信创平台下构建FTP服务

FTP服务是网基本服务之一，本文关于信创环境下如何构建基本FTP服务及使用。

一、FTP协议概述

FTP全称是File Transfer Protocol，FTP是在TCP/IP网络和INTERNET上最早使用的协议之一，所有的操作系统都支持FTP协议。FTP用于文件在网络上的传输，”下载”文件就是从远程主机拷贝文件至自己的计算机上；”上传”文件就是将文件从自己的计算机中拷贝至远程主机上。参考《FTP，SFTP，FTPS区别》

在进行文件传输时，FTP的客户端和服务器之间要建立两个并行的TCP连接：“控制连接”和“数据连接”。控制连接在整个会话期间一直保持打开，FTP客户端所发出的传送请求，通过控制连接发送给服务器端的控制进程，但控制进程并不用来传送文件。实际用于传输文件的是“数据连接”。服务器端的控制进程在接收到FTP客户端发来的文件传输请求后就创建“数据传送进程”和“数据连接”，用来连接客户端和服务器端的数据传送进程。数据传送进程实际完成文件的传送，在传送完毕后关闭“数据传输连接”并结束运行。FTP的传输有两种方式：ASCII、二进制。FTP支持两种服务模式：Standard (PORT方式，主动方式)，Passive (PASV，被动方式)。

Port模式：FTP 客户端首先和服务器的TCP 21端口建立连接，用来发送命令，客户端需要接收数据的时候在这个通道上发送PORT命令。PORT命令包含了客户端用什么端口接收数据。在传送数据的时候，服务器端通过自己的TCP 20端口连接至客户端的指定端口发送数据。FTP server必须和客户端建立一个新的连接用来传送数据。
Passive模式：建立控制通道和Standard模式类似，但建立连接后发送Pasv命令。服务器收到Pasv命令后，打开一个临时端口（端口号大于1023小于65535）并且通知客户端在这个端口上传送数据的请求，客户端连接FTP服务器此端口，然后FTP服务器将通过这个端口传送数据。

port模式（ https://www.jianshu.com/p/70a469f731b7）

pasv模式（ https://www.jianshu.com/p/70a469f731b7）

FTP标准命令TCP端口号为21，Port方式数据端口为20。服务器端iptables防火墙设置中开放TCP端口（21 + PASV端口范围）。

FTP 进行文件传输主要分为 4 个阶段，即建立连接阶段、身份认证阶段、命令交互阶段和断开连接阶段。Linux和windows命令行下用ftp命令访问ftp服务器，操作过程示例如下：

[root@localhost ~]# ftp 192.168.14.117
Connected to 192.168.14.117 (192.168.14.117).
220 Microsoft FTP Service
Name (192.168.14.117:root): anonymous
331 Anonymous access allowed, send identity (e-mail name) as password.
Password:
230 User logged in.
Remote system type is Windows_NT.
ftp> dir *.png
227 Entering Passive Mode (192,168,14,117,237,221).
125 Data connection already open; Transfer starting.
09-30-80  01:56AM               225257 caputer.png
09-30-80  01:26AM                92879 recyly.png
226 Transfer complete.
ftp> quit
221 Goodbye.

windows中含有基本的FTP服务软件，可以快速建立一个简单的FTP服务环境，配置方法参考本文最后部分。

二、访问FTP服务器

访问FTP服务器有多种方式，包括命令行工具（如前面介绍过的ftp命令，还有wget等工具软件）、文件管理器和专用ftp图形化管理工具等。如果仅仅是下载，还可以使用浏览器，所以ftp服务器仍然是一种常用的公共资源服务。

1. 资源管理器（文件管理器）访问FTP服务器

简单的ftp访问可以通过浏览器或者资源管理器进行，输入一个ftp地址即可。FTP地址和WEB地址类似，格式：ftp://用户名:密码@FTP服务器IP或域名：FTP命令端口/路径/文件名
例如：ftp://192.168.14.117、ftp://usr1:pass1@192.168.14.117、ftp://usr1:pass1@192.168.14.117/download 等。

windows下可以在文件管理器地址栏输入后打开ftp(Linux文件管理器也可以这样操作)，下图是windows资源管理器访问ftp目录。

2. 浏览器访问FTP服务器

例如在Linux版的Firefox地址栏输入某单位内网FTP服务器地址“ftp://ftp.hubei.net”，如下图：

|提示|：Firefox访问ftp有时候会显示乱码，解决方法是进入Firefox菜单（按下键盘【Alt】+【F10】键），【查看】→【文字编码】→【Unicode】。

IE浏览器访问ftp，从【页面】-》【在windows资源管理器中打开ftp站点】，如4.1节图。
【注】IE浏览器7.0/8.0版本在安全方面进行了增强，FTP目录调成资源管理器形式，同时取消了以前版本对 FTP访问的许多功能。在菜单栏选择工具—〉Internet 选项 —〉高级 —〉浏览-->钩选“启用 FTP 文件夹视图（在InternetExplorer之外）”复选框, 然后单击确定。重启ie后在页面工具最下面就出现在windows浏览器中打开ftp菜单。
【注】IE8缺省为使用被动FTP，如果VSFTP使用缺省的主动模式，则可能无法访问，如不改变服务器模式下解决方法：打开“工具”菜单下的“Internet选项”命令，切换到“高级”标签，改变其中的“使用被动FTP（为防火墙和DSL调制解调器兼容性）”选项的状态为不选，缺省为使用被动FTP。

3. FileZilla 客户端访问FTP服务器

Filezilla是一个免费开源的跨平台FTP客户端软件，很多Linux系统包括麒麟操作系统中默认使用 Filezilla作为FTP客户端。FileZilla支持FTP、FTPS、SFTP等文件传输协议，支持简体中文在内的多国语言，支持建立多个标签同时工作，支持远程查找文件功能。
要使用 Filezilla来上传（下载）文件，首先需要设定FTP服务器（站点）信息，FileZilla自带功能强大的站点管理和传输队列管理。通过【文件】→【站点管理器】→【新站点】按钮，出现站点配置页面，输入远程站点主机地址、服务器类型、用户名和密码，点击连接。

连接后的界面如下图所示，可以在本地和服务器端两个窗口上进行上传、下载等操作。

三、Linux下FTP服务器vsftp基本配置与管理

Linux下的FTP服务主要有Wu-ftpd、Proftpd、vsFTPd及PureFTPd等， vsFTPd是Red Hat内置的FTP服务器软件，PureFTPd是内置在SuSE、Debian中的FTP服务器软件。Windows下的IIS的内置简单的ftp服务。本文主要以vsFTP为例。

确保selinux关闭以及防火墙关闭或开启21端口，确保vsftp安装和启动，参考命令如下：

yum  install vsftpd
systemctl start vsftpd
systemctl enable vsftpd
netstat -tanlp|grep vsftpd

1. vsftp配置文件

VSFTP配置文件：/etc/vsftpd/vsftpd.conf，最基本的配置示例如下：

anonymous_enable=YES  #允许匿名用户访问，缺省是Yes
write_enable=YES   #可写总开关
anon_uoload_enable=NO  #关闭匿名上传
anon_mkdir_write_enable=NO #被动模式配置
connect_from_port_20=YES  #启用20端口，即开启主动模式
pasv_enable=YES   #打开被动模式
pasv_min_port=3300  #被动模式下的最小端口号
pasv_max_port=3320  #被动模式下的最大端口号ftp_username=ftp   #定义匿名用户的账户名称，默认值为ftp。
no_anon_password=YES  #匿名登陆不询问密码
anon_root=/home/ftproot  #匿名用户根目录local_root=/home/ftproot  #local_root 针对系统用户(包括虚拟用户)；anon_root 针对匿名用户
chroot_local_user=YES  #不允许本地用户离开其宿主目录##################日志配置 ###################
xferlog_enable=YES  #上传下载日志
xferlog_file=/var/log/xferlog
xferlog_std_format=YES
dual_log_enable=YES  #登录日志
vsftpd_log_file=/var/log/vsftpd.log
use_localtime=YES  #日志中的时间与系统时间保持一致

这里允许匿名用户访问ftp但禁止上传、设置工作模式为PASV被动模式及端口、设置工作目录等。

2. 目录权限设置

配置文件中一个主要的设置修改就是ftp主目录的设置。系统用户登录 vsftpd 服务后的根目录是系统用户的主目录（匿名的annoymous==ftp），上面配置中ftp用户的主目录在/home/ftproot。vsFTPd出于安全考虑，不允许匿名写ftp主目录，如果出现访问被拒绝的错误（500 OOPS: vsftpd: refusing to run with writable anonymous root），基本是因为对ftp的主目录执行过chmod 777导致。需要进行如下修改；

#more /etc/passwd |grep ftp
ftp:x:1000:1000:FTP User:/home/ftproot:/sbin/nologin
[root@localhost ~]# chown root:root /home/ftproot
[root@localhost ~]# chmod 755 /home/ftproot

[注]：如需要匿名用户上传文件，除了anon_uoload_enable=yes 打开匿名上传开关，还需要建一个权限是777的上传目录如/home/ftproot/temp。

配置文件中可以加入local_mask设置，如下：

local_mask=022    #设置本地用户的文件生成掩码为022,默认值为077

表示用户登陆FTP创建一个目录的权限是777，如果上传一个文件的权限是666，将777(rwx )-022=755(r-x)、666(rw-)-022=644(r--)。

3. ftp虚拟用户

vsftpd有匿名，本地和虚拟三种用户类型：

匿名登录：在登录FTP时使用默认的用户名，一般是ftp或anonymous；适合提供公共下载服务。
本地用户登录：使用系统用户登录，在/etc/passwd中，通过useradd命令添加；适合少量服务器用户使用ftp服务。
Vsftpd虚拟用(guest)是为了保证FTP服务器安全，由vsftpd服务器提供的非系统用户，可以把指定的目录作为FTP根目录。Vsftpd使用PAM模块进行虚拟用户登录认证，用户量稍多可以用db库进行认证管理，用户量较多可以用mysql数据库进行管理。

实际工作中，现在文件资源共享和下载的方式比较多，ftp更多适合是用于公共下载服务，然后会提供少数用户（虚拟用户）自行上传的权限。对于系统管理人员需要更直接控制可以用sftp协议及工具，对于大量用户的读写需求实际上更多是用NFS/SMB共享协议或者是HTTP协议的网盘来实现。一般不需要在ftp用户和权限定义这方面过于细致。

【本地用户登录举例】
本地用户登录FTP服务器后进入自己主目录，例如三个用户try1,try2 try3对主目录/home/try分配的权限不同，try1访问权限为：上传，下载，建目录；try2，try3访问权限为下载，浏览，不能建目录和上传。实现了群组中用户不同访问级别，加强了对FTP服务器的分级安全管理。

#mkdir -p /home/try  递归创建新目录
#groupadd try        新建组
#useradd -g try -d /home/try try1 新建用户try1并指定家目录和属组
#useradd -g try -d /home/try try2 新建用户try2并指定家目录和属组
#useradd -g try -d /home/try try3 新建用户try3并指定家目录和属组
#passwd try1  为新用户设密码
#passwd try2  为新用户设密码
#passwd try3  为新用户设密码
#chown try1 /home/try 设置目录属主为用户try1
#chown try /home/try 设置目录属组为组try
#chmod 750 /home/try  设置目录访问权限try1为读，写，执行；try2，try3为读，执行

一般使用中用虚拟用户的比较常见。虚拟用户是相对于FTP服务器而言才有用的用户，虚拟用户只能访问FTP服务器所提供的资源，因而可以大大提高系统安全性。虚拟用户管理可以使用内置的userdb数据库，pam_userdb.so模块的主要作用是通过一个轻量级的Berkeley数据库来保存用户和口令信息。对于用户量大的还可以使用mysql(pam_mysql）来管理，或者是通过pam_ldap方式由LDAP目录服务为其提供登录认证。下面以pam_userdb为例。

（1）添加虚拟用户口令文件
vi /etc/vsftpd/vftpuser.txt #添加虚拟用户名和密码，一行用户名，一行密码，以此类推。奇数行为用户名，偶数行为密码。

liufan  #用户名
123456  #密码
xiaogan #用户名
123456  #密码
……

（2）生成虚拟用户口令认证数据库DB文件
将刚添加的vftpuser.txt虚拟用户口令文件转换成系统识别的口令认证文件，使用db_load命令生成虚拟用户口令认证文件（每次编辑vftpuser.txt后，需要重新执行一次本操作，更新数据库文件）。

db_load –T –t hash –f /etc/vsftpd/vftpuser.txt /etc/vsftpd/vftpuser.db

（3）编辑vsftpd的PAM认证文件

编辑 /etc/pam.d/vsftpd #其他的都注释掉，添加pam_userdb相关的两行，如下：

#%PAM-1.0
#auth       required     pam_mysql.so config_file=/etc/samba/pam_mysql.conf
#account    required    pam_mysql.so config_file=/etc/samba/pam_mysql.conf
auth    sufficient  pam_userdb.so   db=/etc/vsftpd/virtusers
account sufficient  pam_userdb.so   db=/etc/vsftpd/virtusers

（4）建立本地映射用户并设置宿主目录权限
所有的FTP虚拟用户需要使用一个系统用户，这个系统用户不登录，也不需要密码。

useradd –d /home/vftpsite –s /sbin/nologin vftpuser
chmod 700 /home/vftpsite

（5）配置vsftpd.conf（增加几个设置虚拟用户配置项）
guest_enable=YES #开启虚拟用户
guest_username=vftpuser    #FTP虚拟用户对应的系统用户
pam_service_name=vsftpd     #PAM认证文件
chroot_local_user=YES #要打开
virtual_use_local_privs=YES      #虚拟用户使用本地权限，当virtual_use_local_privs=NO时，虚拟用户和匿名用户有相同的权限，默认是NO。
user_config_dir=/etc/vsftpd/vconf #虚拟用户的配置文件目录

（6）为每个虚拟用户单独设置主目录

默认情况下，所有虚拟用户的主目录都是guest用户（即vftpuser）的主目录。user_config_dir选项可以对每个虚拟用户单独设置。
user_config_dir=/etc/vsftpd/userconf ##虚拟用户的配置文件目录，每个虚拟用户一个同名文件（无扩展名！），个人配置文件中的选项的值将会覆盖总的配置文件vsftpd.conf中的值。例：/etc/vsftpd/vconf/liufan

local_root=/var/www/htdocs
anonymous_enable=NO
write_enable=YES
local_umask=022
anon_upload_enable=NO
anon_mkdir_write_enable=NO
idle_session_timeout=600
data_connection_timeout=120
max_clients=10
max_per_ip=5
local_max_rate=50000

指定个人主目录还可以如下： user_sub_token=$USER
那么每个虚拟用户的配置文件中设置local_root
local_root=/home/ftproot/$USER
$USER就是虚拟用户的用户名，即每个虚拟用户的主目录是/home/ftproot下的与自己用户名同名的目录。
注意：
[1]这个目录需要手工建立，并分配权限和权属，否则ftp登陆了却进不去
chown -R vftpuser.vftpuser /home/ftproot/liufan/
[2] 如果需要访问公共目录，可以在个人目录下ln –s 一个软链接，设为只读。

（7）virtual_use_local_privs 控制虚拟用户权限

当virtual_use_local_privs=YES时，虚拟用户和本地用户有相同的权限；当virtual_use_local_privs=NO时，虚拟用户和匿名用户有相同的权限，默认是NO。
当virtual_use_local_privs=YES，write_enable=YES时，虚拟用户具有写权限（上传、下载、删除、重命名）。
当virtual_use_local_privs=NO，write_enable=YES，anon_world_readable_only=YES，anon_upload_enable=YES时，虚拟用户不能浏览目录，只能上传文件，无其他权限。
当virtual_use_local_privs=NO，write_enable=YES，anon_world_readable_only=NO，anon_upload_enable=NO时，虚拟用户只能下载文件，无其他权限。
当virtual_use_local_privs=NO，write_enable=YES，anon_world_readable_only=NO，anon_upload_enable=YES时，虚拟用户只能上传和下载文件，无其他权限。
当virtual_use_local_privs=NO，write_enable=YES，anon_world_readable_only=NO，anon_mkdir_write_enable=YES时，虚拟用户只能下载文件和创建文件夹，无其他权限。
当virtual_use_local_privs=NO，write_enable=YES，anon_world_readable_only=NO，anon_other_write_enable=YES时，虚拟用户只能下载、删除和重命名文件，无其他权限。

4. 虚拟用户举例2

《vsftp如何配置虚拟用户实现不同用户拥有不同权限和不同目录》所举的例子也较为常见，列举了三种虚拟用户配置（无db、bdb、mysql）。
这里摘录虚拟用户未采用db管理的方法，适合用户比较少的时候。

不同用户(以三个为例)不同权限，不同目录的实现：
a.web用户，本地目录是：/var/www，可以上传下载，可以新建文件夹，可以删除文件和文件夹；
b.download用户，本地目录是：/home/ftp，只能浏览和下载；
c.admin用户，本地目录是：/home/ftp，可以上传下载，可以新建文件夹、删除和改文件和文件夹名。
三个帐号均不能登录系统，并且用ftp连接时锁定在自己的家目录（每个用户可以不同目录），而不能进入系统文件夹。基本思路：用虚拟用户访问FTP，为每个虚拟用户建立一个独立的配置文件，使不同的虚拟用户具有不同的主目录，不同的权限。
1. 建立本地虚拟用户：
#useradd -d /home/ftp virtual

2. 在/home/ftp/创建目录并改变其属性和它的宿主
#chown virtual /home/ftp
#chmod 700 /home/ftp

3. 改变web发布页所在目录(/var/www)属性和它的宿主
#chown virtual /var/www
#chmod 775 /var/www （可根据具体情况修改这个权限）

4. 创建ftp用户文件目录:/etc/vsftpd/user_conf，创建以用户名命名的配置文件web、download、admin
   #mkdir /etc/vsftpd/user_conf
   “download”文件内容如下：
   local_root=/home/ftp （注意virtual用户对此目录的权限）
   anon_world_readable_only=NO (使download用户能下载,也只能下载；YES不能列出文件和目录）

“admin”文件内容如下：
    local_root=/home/ftp
    anon_world_readable_only=NO
    write_enable=YES （写权限）
    anon_mkdir_write_enable=YES (新建目录权限)
    anon_upload_enable=YES（上传权限）
    anon_other_write_enable=YES（删除/重命名的权限）

“web”文件内容如下：
    local_root=/var/www
    anon_world_readable_only=NO
    anon_umask=022 （由于web页面的特殊性，故单独设置上传文件权限为755，此掩码值可根据具体情况更改）
    write_enable=YES （写权限）
    anon_mkdir_write_enable=YES (新建目录权限)
    anon_upload_enable=YES（上传权限）
    anon_other_write_enable=YES（删除/重命名的权限）

5. 在/etc/vsftpd.conf加入或者更改以下配置语句:
   anonymous_enable=NO （当然你也可以设成YES,同时允许匿名用户登陆）
   local_enable=YES （必须置YES，因为虚拟用户是映射到virtual这个本地用户来访问的）
   guest_enable=YES（启用虚拟用户）
   guest_username=virtual（将虚拟用户映射为本地virtual用户）
   pam_service_name=ftp.vu（指定PAM配置文件为ftp.vu）
   user_config_dir=/etc/vsftpd/user_conf（指定不同虚拟用户配置文件的存放路径）

5. 完整的vsftpd.conf

至此，完整的vsftpd.conf配置文件如下：

anonymous_enable=YES
local_enable=YES
write_enable=YES
local_umask=022#anon_upload_enable=YES
#anon_mkdir_write_enable=YES
#anon_other_write_enable=YES
#anon_world_readable_only=NOdirmessage_enable=YESxferlog_enable=YESconnect_from_port_20=YES#chown_uploads=YES
#chown_username=whoeverxferlog_file=/var/log/xferlog
xferlog_std_format=YES
dual_log_enable=YES
vsftpd_log_file=/var/log/vsftpd.log
use_localtime=YES
idle_session_timeout=600
data_connection_timeout=120
#nopriv_user=ftpsecure
#async_abor_enable=YES
#ascii_upload_enable=YES
#ascii_download_enable=YESftpd_banner=Welcome to HBSJW FTP service.
#deny_email_enable=YES
#banned_email_file=/etc/vsftpd/banned_emailschroot_local_user=YES
#chroot_list_enable=YES
#chroot_list_file=/etc/vsftpd/chroot_list
#ls_recurse_enable=YESlisten=YES
#listen_ipv6=YESpasv_enable=YES
pasv_min_port=3300
pasv_max_port=3320ftp_username=ftp
no_anon_password=YES
anon_root=/home/ftproot
local_root=/home/ftprootpam_service_name=vsftpd
guest_enable=YES
guest_username=ftpvirtual_use_local_privs=YES
#session_support=YES
userlist_enable=YES
tcp_wrappers=YESuser_sub_token=$USER
user_config_dir=/etc/vsftpd/userconf

6.vsftpd日志

在vsftpd.conf中有如下内容定义了日志的记录方式：
xferlog_enable=YES # 表明FTP服务器记录上传下载的情况

# 表明将记录的上传下载情况写在xferlog_file所指定的文件中，即xferlog_file选项指定的文件中
xferlog_std_format=YES
xferlog_file=/var/log/xferlog
例：Thu Sep 6 09:07:48 2007 7 192.168.57.1 4323279 /home/student/phpMy.tar.gz b -i r student ftp 0 * c

# 启用双份日志。在用xferlog文件记录服务器上传下载情况的同时，
# vsftpd_log_file所指定的文件，即/var/log/vsftpd.log也将用来记录服务器的传输情况
dual_log_enable=YES
vsftpd_log_file=/var/log/vsftpd.log
例：
Tue Sep 11 14:59:03 2007 [pid 3460] CONNECT: Client "127.0.0.1"
Tue Sep 11 14:59:24 2007 [pid 3459] [ftp] OK LOGIN;Client "127.0.0.1" ,anon password ”?"
log_ftp_protocol默认: YES
如果启用, 若选项 xferlog_std_format 没启用, 所有的 FTP 请求和应答都会被记录. 对调试很有用.

/var/log/xferlog日志文件中数据的分析和参数说明

记录数据	参数名称	参数说明
Thu Sep 6 09:07:48 2007	当前时间	服务器本地时间，格式为： DDD MMM dd hh:mm:ss YYY
7	传输时间	传送文件所用时间，单位为秒
192.168.57.1	远程主机名称/IP	远程主机名称/IP
4323279	文件大小	传送文件的大小，单位为byte
/home/stud/phpMy.tar.gz	文件名	传输文件名，包括路径
b	传输类型	传输方式的类型，包括两种： a以ASCII传输 b以二进制文件传输
–	特殊处理标志	特殊处理的标志位，可能的值包括： _ 不做任何特殊处理 C 文件是压缩格式 U 文件是非压缩格式 T 文件是tar格式
i	传输方向	文件传输方向，包括两种： o 从FTP服务器向客户端传输 i 从客户端向FTP服务器传输
r	访问模式	用户访问模式：匿名用户g 来宾用户r 真实系统用户
student	用户名	用户名称
ftp	服务名	所使用的服务名称，一般为FTP
0	认证方式	认证方式，包括：0 无1 RFC931认证
*	认证用户id	认证用户的id，如果使用*，则表示无法获得该id
c	完成状态	传输的状态：c 表示传输已完成i 表示传输示完成

四、webmin管理vsftp

webmin默认并没有提供vsftp的配置插件，参考本博客《龙芯架构下安装使用webmin管理工具》下载并安装。在webmin官网上查找其插件：https://www.webmin.com/cgi-bin/search_third.cgi?search=vsftp。

但是这个vsftpd的webmin插件功能相对比较简单，都可以在配置文件中找到对应的选项，但是虚拟用户管理不是很方便。

五、windows IIS ftp服务器

windows中IIS带有一个ftp服务器，除了windows server外，因为windows7/10都可以安装IIS，也可以开启ftp服务。IIS 的ftp服务器配置非常简单。一般常常把windows7/10的ftp当作是临时或者测试的匿名FTP服务器用一下，如下面步骤设置即可完成。更多的操作，关于windows下IIS FTP服务器搭建文章很多，例如《Windows下搭建FTP服务器的一些总结》已经非常详细了，可以参考。

1. 对于win7/10，默认是没有安装ftp服务的。首先要安装和开启ftp服务，控制面板--》程序--》启用或关闭windows功能，如下图，勾选Internet信息服务下FTP服务器，如下图：

2. 安装完成后，可以从管理工具-Internet信息服务，对FTP服务进行管理，右键点击电脑名称（这里是ADMIN-PC），选择新建FTP站点，出现向导程序，第一步就是设置FTP站点的根目录，如下图：

3. 其次是设置FTP服务器的端口和底知，以及是否启用SSL，如下图：

4. 再就是配置身份验证方法，这里设置匿名用户可以下载。

OK，一个可以正常访问的基本FTP服务就建起来了。