FTP被动模式实例

人道酬诚

需求：
        因项目需要，需要搭建ftp服务给开发和第三方使用，且需要保证数据安全。具体要求如下：
        server: 192.168.110.129
        user1: tnvde
        password: mapuser
        home_dir: ./tnvde
        read and write

        user2: nuance
        password: tnvdenuance
        homw_dir: ./tnvde/gmvde/
        read only

说明：这里采用ftp被动模式，由于需要从公司内网共享出去，从安全考虑只给server对外开放20，21和部分数据端口（>1024的非特权端口，这里只给了50000端口）

1、添加本地用户
# useradd tnvde -s /sbin/nologin
# useradd nuance -s /sbin/nologin
# passwd tnvde
# passwd nuance

2、安装软件vsftpd
# yum search vsftpd
# yum -y install vsftpd.x86_64

3、配置参数
# cp /etc/vsftpd/vsftpd.conf /etc/vsftpd/vsftpd.conf.bak
# vim /etc/vsftpd/vsftpd.conf

anonymous_enable=NO
idle_session_timeout=600
data_connection_timeout=120
chroot_local_user=YES
ls_recurse_enable=YES
user_config_dir=/etc/vsftpd/userconfig
pasv_enable=YES                                            //开启被动模式
pasv_min_port=50000                                    //指定数据传输端口范围（此处只限于50000端口）
pasv_max_port=50000

4、配置用户家目录
# mkdir -p  /data/01/ftp/tnvde/gmvde
# chmod -R 777 /data/01/ftp/
# chown -R nobody:ftp /data/01/ftp/
# mkdir /etc/vsftpd/userconfig
#cd /etc/vsftpd/userconfig
#vim tnvde
local_root=/data/01/ftp/tnvde/
#vim nuance
local_root=/data/01/ftp/tnvde/gmvde/

5、设置ACL
由于nuance用户为第三方提供服务，只读权限，这里通过ACL来限制（需要磁盘开启支持acl，/dev/xvdb1 /data/01 ext4 defaults,acl 0 0）
# setfacl -m u:nuance:r-x gmvde/

6、启动服务
# service vsftpd start
#chkconfig vsftpd on

7、在防火墙/LB上进行端口限制设置
仅开放20，21，50000端口

8、测试