ftp数据以明文方式来进行传输，使用tcp协议
有两种工作模式：
主动模式：使用21号端口来进行传输控制，使用20号端口来进行数据连接。
客户端通过服务器的21号端口来连接上服务器，并告知自己打开的数据连接的端口（通常是一个大于1024的端口），当有数据传输需求的时候，服务器会使用自己的
20号端口主动去连接客户端的相应端口。
被动模式：使用21号端口来进行传输控制，使用随机端口来进行数据连接
客户端通过服务器的21号端口来连接上服务器，服务器会告知客户端自己打开的数据连接的端口，当有数据传输需求的时候，客户端会使用一个随机端口（通常大于1024）
去连接服务器响应的数据连接端口。
ftp的主动模式和被动模式主要在进行防火墙的设置时需要考虑一下。

ftp中的用户：
1.系统实体账户：这些账户默认登录的家目录是自己的home目录，并且可以任意切换目录，如果要使用系统帐号作为ftp帐号，最好让将这些用户禁锢在自己的家目录中，并
且设置这些用户的shell为/sbin/nologin
2.匿名用户：一般就给下载权限即可，默认登录后的主目录在/var/ftp
3.虚拟账户：相对比较安全这些用户都不是系统账户，只具有对ftp的相关操作权限，可以自定义用户主目录

主要的配置文件
主配置文件/etc/vsftpd/vsftpd.conf
/etc/vsftpd/ftpusers 这个文件中的用户都不允许登录系统，在/etc/pam.d/vsftpd文件中定义的，里面一行一个帐号
/etc/vsftpd/user_list 这个是与配置文件中的userlist_enable和userlist_deny配合起来使用的，起到允许或者拒绝某别用户登录ftp，一行一个帐号
/etc/vsftpd/chroot_list 这个文件默认不存在需要手动建立，起到禁锢系统账户家目录的作用
比较严格的chroot环境的设定
chroot_local_user=YES
chroot_list_enable=YES
chroot_list_file=/etc/vsftpd.chroot_list 不受chroot限制的用户放在此文件中

具体的chroot以及ftpusers和user_list的使用比较简单这里主要介绍基于ssl的ftp以及基于虚拟用户的ftp。
1.基于SSL的ftp
1、首先自己建立一个CA
  cd /etc/pki/CA
  openssl genrsa 2048 > private/cakey.pem
  chmod 600 private/cakey.pem
  然后给CA自己制作一个证书
  vi /etc/pki/tls/openssl.cnf
  找到[CA_defualt]把下面的目录改为：
  dir = /etc/pki/CA改成绝对路径
  openssl req -new -x509 -key private/cakey.pem -out cacert.pem -days 3650
2、给ftp服务颁发证书
  cd /etc/pki/CA
  mkdri certs crl newcerts
  touch serial index.txt
  echo 01 > serial
  cd /etc/vsftpd/
  mkdir ssl用来存放证书，cd ssl
  自己生成一个证书
  openssl genrsa 2048 > ftp.key
  chmod 600 ftp.key
  向CA生成一个证书办法请求
  openssl req -new -key ftp.key -out ftp.csr
  为此httpd服务器颁发证书
  openssl ca -in ftp.csr -out ftp.crt -days 3650 此时ftp.csr文件就没用了，可以删除
3、测试

在windows下我这里使用flashfxp测试，新建连接如下：

2.使用虚拟账户
yum install db4-utils这个软件包
1、在/etc/vsftpd目录下面建立一个用户列表
vi vsuser.list在这个文件中一行写用户名一行写密码
db_load -T -t hash -f vsuser.list   vsuser.db 将用户认证文件转换为认证数据库
更改一下文件权限只有root用户可以读写
chmod 600 /etc/vsftpd/vsuser.*
mkdir /var/ftproot 为虚拟用户创建一个家目录
useradd -d /var/ftproot -s /sbin/nologin virtual 创建一个系统用户来映射虚拟用户，登录时候所有虚拟用户是以这个系统用户的身份来登录的
chmod 755 /var/ftproot 设置虚拟用户家目录的权限
建立支持虚拟用户的PAM认证文件vi /etc/pam.d/vsftpd.vu,此文件不存在手动建立即可
#%PAM-1.0
auth       required     pam_userdb.so db=/etc/vsftpd/vsuser
account    required     pam_userdb.so db=/etc/vsftpd/vsuser
2、在vsftpd.conf文件中添加对虚拟用户的支持
anonymous_enable=NO
local_enable=YES
write_enable=YES
anon_umask=022
guest_enable=YES
guest_username=virtual
pam_service_name=vsftpd.vu
3、为虚拟用户单独设置权限

在vsftpd.conf文件中添加用户配置目录支持user_config_dir=/etc/vsftpd/vsuser_dir
配置文件名与用户名同名
mkdir /etc/vsftpd/vsuser_dir
vi /etc/vsftpd/vsuser_dir/tom为tom用户设置单独的权限
anon_upload_enable=YES
anon_mkdir_write_enable=YES
然后重启测试一下，看看虚拟用户是否能够登录了。