Linux FTP Server权限设置指南

常见FTP服务器软件

1. vsftpd (Very Secure FTP Daemon)

   • 轻量级且安全性高
   • 默认配置较严格

2. proftpd

   • 功能丰富，配置灵活
   • 类似Apache的配置风格

3. pure-ftpd

   • 易用性好
   • 支持虚拟用户和多种认证方式

基本权限设置原则

1. 最小权限原则：只授予用户完成工作所需的最低权限
2. 隔离原则：不同用户/用户组之间文件应隔离
3. 写权限限制：谨慎授予写权限，特别是全局写权限

vsftpd配置示例

1. 安装vsftpd

sudo apt-get install vsftpd  # Debian/Ubuntu
sudo yum install vsftpd      # CentOS/RHEL

2. 基本配置文件(/etc/vsftpd.conf)

# 禁止匿名登录
anonymous_enable=NO

# 允许本地用户登录
local_enable=YES

# 启用chroot限制用户在其主目录
chroot_local_user=YES

# 允许写入(需配合文件系统权限)
write_enable=YES

# 限制用户列表(可选)
userlist_enable=YES
userlist_file=/etc/vsftpd.userlist
userlist_deny=NO  # 仅允许列表中的用户

3. 创建FTP专用用户

sudo useradd -m ftpuser -s /bin/bash
sudo passwd ftpuser

# 限制用户只能通过FTP访问(禁用shell登录)
sudo usermod -s /bin/false ftpuser

4. 设置目录权限

# 确保用户主目录权限正确
sudo chown -R ftpuser:ftpuser /home/ftpuser
sudo chmod 755 /home/ftpuser

# 创建上传目录并设置权限
sudo mkdir /home/ftpuser/upload
sudo chown ftpuser:ftpuser /home/ftpuser/upload
sudo chmod 775 /home/ftpuser/upload

高级权限控制

1. 使用虚拟用户(更安全)

# 创建虚拟用户数据库
sudo mkdir /etc/vsftpd
sudo touch /etc/vsftpd/virtual_users.txt
sudo db_load -T -t hash -f /etc/vsftpd/virtual_users.txt /etc/vsftpd/virtual_users.db

# 配置PAM认证
# 编辑/etc/pam.d/vsftpd，添加认证配置

# 在vsftpd.conf中添加
guest_enable=YES
guest_username=virtual
local_root=/home/virtual/$USER
user_sub_token=$USER

2. 限制上传文件权限

# 在vsftpd.conf中添加
file_open_mode=0666
local_umask=022

3. IP限制

# 允许特定IP访问
allow_writeable_chroot=YES
tcp_wrappers=YES

常见问题解决

1. 500 OOPS: vsftpd: refusing to run with writable root inside chroot()

   • 解决方案： bash sudo chmod a-w /home/ftpuser sudo mkdir /home/ftpuser/files sudo chown ftpuser:ftpuser /home/ftpuser/files 或在vsftpd.conf中添加： ini allow_writeable_chroot=YES

2. 530 Login incorrect

   • 检查：
     • 用户是否存在
     • 密码是否正确
     • PAM配置是否正确
     • /etc/shells是否包含用户shell

3. 连接超时

   • 检查防火墙设置： bash sudo ufw allow 20/tcp sudo ufw allow 21/tcp sudo ufw allow 40000:50000/tcp # 被动模式端口范围

安全最佳实践

1. 使用SFTP(SSH文件传输)替代FTP
2. 如必须使用FTP，启用TLS加密
3. 定期审计FTP日志(/var/log/vsftpd.log)
4. 限制FTP用户的系统权限
5. 使用fail2ban防止暴力破解

启用TLS加密(推荐)

1. 生成SSL证书

   sudo openssl req -x509 -nodes -days 365 -newkey rsa:2048 \
   -keyout /etc/ssl/private/vsftpd.pem -out /etc/ssl/private/vsftpd.pem
   

2. 配置vsftpd.conf

   ssl_enable=YES
   allow_anon_ssl=NO
   force_local_data_ssl=YES
   force_local_logins_ssl=YES
   ssl_tlsv1=YES
   ssl_sslv2=NO
   ssl_sslv3=NO
   rsa_cert_file=/etc/ssl/private/vsftpd.pem
   rsa_private_key_file=/etc/ssl/private/vsftpd.pem
   

3. 重启服务

   sudo systemctl restart vsftpd
   

通过以上配置，您可以建立一个相对安全且功能完善的FTP服务器，满足基本的文件传输需求。