核心配置流程

通过SSH连接到阿里云ECS实例，执行以下操作部署FTP服务：

• 安装vsftpd：yum install vsftpd -y（CentOS）或apt-get install vsftpd -y（Ubuntu）
• 启动服务：systemctl start vsftpd 并设置开机启动systemctl enable vsftpd
• 创建专用用户：useradd -d /var/ftpuser -s /sbin/nologin ftpuser 指定家目录
• 设置密码：passwd ftpuser 输入强密码两次

关键配置文件详解

编辑/etc/vsftpd/vsftpd.conf确保包含以下参数：

# 基础配置
local_enable=YES
write_enable=YES
chroot_local_user=YES
allow_writeable_chroot=YES

# 被动模式设置（解决客户端连接失败）
pasv_enable=YES
pasv_min_port=50000
pasv_max_port=51000

# 安全增强
userlist_enable=YES
userlist_deny=NO
userlist_file=/etc/vsftpd/user_list

将用户ftpuser加入/etc/vsftpd/user_list白名单，重启服务systemctl restart vsftpd生效。

阿里云安全组策略设置

1. 登录ECS控制台进入安全组配置
2. 开放TCP 20/21端口（主动模式）
3. 为被动模式添加端口范围50000-51000
4. 客户端IP地址可设置为0.0.0.0/0或指定IP段增强安全

客户端连接验证

使用FileZilla等工具测试连接：

• 主机：ECS公网IP地址
• 协议：FTP（明文）或FTPS（加密）
• 用户名/密码：创建的ftpuser凭据
• 端口：21（或被动模式自动协商）

高级安全加固方案

常见问题解决方案（Q&A）

Q：连接时出现"500 OOPS: vsftpd: refusing to run with writable root inside chroot"错误？

A：配置文件添加allow_writeable_chroot=YES后重启服务。

Q：客户端能登录但无法上传文件？

A：检查目录权限chmod 755 /var/ftpuser，确认配置文件write_enable=YES。

Q：被动模式超时如何解决？

A：在安全组开放pasv_min_port~pasv_max_port的端口范围，配置pasv_address=公网IP。

Q：如何限制用户访问上级目录？

A：启用chroot_local_user=YES，用户家目录权限需满足非可写状态。