一、环境准备与软件安装
在阿里云ECS上部署FTP服务前,需确保使用Ubuntu/CentOS等Linux系统,并通过SSH工具连接服务器。推荐安装开源的vsftpd作为服务端,执行以下命令完成安装:
- 更新软件源:
sudo apt-get update - 安装vsftpd:
sudo apt-get install vsftpd -y
安装完成后,需验证服务状态:systemctl status vsftpd,若未启动则执行systemctl start vsftpd 。
二、配置安全组与端口策略
阿里云ECS默认未开放FTP相关端口,需在控制台配置安全组规则:
- 开放21端口(控制通道)和20端口(主动模式数据传输)
- 若启用被动模式,需添加1024-65535端口范围的入站规则
| 协议类型 | 端口范围 | 授权对象 |
|---|---|---|
| TCP | 21/21 | 0.0.0.0/0 |
| TCP | 1024-65535 | 客户端IP段 |
三、FTP服务安全加固
修改/etc/vsftpd.conf配置文件实现安全增强:
anonymous_enable=NO # 禁用匿名登录 local_enable=YES# 启用本地用户认证 chroot_local_user=YES # 限制用户访问根目录 pasv_min_port=60000 # 限制被动模式端口范围 pasv_max_port=60100
创建专用FTP用户并设置权限:sudo adduser ftpuser --shell=/sbin/nologin ,通过ftpuser:1格式配置用户权限文件。
四、测试与验证
使用FileZilla等客户端测试连接,注意选择主动/被动模式:
- 主动模式:客户端开放20端口接收数据
- 被动模式:服务器返回随机高端口号
若出现连接超时,检查防火墙配置:sudo ufw allow 21/tcp和sudo ufw reload 。
通过合理配置vsftpd参数、限制用户权限及精准管理安全组规则,可在阿里云ECS上实现高可用性的安全FTP服务。建议定期审计日志文件/var/log/vsftpd.log,并使用SSL/TLS加密提升传输安全性。
