使用yum安裝pure-ftpd

Pure-FTPd是Linux上的一個開源的FTP服務程序，在易用性、配置性上比vsftp較方便，下面我們使用CentOS 6演示安裝和配置pure-ftpd。

安裝epel源

# yum install epel-release

使用yum命令安裝Pure-ftpd

# yum install pure-ftpd

配置Pure-ftpd

# vim /etc/pure-ftpd/pure-ftpd.conf  # 1. 修改   PAMAuthentication no  # 2. 使用PureDB存儲賬號信息，除去前面的注釋#  PureDB      /etc/pure-ftpd/pureftpd.pdb  # 3. 打開ftp被動模式的端口范圍，并確認改端口范圍沒有被防火墻攔截  PassivePortRange          30000 31000  ForcePassiveIP PASV的外網IP地址  # 4. 關閉匿名訪問權限  AnonymousOnly no  # 5. 打開日志記錄功能  AltLog clf:/var/log/pureftpd.log  # 6. 限制每個用戶只能在自己的目錄中  ChrootEveryone  yes

添加FTP用戶

ftptest是虛擬用戶，不需要在系統(tǒng)中進行新建
-u -g后是系統(tǒng)用戶賬號或者id號，一般使用運行的nginx或apache的賬號id
-d是默認的家目錄

# pure-pw useradd ftptest -u apache -g apache -d /var/www/blog/ftp -m  輸入密碼...

保存Pure-FTPD用戶數據庫

# pure-pw mkdb

使添加的用戶生效

# service pure-ftpd start

配置mysql管理pure-ftpd用戶

# vim /etc/pure-ftpd/pure-ftpd.conf  # 修改pure-ftpd.conf配置文件，去除MySQLConfigFile前#  MySQLConfigFile               /etc/pure-ftpd/pureftpd-mysql.conf  #PureDB                        /etc/pure-ftpd/pureftpd.pdb    # vim /etc/pure-ftpd/pureftpd-mysql.conf   MYSQLServer 你服務器的ip或域名，注意防火墻  MYSQLPort mysql服務器的端口    

創(chuàng)建pureftpd數據庫，并創(chuàng)建表，表結構如下，我只使用了賬號密碼功能，如果需要使用帶寬限制、訪問限制可使用其他字段，同時要修改pureftpd-mysql.conf的相應配置。

  CREATE DATABASE ftpdb;    CREATE TABLE users(  User varchar(16) NOT NULL default '',  status enum('0','1') NOT NULL default '0',  Password varchar(64) NOT NULL default '',  Uid varchar(11) NOT NULL default '-1',  Gid varchar(11) NOT NULL default '-1',  Dir varchar(128) NOT NULL default '',  ULBandwidth smallint(5) NOT NULL default '0',  DLBandwidth smallint(5) NOT NULL default '0',  comment tinytext NOT NULL,  ipaccess varchar(15) NOT NULL default '*',  QuotaSize smallint(5) NOT NULL default '0',  QuotaFiles int(11) NOT NULL default 0,  PRIMARY KEY (User),  UNIQUE KEY User (User)  );    INSERT INTO `tp` (`User`, `status`, `Password`, `Uid`, `Gid`, `Dir`, `ULBandwidth`, `DLBandwidth`, `comment`, `ipaccess`, `QuotaSize`, `QuotaFiles`) VALUES ('ftpuser', '1', MD5('secret'), '2001', '2001', '/home/ftpdir', '0', '0', '', '*', '0', '0'); 

日志文件配置

1)建立文件/var/log/pureftpd.log（由于安全機制問題，log文件只能放在/var/log目錄下，放到其它地方不能正常記錄）

2)修改/etc/rsyslog.conf

1.在這行的cron.none后面添加;ftp.none 使ftp的日志信息成私有
*.info;mail.none;authpriv.none;cron.none /var/log/messages
為
*.info;mail.none;authpriv.none;cron.none;ftp.none /var/log/messages

2.在/etc/rsyslog.conf文件最后加上
3.重啟syslogd服務 service rsyslog restart

到現在設置完畢,重啟下pure-ftpd,現在在客戶端登陸ftp就可以看到日志記錄了

rsyslog服務了解 ： http://www.linuxidc.com/Linux/2017-02/140484.htm

另外：pure-ftpd的配置文件中有對日志選項進配置項。

=============[pure-ftpd.conf日志選項]==========================

If you want to log all client commands, set this to “yes”.
This directive can be duplicated to also log server responses.
如果你想記錄所有的操作記錄，如刷新列表，進入目錄的日志等，將值設為yes

VerboseLog no

If you want to add the PID to every logged line, uncomment the following
line.
如果你想在日志的每一行都添加當前的pure-ftpd的pid，將值設為yes，否則就注釋掉

LogPID yes

不啟用AltLog選項，保持所有的AltLog的注釋狀態(tài)
AltLog clf:/var/log/pureftpd.log

pureftp日志

ftp.* -/var/log/pureftpd.log

注意: 不要去掉/var前面的-號,否則日志會在/var/log/messages 與 /var/log/purefpd.log里各記錄一份. 添加了-號,就只會記錄在/var/log/purefptd.log內

常見錯誤及解決辦法

1. 登錄返回 530錯誤

   tail -f /var/log/message查看錯誤日志后發(fā)現為Authentication failed for user。

   該錯誤是因為賬號認證失敗導致的，你你沒有打開PureDB功能，我使用的是PureDB存儲賬號密碼，你也可以配置mysql存儲，打開后需要重啟服務器。

2. 使用ftp軟件連接成功后，目錄讀取失敗

   第一步：pure-ftpd是支持被動模式連接的，被動模式連接方式需要服務端打開一個隨機端口，先試試用主動模式是否可以連接，我使用的Filezilla軟件（一般客戶端軟件都支持），如果可以連接一般原因就是服務端的隨機端口被防火墻給阻攔掉了。

   第二步：cat /proc/sys/net/ipv4/ip_local_port_range該文件，該文件是tcp的預留端口配置，查看你設置的端口范圍是否在該范圍之內，如果在設置成其他的

   查看配置PassivePortRange的端口范圍并配置防火墻通過即可。

日志查看

pure-ftpd的訪問日志都在/var/log/pureftpd.log下，上傳、下載、刪除了某個文件都會記錄在該日志里。

ftp主動模式(port)與被動模式(pasv)

主動模式

主動方式的FTP是這樣的：客戶端從一個任意的非特權端口N（N>1024）連接到FTP服務器的命令端口，也就是21端口。然后客戶端開始監(jiān)聽端口N+1，并發(fā)送FTP命令“port N+1”到FTP服務器。接著服務器會從它自己的數據端口（20）連接到客戶端指定的數據端口（N+1）。

被動模式

當開啟一個 FTP連接時，客戶端打開兩個任意的非特權本地端口（N > 1024和N+1）。第一個端口連接服務器的21端口，但與主動方式的FTP不同，客戶端不會提交PORT命令并允許服務器來回連它的數據端口，而是提交 PASV命令。這樣做的結果是服務器會開啟一個任意的非特權端口（P > 1024），并發(fā)送PORT P命令給客戶端。然后客戶端發(fā)起從本地端口N+1到服務器的端口P的連接用來傳送數據。

總結

主動模式：服務器向客戶端敲門，然后客戶端開門（隨機開個高位端口）
被動模式：客戶端向服務器敲門，然后服務器開門（隨機開個高位端口，pure-ftpd的配置項為PassivePortRange）

優(yōu)缺點

主動FTP對FTP服務器的管理有利，但對客戶端的管理不利。因為FTP服務器企圖與客戶端的高位隨機端口建立連接，而這個端口很有可能被客戶端的防火墻阻塞掉。被動FTP對FTP客戶端的管理有利，但對服務器端的管理不利。因為客戶端要與服務器端建立兩個連接，其中一個連到一個高位隨機端口，而這個端口很有可能被服務器端的防火墻阻塞掉。

幸運的是，有折衷的辦法。既然FTP服務器的管理員需要他們的服務器有最多的客戶連接，那么必須得支持被動FTP。我們可以通過為FTP服務器指定一個有 限的端口范圍來減小服務器高位端口的暴露。這樣，不在這個范圍的任何端口會被服務器的防火墻阻塞。雖然這沒有消除所有針對服務器的危險，但它大大減少了危 險。

Pureftpd  http://www.sfodin.cn/Linux/2016-11/137619.htm
PureFtp+PureAdmin:實現基于虛擬賬號的FTP服務器 http://www.sfodin.cn/Linux/2013-06/85728.htm
PureFtp+PureAdmin安裝配置 http://www.sfodin.cn/Linux/2014-06/103267.htm
Vsftpd虛擬用戶的配置及PureFtp配置解析 http://www.sfodin.cn/Linux/2012-12/76502.htm
CentOS7.2安裝FTP(pure-ftpd-1.0.43)  http://www.sfodin.cn/Linux/2016-10/135971.htm