在亚马逊云服务器上设置FTP

我试图在亚马逊云服务器上设置FTP,但没有运气。 我在网上搜索,没有具体的步骤如何做到这一点

我找到了这些命令:

$ yum install vsftpd
$ ec2-authorize default -p 20-21
$ ec2-authorize default -p 1024-1048
$ vi /etc/vsftpd/vsftpd.conf
#<em>---Add following lines at the end of file---</em>
pasv_enable=YES
pasv_min_port=1024
pasv_max_port=1048
pasv_address=<Public IP of your instance>
$ /etc/init.d/vsftpd restart

但我不知道在哪里写。

268673 次浏览
小开

要在EC2服务器上启用被动ftp,您需要配置ftp服务器用于入站连接的端口,然后打开用于ftp客户端数据连接的可用端口列表。

我对linux不是很熟悉,但是你发布的命令是安装ftp服务器的步骤,配置ec2防火墙规则(通过AWS API),然后配置ftp服务器以使用ec2防火墙上允许的端口。

因此这一步安装ftp客户端(VSFTP)

> yum install vsftpd

配置ftp客户端的步骤如下

> vi /etc/vsftpd/vsftpd.conf
--    Add following lines at the end of file --
pasv_enable=YES
pasv_min_port=1024
pasv_max_port=1048
pasv_address=<Public IP of your instance>
> /etc/init.d/vsftpd restart

但是其他两个步骤更容易通过EC2安全组下的amazon控制台完成。您需要配置分配给服务器的安全组,以允许端口20、21和1024-1048上的连接

小开

Jaminto在回答这个问题上做得很好,但我最近自己也经历了这个过程,并想扩展Jaminto的答案。

我假设你已经创建了一个EC2实例,并将弹性IP地址关联到它
< br >

步骤1:安装vsftpd

SSH到EC2服务器。类型:

> sudo yum install vsftpd
这将安装vsftpd。
< br >

步骤#2:打开EC2实例上的FTP端口

接下来,您需要打开EC2服务器上的FTP端口。登录AWS EC2管理控制台,在左侧导航树中选择“安全组”。选择分配给EC2实例的安全组。然后选择Inbound选项卡,然后单击Edit:

enter image description here

添加两个自定义TCP规则,端口范围为20-21和1024-1048。对于Source,您可以选择“Anywhere”。如果您决定将“源”设置为您自己的IP地址,请注意,如果您的IP地址是通过DHCP分配的,则可能会更改。

enter image description here

< br > < br >

步骤#3:更新vsftpd.conf文件

编辑你的vsftpd conf文件,输入:

> sudo vi /etc/vsftpd/vsftpd.conf

通过修改这一行来禁用匿名FTP:

anonymous_enable=YES


anonymous_enable=NO

然后在vsftpd.conf文件的底部增加如下几行:

pasv_enable=YES
pasv_min_port=1024
pasv_max_port=1048
pasv_address=<Public IP of your instance>

你的vsftpd.conf文件应该看起来像下面这样-除了确保用你的公共IP地址替换pasv_address:

enter image description here

要保存更改,请按escape,然后键入:wq,然后按enter。

< br > < br >

步骤4:重启vsftpd

重新启动vsftpd,输入:

> sudo /etc/init.d/vsftpd restart

您应该会看到一条类似这样的消息:

enter image description here

< p > < br > 如果这不起作用,尝试:

> sudo /sbin/service vsftpd restart

< br > < br >

步骤5:创建FTP用户

如果你看一下/etc/vsftpd/user_list,你会看到以下内容:

# vsftpd userlist
# If userlist_deny=NO, only allow users in this file
# If userlist_deny=YES (default), never allow users in this file, and
# do not even prompt for a password.
# Note that the default vsftpd pam config also checks /etc/vsftpd/ftpusers
# for users that are denied.
root
bin
daemon
adm
lp
sync
shutdown
halt
mail
news
uucp
operator
games
nobody

这基本上是说,“不允许这些用户FTP访问”vsftpd将允许FTP访问任何不在这个列表上的用户。

因此,为了创建一个新的FTP帐户,您可能需要在服务器上创建一个新用户。(或者,如果您已经有一个用户帐户不在/etc/vsftpd/user_list中列出,您可以跳过下一步。)

在EC2实例上创建新用户非常简单。例如,要创建用户'bret',输入:

> sudo adduser bret
> sudo passwd bret

下面是它的样子:

enter image description here

< br > < br >

步骤#6:将用户限制到他们的主目录

此时,您的FTP用户不再局限于他们的主目录。这不是很安全,但我们可以很容易地修复它。

再次编辑vsftpd conf文件,输入:

> sudo vi /etc/vsftpd/vsftpd.conf

取消注释行:

chroot_local_user=YES

当你完成后,它应该是这样的:

enter image description here

重新启动vsftpd服务器,如下所示:

> sudo /etc/init.d/vsftpd restart

全部完成!

< br >

附录A:重启后存活

当服务器启动时,VSFTPD不会自动启动。如果您像我一样,这意味着在重新启动EC2实例后,当FTP似乎被破坏时,您会感到一阵恐惧——但实际上,它只是没有运行!这里有一个简单的方法来解决这个问题:

> sudo chkconfig --level 345 vsftpd on

另外,如果你正在使用redhat,另一种管理服务的方法是使用这个漂亮的图形用户界面来控制哪些服务应该自动启动:

>  sudo ntsysv

enter image description here

现在,当服务器启动时,vsftpd将自动启动。

< br >

附录B:修改用户FTP主目录

*注意:Iman Sedighi发布了一个更优雅的解决方案,限制用户访问特定的目录。请参考他作为答案发布的优秀解决方案*

您可能希望创建一个用户,并将其FTP访问限制到特定的文件夹,例如/var/www.为了做到这一点,你需要改变用户的默认主目录:

> sudo usermod -d /var/www/ username

在这个特定的例子中,通常会将用户权限授予'www'组,该组通常与/var/www文件夹相关:

> sudo usermod -a -G www username
小开

不要忘记更新你的iptables防火墙,如果你有一个允许20-21和1024-1048范围。

从/etc/sysconfig/iptables执行此操作

像这样添加行:

a INPUT -m state——state NEW -m tcp -p tcp——dport 20:21 -j ACCEPT

-A INPUT -m state——state NEW -m tcp -p tcp——dport 1024:1048 -j ACCEPT

然后重新启动iptables:

Sudo服务iptables重启

小开

伟大的文章…在亚马逊Linux AMI上轻松工作。

还有两个更有用的命令:

修改FTP默认上传目录

步骤1:

edit /etc/vsftpd/vsftpd.conf

步骤2:在页面底部创建一个新条目:

local_root=/var/www/html

对文件夹下的文件应用读、写、删除权限,以便使用FTP设备进行管理

find /var/www/html -type d -exec chmod 777 {} \;
小开

如果你已经启用了ufw,记得添加ftp:

> sudo ufw allow ftp

我花了两天时间才意识到我启用了ufw。

小开

直到你通过下面的命令将你的用户添加到www组中才可以使用:

sudo usermod -a -G www <USER>

这就解决了权限问题。

通过添加这个来设置默认路径:

local_root=/var/www/html
小开

我一直跟着clone45的答案走到最后。一篇很棒的文章!由于我需要FTP访问权限来为我的一个wordpress站点安装插件,所以我将主目录更改为/var/www/mysitename。然后我继续把我的ftp用户添加到apache(或www)组,就像这样:

sudo usermod -a -G apache myftpuser

在此之后,我仍然在WP的插件安装页面上看到这个错误:“无法定位WordPress内容目录(WP - Content)”。搜索并在wp.org Q& a会话中找到了这个解决方案:https://wordpress.org/support/topic/unable-to-locate-wordpress-content-directory-wp-content,并在wp-config.php的末尾添加了以下内容:

if(is_admin()) {
add_filter('filesystem_method', create_function('$a', 'return "direct";' ));
define( 'FS_CHMOD_DIR', 0751 );
}

在此之后,我的WP插件安装成功。

小开

也许值得一提的是除了clone45的答案之外:

修复vsftpd中root FTP用户的写权限

Ubuntu 12.04 Precise自带的vsftpd版本没有 默认允许chroot本地用户写入。默认情况下是这样的 /etc/vsftpd.conf:

chroot_local_user=YES
write_enable=YES

为了允许本地用户写入,需要添加如下参数:

allow_writeable_chroot=YES

<强>注意: 写权限的问题可能会出现如下FileZilla错误 

Error: GnuTLS error -15: An unexpected TLS packet was received.
Error: Could not connect to server
< p > 引用:
修复vsftpd中root FTP用户的写权限
VSFTPd更新后停止工作 < / p >
小开

我简化了clone45步骤:

按他说的打开端口

sudo su
sudo yum install vsftpd
echo -n "Public IP of your instance: " && read publicip
echo -e "anonymous_enable=NO\npasv_enable=YES\npasv_min_port=1024\npasv_max_port=1048\npasv_address=$publicip\nchroot_local_user=YES" >> /etc/vsftpd/vsftpd.conf
sudo /etc/init.d/vsftpd restart
小开

谢谢@clone45提供这么好的解决方案。但是在他的解决方案的附录b中,我有一个重要的问题。在我将主目录更改为var/www/html后,我无法通过ssh和sftp连接到服务器,因为它总是显示以下错误

permission denied (public key)

或者在FileZilla中,我收到了这个错误:

No supported authentication methods available (server: public key)

但是我可以通过正常的FTP连接访问服务器。

如果你遇到了同样的错误,只需撤销@clone45解决方案的附录b,为用户设置默认的主目录:

sudo usermod -d /home/username/ username

但是当你设置用户的默认主目录时,用户就可以访问除/var/www/ http外的许多其他文件夹。因此,为了保护您的服务器,请遵循以下步骤:

1-创建sftponly组 为所有用户创建一个组,限制他们只能访问ftp, sftp只能访问var/www/html。创建分组:

sudo groupadd sftponly

2-监禁chroot 为了限制这个组通过sftp访问服务器,你必须限制chroot不让组的用户访问除html文件夹在其主目录内的任何文件夹。要做到这一点,打开/etc/ssh/sshd.在vim中使用sudo进行配置。 在文件的末尾,请注释这一行:

Subsystem sftp /usr/libexec/openssh/sftp-server

然后在下面加上这条线:

Subsystem sftp internal-sftp

所以我们用internal-sftp代替了子系统。然后在下面添加以下几行:

 Match Group sftponly
ChrootDirectory /var/www
ForceCommand internal-sftp
AllowTcpForwarding no

添加这一行后,我保存了我的更改,然后重新启动ssh服务:

sudo service sshd restart

3-添加用户到sftponly组 任何想要限制其访问权限的用户必须是sftponly组的成员。因此,我们将它加入到sftponly: sudo usermod -G sftponly username

限制用户只能访问var/www/html 为了限制用户对var/www/html文件夹的访问,我们需要在该用户的主目录中创建一个目录(名称为'html'),然后将/var/www挂载到/home/username/html,如下所示 

sudo mkdir /home/username/html
sudo mount --bind /var/www /home/username/html

5-设置写权限 如果用户需要对/var/www/html进行写访问,那么你必须在/var/www上监禁该用户,该用户必须拥有root:root所有权和755的权限。然后你需要给/var/www/html root:sftponly的所有权和775的权限添加以下行:

sudo chmod 755 /var/www
sudo chown root:root /var/www
sudo chmod 775 /var/www/html
sudo chown root:www /var/www/html

6-阻止shell访问 如果你想限制访问shell以使其更安全,那么只需将默认shell更改为bin/false,如下所示:

sudo usermod -s /bin/false username
小开

FileZila是一个很好的FTP安装工具。

  1. https://filezilla-project.org/下载FileZila客户端
  2. 单击文件->站点管理器->
  3. 新网站
  4. 提供您的亚马逊云位置的主机名IP地址(如果有端口)
  5. 协议- SFTP(可根据您的要求更改)
  6. 登录类型-普通(系统不会每次都要求输入密码)
  7. 提供用户名和密码。
  8. 连接。

你只需要做这些步骤1次,以后它会上传内容到相同的IP地址和相同的网站。

小开

以防你得到530密码不正确

还需要一步

在/etc/shell文件中

添加以下行

/bin/false


提交答案