问题[vsftpd](server)

我在 Ubuntu 服务器上使用 VSFTPD。

我有 2 个客户端想要连接到这个 FTP 服务器，其中一个使用带有显式身份验证的 FTPS，另一个客户端使用带有隐式身份验证的 FTPS。

无论如何可以配置 VSFTPD，以接受隐式和显式身份验证？

这是我的 /etc/vsftpd.conf：

listen=NO
listen_ipv6=YES
anonymous_enable=NO
local_enable=YES
write_enable=YES
dirmessage_enable=YES
use_localtime=YES
xferlog_enable=YES
connect_from_port_20=NO
# pasv_address=13.55.13.221 
idle_session_timeout=1200
data_connection_timeout=3600
accept_timeout=500
connect_timeout=5000
allow_writeable_chroot=YES
chroot_local_user=YES
user_sub_token=$USER
local_root=/home/$USER/uploads
pasv_enable=YES
pasv_min_port=40000
pasv_max_port=50000
userlist_enable=YES
userlist_file=/etc/vsftpd.userlist
userlist_deny=NO
secure_chroot_dir=/var/run/vsftpd/empty
pam_service_name=vsftpd
rsa_cert_file=/etc/ssl/private/vsftpd.pem
rsa_private_key_file=/etc/ssl/private/vsftpd.pem
ssl_enable=YES
allow_anon_ssl=NO
force_local_data_ssl=YES
force_local_logins_ssl=YES
ssl_tlsv1=YES
ssl_sslv2=NO
ssl_sslv3=NO
require_ssl_reuse=NO
ssl_ciphers=HIGH
utf8_filesystem=YES

我按照这个 DigitalOcean Tutorial在 Amazon-EC2 实例上创建了一个 FTP 服务器，我可以正常登录，这是唯一可以使用 shell 远程工作的部分（从服务器连接到 localhost 没有任何问题），但是任何命令我给 FTP 客户端（例如ls或put source destination）不起作用。本教程将服务器设置为在 PASSIVE 模式下工作，但是在在线寻找解决方案时，人们对模式 X 有疑问，解决方案是从模式 X 切换到模式 Y，反之亦然。

FTP（详细模式）提供两种不同的输出：

• 当连接处于活动模式时

ftp> dir
500 Illegal PORT command.
ftp: bind: Address already in use

• 当连接处于被动模式时

ftp> dir
227 Entering Passive Mode (addr, of, my, server, port1, port2).
ftp: connect: Connection timed out

虽然命令行 FTP 客户端不能执行任何不同于登录的操作，但 Filezilla 可以。我想解决方案在于 filezilla 状态日志：

Status: Connecting to addr:21...
Status: Connection established, waiting for welcome message...
Status: Insecure server, it does not support FTP over TLS.
Status: Server does not support non-ASCII characters.
Status: Logged in
Status: Retrieving directory listing...
Status: Server sent passive reply with unroutable address. Using server address instead.
Status: Calculating timezone offset of server...
Status: Timezone offset of server is 0 seconds.
Status: Directory listing of "/" successful

为了您的信息，使用 Filezilla 不是一个选项：我只是安装它以获得一个漂亮的客户端来执行基本操作和测试，但结果证明它是唯一可以做某事的客户端。

我有一个问题 vsftp 请！如果我为我的 ftp 服务器使用活动模式，当我使用 netstat 时，我是否应该看到我的 vsftp 服务器正在侦听 21 和 20 端口？当我测试

sudo netstat -lnp | grep vsftp

我只得到 21 端口

tcp 0 0 0.0.0.0:21 0.0.0.0:* LISTEN 47/vsftpd

我已经访问了由另一个人配置的服务器，我现在无法通过 ftp 访问，因为我没有 ftp 用户名和密码，而且我似乎无法查找或添加新的用户名和密码到特定目录。

请帮我在 vsftpd 中添加用户名或更改密码。

我有一个 VSFTPD 设置，其中用户被 chroot 到他们的主目录。标准的东西。但这要求他们所有的主目录对他们来说都是不可写的（以避免安全问题）。没问题，如果他们想要上传文件，他们可以将它们上传到他们的 chroot 中的可写文件夹。

但是现在他们每次上传都必须更改到该文件夹​​中。如果我使用 VSFTPD 配置文件中的 local_root 选项将他们的默认登录位置移动到该可写文件夹，那么这将成为他们的 chroot，我们回到第一个问题：它不能是可写的。

我的问题是，如何在不使 chroot 目录本身可写的情况下，将 VSFTPD 放置用户的默认位置移动到其 chroot 监狱中的可写目录？

当我使用 FTP 在我的 ubuntu 服务器上使用 VSFTP 上传内容时，它默认为权限 600，我怎样才能让它转到 777？

我已经安装了 vsftpd，并且我正在修改： /etc/vsftpd.conf 我配置如下：

        anonymous_enable=YES
        local_enable=YES
        chroot_local_user=YES
        user_config_dir=/etc/vsftpd/vsftpd-virtual-user/
        virtual_use_local_privs=YES
        connect_from_port_20=YES
        listen=YES
        pam_service_name=vsftpd
        tcp_wrappers=YES

    //I added this extra after seeing that simply enabling the chroot_local_user wont work , and created an empty vsftpd.chroot_list, stil doesnt work tho

        chroot_list_enable=YES
        chroot_list_file=/etc/vsftpd.chroot_list
        userlist_enable=YES
        passwd_chroot_enable=YES

但是我的用户仍然能够退出他们分配的主目录并四处导航

服务器是 ubuntu 16.04。我可以按以下方式登录 vsftpd：

ftp> open MY_FTP_IP
Connected to MY_FTP_IP.
220 (vsFTPd 3.0.3)
Name (MY_FTP_IP:ACCOUNT_NAME): someftpuser

问题是ACCOUNT_NAME我的 sudoers 的名字，我不想让 ftp 用户看到它。我该如何更改或删除它ACCOUNT_NAME？

有什么方法可以了解我没有权限的“被动​​”FTP服务器的端口范围。可以在配置文件中设置范围。例如在vsftpd.conf：

pasv_min_port=25000
pasv_max_port=25500
#pasv_min_port=0
#pasv_max_port=0 (any port)

因为我想在我的 Linux 终端服务器上应用一个非常受限的 OUTPUT 防火墙（iptables），所以我需要知道远程服务器的端口范围。FTP 是否支持客户端可以使用的端口范围信息的公开？

我也愿意接受任何其他可能的解决方案，除了以下我假设服务器 IP 地址为 10.1.1.1 的解决方案：

-A OUTPUT -d 10.1.1.1 -j ACCEPT

感谢您的关注...

问候

编辑

感谢@aaron-copley，@martin-prikryl，@user3590719

回答主要问题，FTP 不会向客户端公开被动端口范围。

需要的解决方案是为 FTP 加载 netfilter 连接跟踪模块。

ip_conntrack_ftp (Module alias for CentOS/Red Hat : nf_conntrack_ftp)

Red Hat 7 的工作示例配置：

/etc/sysconfig/iptables-config

IPTABLES_MODULES="nf_conntrack_ftp"

iptables 规则

-A OUTPUT -o lo -j ACCEPT
-A OUTPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A OUTPUT -d 10.1.1.1/32 -p tcp -m tcp --dport 21 -j ACCEPT
-A OUTPUT -j DROP

最后，手动加载模块或重启 iptables.service。

我正在尝试在 RHEL 7.3 上配置 vsftpd 3.0.2。我正在尝试将我的设置setsebool -P ftp_home_dir=1为允许用户访问他们的主目录。但是我收到：

Boolean ftp_home_dir is not defined

查看时确认semanage boolean -l没有ftp_home_dir.

第 14,15 和 16 行状态来检查这个布尔值vsftpd.conf。

 # Uncomment this to allow local users to log in.
 # When SELinux is enforcing check for SE bool ftp_home_dir
 local_enable=YES

/data/ftp/pub/some-dir/ftpuser1...etc
[root@xxxxx ftp]# ls -lZ
drwxr-xr-x. root root unconfined_u:object_r:etc_runtime_t:s0 pub

我被引导相信，在解决这个问题时，它也将解决我遇到的 chroot 问题，这是一个完全独立的问题。

提前致谢！

信息：

Red Hat Enterprise Linux Server release 7.3 (Maipo)
uname -a shows: 3.10.0-514.2.2.el7.x86_64 #1 SMP Wed Nov 16 13:15:13 EST 2016 x86_64 x86_64 x86_64 GNU/Linux

（请记住，我们在双月系统上执行修补程序，因此目前无法选择更新）。