
# This string is the name of the PAM service vsftpd will use.
pam_service_name=vsftpd
#
# This option specifies the location of the RSA certificate to use for SSL
# encrypted connections.
rsa_cert_file=/etc/ssl/certs/ssl-cert-snakeoil.pem
rsa_private_key_file=/etc/ssl/private/ssl-cert-snakeoil.key
ssl_enable=NO# Uncomment this to indicate that vsftpd use a utf8 filesystem.
utf8_filesystem=YES#################end#######################

其他说明：

#定义匿名用户的账户名称，默认值为ftp。
ftp_username=ftp
#匿名用户是否允许下载可阅读的文档，默认为YES。
anon_world_readable_only=YES
#设置本地用户登录后所在的目录。默认配置文件中没有设置该项，此时用户登录FTP服务器后，所在的目录为该用户的主目录，对于root用户，则为/root目录。
local_root=/var/ftp
#设置匿名用户登录后所在的目录。若未指定，则默认为/srv/ftp目录。
anon_root=/srv/ftp
#设置匿名用户所能使用的最大传输速度，单位为b/s。若设置为0，则不受速度限制，此为默认值。
anon_max_rate=0
#设置本地用户所能使用的最大传输速度。默认为0，不受限制。
local_max_rate=0       #对用户的访问控制由/etc/vsftpd/user_list和/etc/vsftpd/ftpusers文件来控制实现。相关配置命令如下：
userlist_enable=YES
#决定/etc/vsftpd/user_list文件是否启用生效。YES则生效，NO不生效。
userlist_deny=YES
#决定/etc/vsftpd/user_list文件中的用户是允许访问还是不允许访问。
#若设置为YES，则/etc/vsftpd/user_list 文件中的用户将不允许访问FTP服务器；若设置为NO，则只有vsftpd.user_list文件中的用户，才能访问FTP服务器。#设置vsftpd允许的最大连接数，默认为0，表示不受限制。若设置为150时，则同时允许有150个连接，超出的将拒绝建立连接。只有在以standalone模式运行时才有效。
max_per_ip=0
#设置每个IP地址允许与FTP服务器同时建立连接的数目。默认为0，不受限制。通常可对此配置进行设置，防止同一个用户建立太多的连接。只有在以standalone模式运行时才有效
max_clients=0
#设置在指定的IP地址上侦听用户的FTP请求。若不设置，则对服务器所绑定的所有IP地址进行侦听。只有在以standalone模式运行时才有效。 对于只绑定了一个IP地址的服务器，不需要配置该项，默认情况下，配置文件中没有该配置项。若服务器同时绑定了多个IP地址，则应通过该配置项，指定在哪 个IP地址上提供FTP服务，即指定FTP服务器所使用的IP地址。
listen_address=IP地址        

七、遇到的问题及解决

外网服务器搭建FTP 出现的问题及解决：

（1）227 Entering Passive Mode

解决方法第一种就是配置为主动模式。

vim etc/vsftpd/vsftpd.conf     ##Vsftpd主配置文件

添加：pasv_enable=NO

注意的是：浏览器访问只支持FTP的被动模式，也就是说只有在FTP配置成被动模式时，才能在远程浏览器里通过url访问

第二种解决方法

指定公网ip 用listen_address.

八、其他

默认情况下，匿名用户所有上传下载，所使用的用户都是ftp用户的权限，若要上传文件，则需要ftp用户有写的权限，若要下载，则需要ftp用户有读的权限，也就是说一般情况下，ftp用户对文件有读权限就对文件有下载权限了。

九、创建用户和密码

(1) 创建一个名叫ftpu的用户，并指定他的根目录为/home/ftpdir

useradd -d /home/ftpdir/ -s /bin/bash ftpu

(2)设置密码

passwd ftpu

(3)查看

standalone模式便于实现PAM验证功能。进入这种模式首先要关闭xinetd下的vsftpd，设置“disable = yes”，或者注销掉“/etc/inetd.conf”中相应的行。然后修改“/etc/vsftpd.conf”中的选项为“listen=YES”。

如果是standlone模式，那么它是作为单独的一个服务启动的，不需要系统协作，不作为系统服务，如果要是成为xinetd模式，那么它的服务就要受系统服务的限制，比如创建一个新的服务进程，但是也有缺点，如果xinetd服务本身出了问题，那么相关的服务也是会受到影响的。

十一、参考资料