ubuntu ftp server配置

1）安裝vsftpd

sudo apt-get install vsftpd

2）設置 vsftpd.conf文件

注意：設置之前請備份！！

sudo cp /etc/vsftpd.conf /etc/vsftpd.conf.old

.1.1、監聽地址與控制端口

　　listen_address=ip address
此參數在VSFTPD使用單獨(standalone)模式下有效。此參數定義了在主機的哪個IP地址上監聽FTP請求，即在哪個IP地址上提供 FTP服務。對於只有一個IP地址的主機，不需要使用此參數。對於多址主機，不設置此參數，則監聽所有IP地址。默認值爲無。

listen_port=port_value
指定FTP服務器監聽的端口號(控制端口)，默認值爲21。此選項在standalone模式下生效。

5.1.2、FTP模式與數據端口
port_enable=YES|NO
如果你要在數據連接時取消PORT模式時，設此選項爲NO。默認值爲YES。

connetc_from_port_20=YES|NO
控制以PORT模式進行數據傳輸時是否使用20端口(ftp-data)。YES使用，NO不使用。默認值爲NO，但RHL自帶的vsftpd.conf文件中此參數設爲YES。

ftp_data_port=port number
設定ftp數據傳輸端口(ftp-data)值。默認值爲20。此參數用於PORT FTP模式。

port_promiscuous=YES|NO
默認值爲NO。爲YES時，取消PORT安全檢查。該檢查確保外出的數據只能連接到客戶端上。小心打開此選項。

pasv_enable=YES|NO
YES，允許數據傳輸時使用PASV模式。NO，不允許使用PASV模式。默認值爲YES。

pasv_min_port=port number
pasv_max_port=port number
設定在PASV模式下，建立數據傳輸所可以使用port範圍的下界和上界，0 表示任意。默認值爲0。把端口範圍設在比較高的一段範圍內，比如50000-60000，將有助於安全性的提高。

pasv_promiscuous=YES|NO
此選項激活時，將關閉PASV模式的安全檢查。該檢查確保數據連接和控制連接是來自同一個IP地址。小心打開此選項。此選項唯一合理的用法是存在於由安全隧道方案構成的組織中。默認值爲NO。

pasv_address=
此選項爲一個數字IP地址，作爲PASV命令的響應。默認值爲none，即地址是從呼入的連接套接字(incoming connectd socket)中獲取。


5.2.2 負載控制

max_clients=numerical value
此參數在VSFTPD使用單獨(standalone)模式下有效。此參數定義了FTP服務器最大的併發連接數，當超過此連接數時，服務器拒絕客戶端連接。默認值爲0，表示不限最大連接數。

max_per_ip=numerical value
此參數在VSFTPD使用單獨(standalone)模式下有效。此參數定義每個IP地址最大的併發連接數目。超過這個數目將會拒絕連接。此選項的設置將影響到象網際快車這類的多進程下載軟件。默認值爲0，表示不限制。

anon_max_rate=value
設定匿名用戶的最大數據傳輸速度value，以Bytes/s爲單位。默認無。

local_max_rate=value
設定用戶的最大數據傳輸速度value，以Bytes/s爲單位。默認無。此選項對所有的用戶都生效。此外，也可以在用戶個人配置文件中使用此選項，以指定特定用戶可獲得的最大數據傳輸速率。
步驟如下：
①在vsftpd.conf中指定用戶個人配置文件所在的目錄，如：
user_config_dir=/etc/vsftpd/userconf
②生成/etc/vsftpd/userconf目錄。
③用戶個人配置文件是在該目錄下，與特定用戶同名的文件，如：
/etc/vsftpd/userconf/xiaowang
④在用戶的個人配置文件中設置local_max_rate參數，如：
local_max_rate=80000
以上步驟設定FTP用戶xiaowang的最大數據傳輸速度爲80KBytes/s。

VSFTPD 對於速度控制的變化範圍大概在80%到120%之間。比如我們限制最高速度爲100KBytes/s，但實際的速度可能在80KBytes/s 到120KBytes/s 之間。當然，若是線路帶寬不足時，速率自然會低於此限制。

5.3 用戶選項

VSFTPD的用戶分爲三類：匿名用戶、本地用戶（local user）以及虛擬用戶（guest）。

5.3.1、匿名用戶

anonymous_enable=YES|NO
控制是否允許匿名用戶登錄，YES允許，NO不允許，默認值爲YES。

ftp_username=
匿名用戶所使用的系統用戶名。默認下，此參數在配置文件中不出現，值爲ftp。

no_anon_password=YES|NO
控制匿名用戶登入時是否需要密碼，YES不需要，NO需要。默認值爲NO。

deny_email_enable=YES|NO
此參數默認值爲NO。當值爲YES時，拒絕使用banned_email_file參數指定文件中所列出的e-mail地址進行登錄的匿名用戶。即，當匿名用戶使用banned_email_file文件中所列出的e-mail進行登錄時，被拒絕。顯然，這對於阻擊某些Dos***有效。當此參數生效時，需追加banned_email_file參數

banned_email_file=/etc/vsftpd.banned_emails
指定包含被拒絕的e-mail地址的文件，默認文件爲/etc/vsftpd.banned_emails。

anon_root=
設定匿名用戶的根目錄，即匿名用戶登入後，被定位到此目錄下。主配置文件中默認無此項，默認值爲/var/ftp/。

anon_world_readable_only=YES|NO
控制是否只允許匿名用戶下載可閱讀文檔。YES，只允許匿名用戶下載可閱讀的文件。NO，允許匿名用戶瀏覽整個服務器的文件系統。默認值爲YES。

anon_upload_enable=YES|NO
控制是否允許匿名用戶上傳文件，YES允許，NO不允許，默認是不設值，即爲NO。除了這個參數外，匿名用戶要能上傳文件，還需要兩個條件：一，write_enable參數爲YES;二，在文件系統上，FTP匿名用戶對某個目錄有寫權限。

anon_mkdir_write_enable=YES|NO
控制是否允許匿名用戶創建新目錄，YES允許，NO不允許，默認是不設值，即爲NO。當然在文件系統上，FTP匿名用戶必需對新目錄的上層目錄擁有寫權限。

anon_other_write_enable=YES|NO
控制匿名用戶是否擁有除了上傳和新建目錄之外的其他權限，如刪除、更名等。YES擁有，NO不擁有，默認值爲NO。

chown_uploads=YES|NO
是否修改匿名用戶所上傳文件的所有權。YES，匿名用戶所上傳的文件的所有權將改爲另外一個不同的用戶所有，用戶由chown_username參數指定。此選項默認值爲NO。

chown_username=whoever
指定擁有匿名用戶上傳文件所有權的用戶。此參數與chown_uploads聯用。不推薦使用root用戶。

5.3.2、本地用戶

在使用FTP服務的用戶中，除了匿名用戶外，還有一類在FTP服務器所屬主機上擁有賬號的用戶。VSFTPD中稱此類用戶爲本地用戶（local users），等同於其他FTP服務器中的real用戶

local_enable=YES|NO
控制vsftpd所在的系統的用戶是否可以登錄vsftpd。默認值爲YES。

local_root=
定義所有本地用戶的根目錄。當本地用戶登入時，將被更換到此目錄下。默認值爲無。

user_config_dir=
定義用戶個人配置文件所在的目錄。用戶的個人配置文件爲該目錄下的同名文件。個人配置文件的格式與vsftpd.conf格式相同。例如定義 user_config_dir=/etc/vsftpd/userconf，並且主機上有用戶xiaowang,lisi，那我們可以在 user_config_dir的目錄新增名爲xiaowang、lisi的兩個文件。當用戶lisi 登入時，VSFTPD則會讀取user_config_dir下lisi這個文件中的設定值，應用於用戶lisi。默認值爲無。

5.3.3、虛擬用戶

guest_enable=YES|NO
若是啓動這項功能，所有的非匿名登入者都視爲guest。默認值爲關閉。

guest_username=
定義VSFTPD的guest用戶在系統中的用戶名。默認值爲ftp。

5.4、安全措施

5.4.1、用戶登錄控制

pam_service_name=vsftpd
指出VSFTPD進行PAM認證時所使用的PAM配置文件名，默認值是vsftpd，默認PAM配置文件是/etc/pam.d/vsftpd。

/etc/vsftpd.ftpusers
VSFTPD禁止列在此文件中的用戶登錄FTP服務器。這個機制是在/etc/pam.d/vsftpd中默認設置的。

userlist_enable=YES|NO
此選項被激活後，VSFTPD將讀取userlist_file參數所指定的文件中的用戶列表。當列表中的用戶登錄FTP服務器時，該用戶在提示輸入密碼之前就被禁止了。即該用戶名輸入後，VSFTPD查到該用戶名在列表，VSFTPD就直接禁止掉該用戶，不會再進行詢問密碼等後續步聚。默認值爲 NO。

userlist_file=/etc/vsftpd.user_list
指出userlist_enable選項生效後，被讀取的包含用戶列表的文件。默認值是/etc/vsftpd.user_list。

userlist_deny=YES|NO
決定禁止還是隻允許由userlist_file指定文件中的用戶登錄FTP服務器。此選項在userlist_enable 選項啓動後才生效。YES，默認值，禁止文件中的用戶登錄，同時也不向這些用戶發出輸入口令的提示。NO，只允許在文件中的用戶登錄FTP服務器。

tcp_wrappers=YES|NO
在VSFTPD中使用TCP_Wrappers遠程訪問控制機制，默認值爲YES。

5.4.2、目錄訪問控制

chroot_list_enable=YES|NO
鎖定某些用戶在自家目錄中。即當這些用戶登錄後，不可以轉到系統的其他目錄，只能在自家目錄(及其子目錄)下。具體的用戶在chroot_list_file參數所指定的文件中列出。默認值爲NO。

chroot_list_file=/etc/vsftpd/chroot_list
指出被鎖定在自家目錄中的用戶的列表文件。文件格式爲一行一用戶。通常該文件是/etc/vsftpd/chroot_list。此選項默認不設置。

chroot_local_users=YES|NO
將本地用戶鎖定在自家目錄中。當此項被激活時，chroot_list_enable和chroot_local_users參數的作用將發生變化，chroot_list_file所指定文件中的用戶將不被鎖定在自家目錄。本參數被激活後，可能帶來安全上的衝突，特別是當用戶擁有上傳、 shell訪問等權限時。因此，只有在確實瞭解的情況下，纔可以打開此參數。默認值爲NO。

passwd_chroot_enable
當此選項激活時，與chroot_local_user選項配合，chroot()容器的位置可以在每個用戶的基礎上指定。每個用戶的容器來源於/etc/passwd中每個用戶的自家目錄字段。默認值爲NO。

5.4.3、文件好作控制

hide_ids=YES|NO
是否隱藏文件的所有者和組信息。YES，當用戶使用"ls -al"之類的指令時，在目錄列表中所有文件的擁有者和組信息都顯示爲ftp。默認值爲NO。

ls_recurse_enable=YES|NO
YES，允許使用"ls -R" 指令。這個選項有一個小的安全風險，因爲在一個大型FTP站點的根目錄下使用"ls -R"會消耗大量系統資源。默認值爲NO。

write_enable=YES|NO
控制是否允許使用任何可以修改文件系統的FTP 的指令，比如STOR、DELE、RNFR、RNTO、MKD、RMD、APPE 以及SITE。默認值爲NO，不過自帶的簡單配置文件中打開了該選項。

secure_chroot_dir=
這選項指向一個空目錄，並且ftp用戶對此目錄無寫權限。當vsftpd不需要訪問文件系統時，這個目錄將被作爲一個安全的容器，用戶將被限制在此目錄中。默認目錄爲/usr/share/empty。

5.4.4、新增文件權限設定

anon_umask=
匿名用戶新增文件的umask 數值。默認值爲077。

file_open_mode=
上傳檔案的權限，與chmod 所使用的數值相同。如果希望上傳的文件可以執行，設此值爲0777。默認值爲0666。

local_umask=
本地用戶新增檔案時的umask 數值。默認值爲077。不過，其他大多數的FTP服務器都是使用022。如果您的用戶希望的話，可以修改爲022。在自帶的配置文件中此項就設爲了022。

5.5、提示信息

ftpd_banner=login banner string
此參數定義了login banner string（登錄歡迎語字符串）。用戶可以自行修改。預設值爲無。當ftpd_banner設置後，將取代系統原來的歡迎詞。

banner_file=/directory/vsftpd_banner_file
此項指定一個文本文件，當使用者登入時，會顯示此該文件的內容，通常爲歡迎話語或是說明。默認值爲無。與ftpd_banner相比，banner_file是文本文件的形式，而ftpd_banner是字串格式。banner_file選項將取代ftpd_banner選項。

dirmessage_enable=YES|MO
控制是否啓用目錄提示信息功能。YES啓用，NO不啓用，默認值爲YES。此功能啓用後，當用戶進入某一個目錄時，會檢查該目錄下是否有message_file選項所指定的文檔，若是有，則會出現此文檔的內容，通常這個檔案會放置歡迎話語，或是對該目錄的說明。

message_file=
此選項，僅在dirmessage_enable選項激活方生效。默認值爲.message。

5.6、好志設置

xferlog_enable=YES|NO
控制是否啓用一個好志文件，用於詳細記錄上傳和下載。該好志文件由xferlog_file選項指定。默認值爲NO，但簡單配置文件中激活此選項。

xferlog_file=
這個選項設定記錄傳輸好志的文件名。默認值爲/var/log/vsftpd.log。

xferlog_std_format=YES|NO
控制好志文件是否使用xferlog的標準格式，如同wu-ftpd一樣。使用xferlog格式，可以重新使用已經存在的傳輸統計生成器。然而，默認的好志格式更爲可讀性。默認值爲NO，但自帶的配置文件中激活了此選項。

log_ftp_protocol=YES|NO
當此選項激活後，所有的FTP請求和響應都被記錄到好志中。提供此選項時，xferlog_std_format不能被激活。這個選項有助於調試。默認值爲NO。

5.7、其他設置

setproctitle_enable=YES|NO
YES，VSFTPD將在系統進程列表中顯示每個會話(session)的狀態。也就是說，進程報告將顯示每個vsftpd會話在做什麼(掛起、下載等)，如用ps -ef|grep ftp。出於安全的目的，可以考慮將此選項關閉。NO，進程報告只顯示一個vsftpd進程在運行。默認值爲NO。

text_userdb_names=YES|No
當使用者登入後使用ls -al 之類指令時，目錄列表的用戶和組信息域，默認是出現擁有者的UID，而不是該檔案擁有者的名稱。若是希望出現擁有者的名稱，則將此功能開啓。默認值爲NO。

user_localtime=YES|NO
默認爲NO。YES，VSFTPD顯示目錄列表時使用你本地時區的時間。默認是顯示GMT時間。同樣，由ftp命令“MDTM”返回的時間值也受此選項影響。

check_shell=YES|NO
此選項僅對不使用PAM方式的VSFTPD生效。當此選項關閉後，當本地用戶登錄時，VSFTPD不會檢查/etc/shells文件以尋找一個有效的用戶shell。默認爲YES。

nopriv_user=
指定一個用戶，當VSFTPD不想要什麼權限時，使用此用戶身份。這用戶最好是一個專用的用戶，而不是用戶nobody。在大多數的機器上，nobody用戶被用於大量重要的事情。默認值爲nobody。

pam_service_name=
指明VSFTPD使用用PAM驗證服務時的PAM配置文件名。默認值爲ftp。

6、VSFTPD應用

本部分介紹VSFTPD的具體應用方法。

6.1、允許匿名用戶上傳文件
在vsftpd.conf文件中修改或增加以下選項：
write_enable=YES
anon_world_readable_only=NO
anon_upload_enable=YES
anon_mkdir_write_enable=YES

然後創建供匿名用戶上傳文件的目錄，並設定權限：
# mkdir /var/ftp/incoming
# chmod o+w /var/ftp/incoming
由於匿名用戶（ftp）上傳文件，需要對incoming目錄進行好作，而incoming爲root所有，匿名用戶（ftp）對於incoming來說是其他用戶，所以要加入其他用戶（o）的寫權限。

6.2、限制用戶在自家目錄

在默認配置中，本地用戶可以切換到自家目錄以外的目錄進行瀏覽，並在權限範圍內進行上傳和下載，這無疑是個不安全因素。
我們可以設置chroot，讓本地用戶登錄後只能訪問自家目錄，無法訪問其他目錄。相關的選項有三個：chroot_local_user、chroot_list_enable、chroot_list_file。限制用戶在自家目錄有兩種做法：
1、限制所有的本地用戶在自家目錄
chroot_local_user=YES
這種做法，可能會帶來一些安全性上的衝突。參見前面的chroot_local_user選項描述。
2、限制部分本地用戶在自家目錄
chroot_local_user=NO
chroot_list_enable=YES
chroot_list_file=/etc/vsftpd.chroot_list
在/etc/vsftpd.chroot_list文件中加入要限制的本地用戶名。注意一個用戶名一行。

6.3、配置高安全級別的匿名FTP服務器

VSFTPD自帶的簡單配置文件已經自稱是偏執狂了，這裏看看能否更加偏執一些，。有些選項默認已經採用安全性的設置，這裏就不再寫出了。

#只允許匿名訪問，不允許本地用戶訪問
anonymous_enable=YES
local_enable=NO

#使用ftpd_banner取代VSFTPD默認的歡迎詞，免得泄漏相關信息
ftpd_banner=Welcome to this FTP Server
#只讓匿名用戶瀏覽可閱讀的文件，不可以瀏覽整個系統
anon_world_readable_only=YES
#隱藏文件的所有者和組信息，匿名用戶看到的文件的所有者和組全變爲ftp
hide_ids=YES

#取消寫權限
write_enable=NO
anon_upload_enable=NO
anon_mkdir_write_enable=NO
anon_other_write_enable=NO

#使用單獨模式，並指定監聽的IP地址
listen_address=ip address
#對連接進行控制，還有超時時間，那就根據具體情況再說了。
connect_from_port_20=YES
pasv_min_port=50000
pasv_max_port=60000
#控制併發數，限定每個IP地址的併發數，這個嘛，根據用戶自已定了。
max_clients=numerical value
max_per_ip=numerical value
#限定下載速度，具體限多大，就由用戶自己定了，80KB/s，也很快了吧。
anon_max_rate=80000

#啓用詳細的好志記錄格式
xferlog_enable=YES

6.4、基於IP地址的虛擬FTP服務器

假定服務器有兩個IP地址，192.168.0.1和192.168.0.2。VSFTPD是建立在192.168.0.1上的，現在我們在192.168.0.2上再提供一個虛擬FTP服務器。如何在一臺服務器上使用多個IP 地址，請參考相關文檔。

1、創建虛擬FTP服務器的根目錄。
mkdir -p /var/ftp2/pub
確保/var/ftp2和/var/ftp2/pub目錄的擁有者和組均爲root，掩碼爲755。

2、增加虛擬FTP服務器的匿名用戶帳號。原先的FTP服務器使用系統用戶ftp作爲其匿名用戶帳號。我們要增加一個ftp2用於虛擬FTP服務器。
useradd -d /var/ftp2 -M ftp2

3、創建虛擬FTP服務器的配置文件。複製原來的vsftpd.conf作爲虛擬FTP服務器的配置文件，並修改相關參數。
cp /etc/vsftpd/vsftpd.conf /etc/vsftpd/vsftpd2.conf
新添或修改以下參數：
listen=YES
listen_address=192.168.0.2
ftp_username=ftp2

注：由於VSFTPD默認是監聽所有的IP地址，當我們設定基於IP的虛擬FTP服務器時，爲防止原來的FTP服務器與虛擬FTP服務器發生監聽上的衝突，原FTP服務器需要指定監聽的IP地址。在這裏，原來的配置文件中就要設置listen_address=192.168.0.1。

4、啓動虛擬FTP服務器。

/etc/rc.d/init.d/vsftpd腳本在啓動時，掃描/etc/vsftpd/目錄下所有的*.conf文件，按照*.conf文件的先後，依次啓用vsftpd進程，每個vsftpd進程對應一個.conf文件。即，“ls /etc/vsftpd/”列表的次序與“ps -aux |grep vsftpd”中的順序一樣。當然了，“ps -aux | grep vsftpd”中也顯示出vsftpd所使用的配置文件，從中也可以看哪個vsftpd進程對應哪個FTP服務器。如果沒有列出配置文件，那就是默認的 vsftpd.conf，那麼該進程也就是原來的FTP服務器進程。
由於第3步中虛擬FTP服務器的配置文件被命名爲vsftpd2.conf文件，所以我們可以用/etc/rc.d/init.d/vsftpd腳本同時啓動或關閉原FTP服務器和新加的虛擬FTP服務器。
以下命令單獨啓動虛擬FTP服務器：
/usr/sbin/vsftpd /etc/vsftpd/vsftpd2.conf &
單獨關閉虛擬FTP服務器，用“ps -aux | grep vsftpd”查出進程號，再用kill指令殺死虛擬FTP的進程。

6.4、基於IP地址的虛擬FTP服務器

　　假定服務器有兩個IP地址，192.168.0.1和192.168.0.2。VSFTPD是建立在192.168.0.1上的，現在我們在192.168.0.2上再提供一個虛擬FTP服務器。如何在一臺服務器上使用多個IP 地址，請參考相關文檔。

　　1、創建虛擬FTP服務器的根目錄。
mkdir -p /var/ftp2/pub
確保/var/ftp2和/var/ftp2/pub目錄的擁有者和組均爲root，掩碼爲755。

　　2、增加虛擬FTP服務器的匿名用戶帳號。原先的FTP服務器使用系統用戶ftp作爲其匿名用戶帳號。我們要增加一個ftp2用於虛擬FTP服務器。
useradd -d /var/ftp2 -M ftp2

　　3、創建虛擬FTP服務器的配置文件。複製原來的vsftpd.conf作爲虛擬FTP服務器的配置文件，並修改相關參數。
cp /etc/vsftpd/vsftpd.conf /etc/vsftpd/vsftpd2.conf
新添或修改以下參數：
listen=YES
listen_address=192.168.0.2
ftp_username=ftp2

　　注：由於VSFTPD默認是監聽所有的IP地址，當我們設定基於IP的虛擬FTP服務器時，爲防止原來的FTP服務器與虛擬FTP服務器發生監聽上的衝突，原FTP服務器需要指定監聽的IP地址。在這裏，原來的配置文件中就要設置listen_address=192.168.0.1。

　　4、啓動虛擬FTP服務器。

　　/etc/rc.d/init.d/vsftpd腳本在啓動時，掃描/etc/vsftpd/目錄下所有的*.conf文件，按照*.conf文件的先後，依次啓用vsftpd進程，每個vsftpd進程對應一個.conf文件。即，“ls /etc/vsftpd/”列表的次序與“ps -aux |grep vsftpd”中的順序一樣。當然了，“ps -aux | grep vsftpd”中也顯示出vsftpd所使用的配置文件，從中也可以看哪個vsftpd進程對應哪個FTP服務器。如果沒有列出配置文件，那就是默認的vsftpd.conf，那麼該進程也就是原來的FTP服務器進程。
由於第3步中虛擬FTP服務器的配置文件被命名爲vsftpd2.conf文件，所以我們可以用/etc/rc.d/init.d/vsftpd腳本同時啓動或關閉原FTP服務器和新加的虛擬FTP服務器。
以下命令單獨啓動虛擬FTP服務器：
/usr/sbin/vsftpd /etc/vsftpd/vsftpd2.conf &
單獨關閉虛擬FTP服務器，用“ps -aux | grep vsftpd”查出進程號，再用kill指令殺死虛擬FTP的進程。