原址：How to Install and Configure FTP Server in Ubuntu

FTP（File Transfer Protocol 文件传输协议 ）是通过网络在两台电脑之间传输文件的协议，这是一种很古老但是很常用的协议。它认证所用的用户名跟密码是通过明文在网络上传输的，因而先天就是不安全的。

警告：如果你计划使用FTP，请考虑使用SSL/TLS配置FTP连接，否则，做好使用安全的FTP，如SFTP。

在 Ubuntu 中使用 SSL/TLS 加密 FTP连接

在这篇文章中，我们将介绍如何在Ubuntu中去安装 配置并加固FTP服务器（在文章中我们使用 VsFTP，一个号称非常安全的FTP服务器软件），以去应对FTP漏洞。

Step 1.安装VsFTP

1.首先，升级Ubuntu系统并安装VsFTP

sudo apt-get update

sudo apt-get install -y vsftpd

2.安装完成后，启动VsFTP，并设置开机自启动。

------------- On SystemD -------------

systemctl start vsftpd

systemctl enable vsftpd

------------- On SysVInit -------------

service vsftpd start

chkconfig --level 35 vsftpd on

3.如果，你在服务器上开启了 UFW firewall 的话，还要开放 21 和 20 端口，来允许远程计算机的TCP连接，然后添加新的防火墙规则，

sudo ufw allow 20/tcp

sudo ufw allow 21/tcp

sudo ufw status

Step 2.配置Vsftp

4.首先，创建原始配置文件/etc/vsftpd.conf 的备份

sudo cp /etc/vsftpd.conf /etc/vsftpd.conf.orig

然后，打开配置文件

sudo vi /etc/vsftpd.conf

OR

sudo nano /etc/vsftpd.conf

添加/修改以下选项

anonymous_enable=NO            # disable  anonymous login

local_enable=YES                      # permit local logins

write_enable=YES                     # enable FTP commands which change the filesystem

local_umask=022                       # value of umask for file creation for local users

dirmessage_enable=YES          # enable showing of messages when users first enter a new directory

xferlog_enable=YES                  # a log file will be maintained detailing uploads and downloads

connect_from_port_20=YES        # use port 20 (ftp-data) on the server machine for PORT style connections

xferlog_std_format=YES             # keep standard log file format

listen=NO                                    # prevent vsftpd from running in standalone mode

listen_ipv6=YES                           # vsftpd will listen on an IPv6 socket instead of an IPv4 one

pam_service_name=vsftpd        # name of the PAM service vsftpd will use

userlist_enable=YES                 # enable vsftpd to load a list of usernames

tcp_wrappers=YES                   # turn on tcp wrappers

5.配置 /etc/vsftpd.userlist（注：在我的系统中默认是 /etc/vsftpd.user_list 文件且不存在，需要自己创建） 去允许/阻止FTP用户登陆

请注意，默认情况下，如果 userlist_enable = YES，userlist_deny = YES，则在 userlist_file = /etc/vsftpd.userlist 中列出的用户将被拒绝登陆。

但是，userlist_deny = NO 时 userlist_file = /etc/vsftpd.userlist 中的用户会允许登录FTP服务器。

userlist_enable=YES                  # vsftpd将从userlist_file给出的文件名中加载用户名列表

userlist_file=/etc/vsftpd.userlist    # 给出文件名列表的存储文件（注：若不配置，则默认为 /etc/vsftpp.user_list）

userlist_deny=NO

注意：当用户登录到FTP服务器时，由于开启了根目录限制，用户只能浏览他们的本地根目录，而不能跳转到其他目录。

接下来，我们将修改根目录限制。

6.我们添加/修改/取消注释以下两个选项，将FTP用户限制到其主目录。

chroot_local_user=YES

allow_writeable_chroot=YES

chroot_local_user = YES 意味着本地用户将被限制在根目录下，默认情况下登录在它们各自的主目录下。

默认情况下出于安全的考虑，VsFTP是不允许根目录可写的，但是我们可以通过 allow_writeable_chroot=YES 来使其可写。

保存并关闭配置文件，重启VsFTP服务器使上述改变生效

------------- On SystemD -------------

# systemctl restart vsftpd

------------- On SysVInit -------------

# service vsftpd restart

Step 3：测试VsFTP服务器

7.现在我们将通过使用 useradd 命令创建FTP用户来测试FTP服务器，如下所示：

sudo useradd -m -c "Aaron Kili, Contributor" -s /bin/bash aaronkilik

sudo passwd aaronkilik

然后，我们必须使用echo命令和tee命令在/etc/vsftpd.userlist文件中显式地列出用户aaronkilik，如下所示：

echo "aaronkilik" | sudo tee -a /etc/vsftpd.userlist

cat /etc/vsftpd.userlist

8.现在测试我们的服务器是否按上述要求配置工作。我们先测试匿名登录;我们可以从下面的输出中清楚地看到，不允许在FTP服务器上进行匿名登录：

# ftp 192.168.56.102                                                                          

Connected to 192.168.56.102  (192.168.56.102).  

220 Welcome to TecMint.com FTP service.

Name (192.168.56.102:aaronkilik) : anonymous

530 Permission denied.

Login failed.

ftp> bye

221 Goodbye.

9.接下来，让我们测试未在文件/etc/vsftpd.userlist中列出的用户是否可以登录到服务器。从以下输出中可以看出这是不允许的：

# ftp 192.168.56.102                                                                                        

Connected to 192.168.56.102  (192.168.56.102).

220 Welcome to TecMint.com FTP service.

Name (192.168.56.10:root) : user

1530 Permission denied.

Login failed.

ftp> bye

221 Goodbye

10.现在，我们将进行最后的测试，以确定在/etc/vsftpd.userlist文件中列出的用户是否可以成功登录并登录到主目录下。

# ftp 192.168.56.102                                                                                        

Connected to 192.168.56.102  (192.168.56.102).                                                      

220 Welcome to TecMint.com FTP service.                                                            

Name (192.168.56.102:aaronkilik) : aaronkilik                                                            

331 Please specify the password.                                                                  

Password:

230 Login successful.                                                                        

Remote system type is UNIX.                                                                                    

Using binary mode to transfer files.

ftp>ls

警告：设置选项 allow_writeable_chroot = YES 是比较危险，它可能有安全隐患，特别是如果用户有上传权限，shell访问权限等。只有你完完全全的知道你在做什么时，才能授予此权限。

这些安全隐患不仅仅只存在于 VSFTPD 进程中，它们也可以影响其他所有的，将用户限制于根目录中的FTP守护进程。

因为这个原因，在下面的部分，我们将介绍一个更安全的方法，为用户设置不同的不可写的本地根目录。

Step 4:配置 FTP 用户家目录

11.现在再次打开 VsFTP 配置文件

sudo vi /etc/vsftpd.conf

OR

sudo nano /etc/vsftpd.conf

使用＃字符注释掉不安全的选项，如下所示：

#allow_writeable_chroot=YES

接下来，为用户创建备用本地根目录（aaronkilik，你的目录可能不相同），并通过禁用其他用户对此目录的写入权限来设置我们所需的权限：

sudo mkdir /home/aaronkilik/ftp

sudo chown nobody:nogroup /home/aaronkilik/ftp

sudo chmod a-w /home/aaronkilik/ftp

12.然后，在本地目录下创建一个新目录，并赋予用户适当权限：

sudo mkdir /home/aaronkilik/ftp/files

sudo chown -R aaronkilk:aaronkilik /home/aaronkilik/ftp/files

sudo chmod -R 0770 /home/aaronkilik/ftp/files/

然后，在 VsFTPD 配置文件中添加/修改以下选项：

user_sub_token=$USER          # 将用户名插入本地根目录

local_root=/home/$USER/ftp    # 定义任何用户的本地根目录

保存并关闭配置文件，重启 VsFTP 使上述配置生效

------------- On SystemD -------------                                                                                  

# systemctl restart vsftpd                                                                                                  

------------- On SysVInit -------------                                     

# service vsftpd restart

13.现在，让我们进行最终的检查，确保用户登录后的根目录是我们在其主目录中创建的FTP文件夹

# ftp 192.168.56.102

Connected to 192.168.56.102  (192.168.56.102).

220 Welcome to TecMint.com FTP service.

Name (192.168.56.10:aaronkilik) : aaronkilik

331 Please specify the password.

Password:

230 Login successful.

Remote system type is UNIX.

Using binary mode to transfer files.

ftp>ls

PS：翻译的不好，英语四级刚过，见谅见谅！各位就凑合看吧，应该不影响操作吧！