在Linux系统中，搭建FTP服务器是常见的文件共享需求，尤其适用于跨平台传输文件，本文将详细介绍如何通过Linux命令配置和管理FTP服务器，包括安装、配置、用户管理、安全设置及常见问题解决,帮助读者快速上手并优化服务器性能。

安装FTP服务器软件

Linux系统中最常用的FTP服务器软件是vsftpd（Very Secure FTP Daemon），它以轻量、安全著称，以Ubuntu/Debian系统为例,通过以下命令安装：

sudo apt update
sudo apt install vsftpd

安装完成后，系统会自动启动vsftpd服务，对于CentOS/RHEL系统,可使用：

sudo yum install vsftpd
sudo systemctl start vsftpd

配置vsftpd

vsftpd的主配置文件位于/etc/vsftpd.conf,需根据需求修改以下关键参数：

1. 匿名访问控制
   禁止匿名登录（默认开启），取消注释或修改以下行：

   anonymous_enable=NO

2. 本地用户权限
   允许本地用户登录，并限制其访问目录：

   local_enable=YES
   chroot_local_user=YES
   allow_writeable_chroot=YES  # 允许chroot目录下的写操作（需配合其他安全设置）

3. 上传/下载权限
   控制文件传输权限：

   write_enable=YES
   local_umask=022  # 上传文件的默认权限掩码

4. 端口和连接限制
   限制并发连接数和IP地址：

   max_clients=100
   max_per_ip=5
   pasv_min_port=40000
   pasv_max_port=50000  # 被动模式端口范围

5. 日志记录
   启用详细日志：

   xferlog_enable=YES
   xferlog_file=/var/log/vsftpd.log

修改配置后,需重启服务使生效：

sudo systemctl restart vsftpd

创建FTP用户

建议为FTP服务创建独立用户，避免使用系统用户，创建用户ftpuser并设置家目录：

sudo useradd -m -d /home/ftpuser -s /sbin/nologin ftpuser
sudo passwd ftpuser

通过-s /sbin/nologin限制用户只能通过FTP登录，无法SSH，若需限制用户访问特定目录，可使用chroot或mount --bind绑定目录。

防火墙与SELinux配置

1. 防火墙开放端口
   若使用UFW（Ubuntu）：

   sudo ufw allow 20/tcp
   sudo ufw allow 21/tcp
   sudo ufw allow 40000:50000/tcp  # 被动模式端口

   若使用firewalld（CentOS）：

   sudo firewall-cmd --permanent --add-service=ftp
   sudo firewall-cmd --reload

2. SELinux设置
   在CentOS中，需启用SELinux的FTP策略：

   sudo setsebool -P ftpd_full_access on

安全优化建议

1. 启用SSL/TLS加密
   生成SSL证书并修改配置：

   sudo openssl req -x509 -nodes -days 365 -newkey rsa:2048 -keyout /etc/vsftpd/vsftpd.pem -out /etc/vsftpd/vsftpd.pem

   在vsftpd.conf中添加：

   ssl_enable=YES
   allow_anon_ssl=NO
   force_local_data_ssl=YES
   force_local_logins_ssl=YES

2. 限制用户权限
   通过user_config_dir为不同用户创建独立配置文件，例如在/etc/vsftpd_user_conf/下创建ftpuser文件：

   local_max_rate=500000  # 限制上传速度为500KB/s

常见问题排查

1. 连接被拒绝
   检查防火墙、SELinux状态及服务端口：

   sudo netstat -tuln | grep 21
   sudo systemctl status vsftpd

2. 用户无法上传文件
   确认write_enable=YES及目录权限：

   sudo chmod 755 /home/ftpuser
   sudo chown ftpuser:ftpuser /home/ftpuser

相关问答FAQs

Q1: 如何禁止特定IP访问FTP服务器？
A: 在vsftpd.conf中添加tcp_wrappers=YES，然后编辑/etc/hosts.deny和/etc/hosts.allow，禁止IP168.1.100访问：

echo "vsftpd: 192.168.1.100" | sudo tee -a /etc/hosts.deny

Q2: 如何配置FTP服务器支持断点续传？
A: vsftpd默认支持断点续传,需确保以下参数启用：

async_abor_enable=YES
ascii_upload_enable=YES
ascii_download_enable=YES

无需额外配置，客户端（如FileZilla）会自动协商断点续传功能。