vsftpd是linux下最常用、稳妥的FTP服务,推荐使用虚拟用户实现多用户精细化权限管理;通过chroot或user_config_dir实现目录隔离,结合write_enable等开关精细控制上传、下载、删除等操作权限。
Linux 搭建 FTP 服务,vsftpd 是最常用、最稳妥的选择。它轻量、安全、配置灵活,尤其适合对用户权限和目录访问有明确控制需求的场景。关键不在于装上就完事,而在于搞懂怎么让每个用户只能进该进的目录、只能做被允许的操作。
一、安装与基础启动(centos/ubuntu通用)
先确认系统环境,再执行对应命令:
- CentOS/RHEL 7/8:
yum install -y vsftpd或dnf install -y vsftpd - Ubuntu/debian:
apt update && apt install -y vsftpd
安装后默认配置文件在 /etc/vsftpd/vsftpd.conf,先备份再改:cp /etc/vsftpd/vsftpd.conf{,.bak}
启动并设开机自启:systemctl start vsftpd && systemctl enable vsftpd
二、用户类型与权限核心逻辑
vsftpd 支持三类用户,权限起点完全不同:
- 匿名用户(anonymous):默认禁用,启用后无密码、权限极低(通常只读),适合公开资源分发;不建议生产环境开启
- 本地系统用户(local user):即 Linux 系统账户,登录后默认进入其家目录(
/home/用户名),行为受local_enable=YES和chroot_local_user控制 - 虚拟用户(virtual user):非系统账户,靠 PAM + 数据库(如 db 文件或 mysql)认证,权限完全由配置隔离,最适合多用户精细化管理
多数企业场景推荐「虚拟用户」——避免污染系统账号,又能按需分配独立根目录和读写权限。
三、目录隔离实战:chroot 与 user_config_dir 双保险
防止用户跳出指定目录是安全底线。两种主流方式:
- chroot 方式(简单直接):
在vsftpd.conf中设置:chroot_local_user=YES(所有本地用户锁定在家目录)
或更安全的白名单:chroot_local_user=NOchroot_list_enable=YESchroot_list_file=/etc/vsftpd/chroot_list
然后把需要锁定的用户名写进/etc/vsftpd/chroot_list文件(一行一个) - user_config_dir 方式(灵活定制):
启用:user_config_dir=/etc/vsftpd/user_conf
为每个用户建单独配置文件,例如用户ftpuser1对应/etc/vsftpd/user_conf/ftpuser1,内容可写:local_root=/var/ftp/data/user1write_enable=YESanon_upload_enable=NO
这样不同用户可指向不同物理路径,且权限互不影响
注意:使用 chroot 时,目标目录不能有写权限(否则 vsftpd 拒绝启动),可用 chmod a-w /home/用户名,再在内部建子目录供上传。
四、权限细化:上传/下载/删除/重命名全掌控
仅靠目录隔离不够,还需明确操作级权限。关键开关都在用户级配置中(尤其是 user_config_dir 下的文件):
-
write_enable=YES—— 允许所有写操作(上传、新建、删除等)的基础开关,必须打开才能启用下面各项 -
download_enable=YES—— 显式控制是否允许下载(默认 YES) -
upload_enable=YES—— 允许上传(需 write_enable 同时为 YES) -
delete_enable=YES—— 允许删除文件 -
rename_enable=YES—— 允许重命名/移动文件 -
max_rate=1048576—— 限速(单位字节/秒,此例为 1MB/s)
例如,给只读用户配:write_enable=NOdownload_enable=YES
给上传用户配:write_enable=YESdelete_enable=NOrename_enable=NO
就能做到“能传不能删”。
基本上就这些。vsftpd 的强大不在功能堆砌,而在配置组合的确定性——每项开关作用清晰,没有隐藏逻辑。调好 chroot、理清用户类型、用好 user_config_dir,权限和目录控制就稳了。