1. 安装与基础配置
在CentOS系统中,推荐使用vsftpd作为FTP服务端。通过yum install vsftpd完成安装后,需启动服务并设为开机自启:
systemctl start vsftpd
systemctl enable vsftpdWindows平台可选择FileZilla Server,安装时需注意选择SSL支持模块,并在首次启动时配置管理端口和密码。
2. 安全组与防火墙设置
FTP需开放以下端口:
- 控制通道:TCP 21
- 被动模式数据端口:TCP 50000-51000(自定义范围)
在云服务器安全组中,需同时配置入站规则允许这些端口通信。对于本地防火墙,使用以下命令放行服务:
firewall-cmd --permanent --add-service=ftp
firewall-cmd --reload被动模式需在配置文件中指定端口范围(pasv_min_port/pasv_max_port)。
3. SSL/TLS加密配置
实现安全传输需完成以下步骤:
- 生成SSL证书:
openssl req -x509 -nodes -days 365 -newkey rsa:2048 -keyout ftp.key -out ftp.crt - 修改vsftpd配置文件:
ssl_enable=YES allow_anon_ssl=NO force_local_logins_ssl=YES rsa_cert_file=/path/to/ftp.crt rsa_private_key_file=/path/to/ftp.key
- 重启服务生效配置。
4. 用户权限管理策略
推荐采用分层权限管理模式:
| 用户类型 | 根目录 | 写入权限 | 删除权限 |
|---|---|---|---|
| 管理员 | /ftp_root | 允许 | 允许 |
| 普通用户 | /ftp_root/user | 允许 | 禁止 |
| 匿名用户 | /ftp_root/guest | 禁止 | 禁止 |
在vsftpd中可通过user_config_dir实现个性化配置,FileZilla Server则提供图形化权限管理界面。
通过合理配置安全组规则、强制SSL加密传输、实施精细化用户权限管理,可构建既高效又安全的FTP服务环境。建议定期审查访问日志并更新SSL证书,同时采用SFTP作为更安全的替代方案。
