最近因为特殊原因项目必须要用到FTP，而在Linux平台下推荐使用的FTP为vsFTP，但是，在可选择的情况下建议尽量不要在生产线使用FTP，即时使用请一定一定一定做好相关安全配置。例如：防火墙、端口、明确权限、虚拟用户等等

这里其实就已经安装完了，但是，它的默认配置并不能满足我们的需求。所以我们要进行个性化的配置。

本地用户（local）： 用户在FTP服务器拥有账号，且该账号为本地用户的账号，可以通过自己的账号和口令进行授权登录，登录目录为自己的home目录$HOME 虚拟用户（guest）： 用户在FTP服务器上拥有账号，但该账号只能用于文件传输服务。登录目录为某一特定的目录，通常可以上传和下载 匿名用户（anonymous）： 用户在FTP服务器上没有账号，登录目录为/var/ftp

对于vsftpd默认配置是开启了本地用户和匿名用户，可以直接登录的。

FTP的连接一般是有两个连接的，一个是客户程和服务器传输命令的，另一个是数据传送的连接。FTP服务程序一般会支持两种不同的模式，一种是主动（Port）模式，一种是被动（Passive）模式(又称Pasv Mode),我先说说这两种不同模式连接方式的分别。 先假设客户端为C,服务端为S。

主动（Port）模式: 当客户端C向服务端S连接后，使用的是Port模式,那么客户端C会发送一条命令告诉服务端S(客户端C在本地打开了一个端口N在等着你进行数据连接),当服务端S收到这个Port命令后 就会向客户端打开的那个端口N进行连接，这种数据连接就生成了。

被动（Pasv）模式: 当客户端C向服务端S连接后，服务端S会发信息给客户端C,这个信息是(服务端S在本地打开了一个端口M,你现在去连接我吧),当客户端C收到这个信息后，就可以向服务端S的M端口进行连接,连接成功后，数据连接也建立了。

从上面的解释中，大家可以看到两种模式主要的不同是数据连接建立的不同，对于Port模式，是客户端C在本地打开一个端口等服务端S去连接建立数据连接；而Pasv模式就是服务端S打开一个端口等待客户端C去建立一个数据连接。

对于CentOS 7 它的默认防火墙已改为FireWall进行管理，但还是有用iptables的，以及SELinux。

firewall能够允许哪些服务可用，那些端口可用…. 属于更高一层的防火墙。 firewall的底层是使用iptables进行数据过滤，建立在iptables之上。 firewall是动态防火墙，使用了D-BUS方式，修改配置不会破坏已有的数据链接。

iptables用于过滤数据包，属于网络层防火墙. 在设置iptables后需要重启iptables，会重新加载防火墙模块，而模块的装载将会破坏状态防火墙和确立的连接。会破坏已经对外提供数据链接的程序。可能需要重启程序。

SELinux(Security-Enhanced Linux) 是美国国家安全局（NSA）对于强制访问控制的实现，是 Linux历史上最杰出的新安全子系统。它不是用来防火墙设置的。但它对Linux系统的安全很有用。Linux内核(Kernel)从2.6就有了SELinux。

SELinux是一种基于 域-类型 模型（domain-type）的强制访问控制（MAC）安全系统，它由NSA编写并设计成内核模块包含到内核中，相应的某些安全相关的应用也被打了SELinux的补丁，最后还有一个相应的安全策略。任何程序对其资源享有完全的控制权。假设某个程序打算把含有潜在重要信息的文件扔到/tmp目录下，那么在DAC情况下没人能阻止他。SELinux提供了比传统的UNⅨ权限更好的访问控制。

假如你开启了匿名用户，则需要重新修改权限 将匿名目录下的 pub 文件夹 赋予匿名用户管理权限： chown ftp /var/ftp/pub

对于虚拟用户，它需要一个宿主用户，所以这里需要建立一个新用户，并取消登录系统，只用于登录ftp。

可能你没有安装db工具包，所以先查找一下。

利用db_load命令生成数据文件

因为我系统的vsftpd需要提供给其他系统访问，但是只要求有下载文件的权限，所以我对用户权限进行对应的调整。

参考连接： vsftp下修改默认端口21 CentOS 7 安装FTP服务器（vsftpd）