官方语言介绍下ftp，文件传输协议（File Transfer Protocol，FTP）是用于在网络上进行文件传输的一套标准协议，FTP 的目标是提高文件的共享性。今天从ftp的两种模式，ftp用户管理主要的两方面实践使用下。

1.ftp 两种模式
简明直接：

主动FTP：
命令连接：客户端 >1024端口 ---> 服务器 21端口
数据连接：客户端 >1024端口 <--- 服务器 20端口
被动FTP：
命令连接：客户端 >1024端口 ---> 服务器 21端口
数据连接：客户端 >1024端口 ---> 服务器 >1024端口

具体说明：

如图对于两种传输模式来说，控制连接的建立过程都是一样，均为服务器监听21号端口，客户端向服务器的该端口发起TCP连接。主动模式服务器通过控制连接知道客户端监听的端口后，使用自己的20号端口作为源端口，“主动”发起TCP数据连接。而被动模式服务器监听1024-65535的一个随机端口，并通过控制连接将该端口告诉客户端，客户端向服务器的该端口发起TCP数据连接。

两种模式该选择哪个了？选择被动模式。

如果FTP客户端在私网，FTP服务器在公网（云主机的应用场景）应该使用被动模式，因为这种应用场景FTP服务器访问不到在私网的FTP客户端，而FTP客户端可以访问到FTP服务器。

那ftp服务器放开大于1024端口，不安全，如何做了？

服务端配置高点端口，然后防火墙中限制这个端口段可以被客户端连接过来。
再者就是限制客户端的ip，指定特定的客户端地址。（谁用谁连）

被动模式配置
connect_from_port_20=NO
PASV_enable=YES 开启被动模式
PASV_min_port=%number% 被动模式最低端口
PASV_max_port=%number% 被动模式最高端口

2.ftp 创建虚拟用户（加强访问安全的措施）
简明直接：

我们登录FTP有三种方式，匿名登录、本地用户登录和虚拟用户登录。
匿名登录：在登录FTP时使用默认的用户名，一般是ftp或anonymous。
本地用户登录：使用系统用户登录，在/etc/passwd中。
虚拟用户登录：这是FTP专有用户，有两种方式实现虚拟用户，本地数据文件和数据库服务器。
FTP虚拟用户是FTP服务器的专有用户，使用虚拟用户登录FTP，只能访问FTP服务器提供的资源，大大增强了系统的安全。

具体实施：
2.1 搭建
yum -y install vsftpd
添加虚拟用户文件，添加虚拟用户名和密码，一行用户名，一行密码，以此类推。奇数行为用户名，偶数行为密码。
vim /etc/vsftpd/vuser.txt
name #用户
passwd #密码
生成虚拟用户认证文件
db_load -T -t hash -f /etc/vsftpd/vuser.txt /etc/vsftpd/vuser.db
编辑vsftpd的pam认证文件/etc/pam.d/vsftpd
vsftpd的其他行可注释掉。
添加以下：
auth required /lib64/security/pam_userdb.so db=/etc/vsftpd/vuser
account required /lib64/security/pam_userdb.so db=/etc/vsftpd/vuser
建立本地映射用户并设置宿主目录权限
useradd -d /data -s /sbin/nologin vsftpd
chmod a-w /data
chown -R vsftpd:vsftpd /data
2.2 配置文件vsftpd.conf

#连接相关
ftpd_banner=welcome to ftp service
#空闲超时时间，用户超过这段时间不动作被服务器提出。
idle_session_timeout=300
#数据连接超时时间
data_connection_timeout=60
connect_timeout=60
max_clients=100
#允许每个客户端连接3个
max_per_ip=3
listen_address=192.168.100.100
listen_port=21

#权限相关
#不允许匿名用户登录
anonymous_enable=NO
#允许本地用户登录（这里指创建系统用户vsftpd）
local_enable=YES
#允许ascii模式的上传（可以防止上传脚本等恶意文件），而不会遭受拒绝服务的危险。
ascii_upload_enable=YES

guest_enable=YES
guest_username=vsftpd
#允许匿名用户上传（这里指系统用户下的虚拟用户)
anon_upload_enable=YES
#允许匿名用户创建和写入
anon_mkdir_write_enable=YES

#开启全局权限
write_enable=YES
#设置这个之后客户端上传目录权限就改为755，文件权限就为644
anon_umask=022
#以下为系统默认设置
#允许为目录配置显示信息，显示每个目录下面的message_file文件的内容。
dirmessage_enable=YES
#xferlog_enable=YES，启用记录上传/下载活动日志功能。
xferlog_enable=YES
#connect_from_port_20=YES启用FTP数据端口的连接请求
connect_from_port_20=NO
xferlog_std_format=YES

#在VSFTPD中使用TCP_Wrappers远程访问控制机制，默认值为YES
tcp_wrappers=YES

特别强调的配置：

#开启虚拟用户；虚拟用户对应的系统用户；PAM认证文件。
guest_enable=YES
guest_username=vsftpd
pam_service_name=vsftpd

#这种完成后只能上传文件，及下载文件。但是不能修改ftp 服务端的文件。
如何才能修改及删除呢？
anon_other_write_enable=YES  #允许虚拟用户写入权限（即修改删除操作）

2.3 启动vsftpd
systemctl start vsftpd