阿里云ECS（Elastic Compute Service）作为阿里云提供的核心云服务器产品，凭借其高可用性、灵活扩展和丰富的安全防护能力，成为企业和个人用户搭建各类服务的首选，FTP（File Transfer Protocol）作为一种经典的文件传输协议，常用于网站代码部署、文件共享等场景，本文将详细介绍如何在阿里云ECS实例上搭建FTP服务，涵盖环境准备、安装配置、安全加固及常见问题排查等全流程，帮助用户快速实现安全、高效的文件传输功能。

环境准备与基础配置

在开始搭建FTP服务前,需完成以下准备工作：

1. 创建ECS实例：登录阿里云控制台，选择“云服务器ECS”产品，根据需求选择操作系统（本文以CentOS 7.9为例）、实例规格、地域及带宽，并完成实例创建，确保实例已分配公网IP地址，以便后续通过公网访问FTP服务。
2. 安全组配置：安全组是ECS实例的虚拟防火墙，需开放FTP相关端口，登录ECS管理控制台，找到目标实例的安全组配置，添加以下规则：
   • 方向：入方向
   • 授权策略：允许
   • 协议端口：自定义TCP，范围设为21（FTP控制端口）及1024-65535（FTP数据端口，被动模式所需）
   • 授权对象：0.0.0.0/0（允许所有IP访问，生产环境建议限制为特定IP）
3. 连接ECS实例：使用SSH工具（如Xshell、PuTTY）通过公网IP连接ECS实例，确保系统已更新至最新版本，执行以下命令更新系统：

   sudo yum update -y

安装并配置FTP服务

本文以vsftpd（Very Secure FTP Daemon）为例，该FTP服务具有轻量、安全的特点，广泛应用于Linux系统。

1. 安装vsftpd：执行以下命令安装vsftpd及必要的依赖包：

   sudo yum install -y vsftpd

2. 启动并设置开机自启：安装完成后，启动vsftpd服务并设置为开机自启：

   
   （图片来源网络，侵删）

   sudo systemctl start vsftpd
   sudo systemctl enable vsftpd

3. 配置vsftpd：编辑vsftpd主配置文件/etc/vsftpd/vsftpd.conf，关键配置项如下：

   sudo vim /etc/vsftpd/vsftpd.conf

   • anonymous_enable=NO：禁止匿名用户访问，提升安全性
   • local_enable=YES：允许本地用户登录
   • write_enable=YES：允许用户上传文件
   • chroot_local_user=YES：限制用户仅能访问自家目录，防止数据泄露
   • pasv_enable=YES：启用被动模式（公网访问推荐）
   • pasv_min_port=1024：被动模式最小端口
   • pasv_max_port=65535：被动模式最大端口
   • userlist_enable=YES：启用用户列表控制
   • userlist_file=/etc/vsftpd/user_list：指定用户列表文件
   • tcp_wrappers=YES：启用TCP Wrappers访问控制

   保存文件后,重启vsftpd服务使配置生效：

   sudo systemctl restart vsftpd

创建FTP用户及目录权限

为提升安全性,建议为FTP服务创建专用用户，而非直接使用root系统用户。

1. 创建FTP用户：假设用户名为ftpuser，目录为/home/ftpuser，执行以下命令：

   sudo useradd -m -d /home/ftpuser -s /sbin/nologin ftpuser

   • -m：自动创建用户家目录
   • -d：指定用户家目录
   • -s /sbin/nologin：禁止用户通过SSH登录系统，仅允许FTP访问
2. 设置用户密码：

   sudo passwd ftpuser

   根据提示输入两次密码完成设置。

   
   （图片来源网络，侵删）
3. 设置目录权限：确保用户对家目录有读写权限：

   sudo chmod 755 /home/ftpuser
   sudo chown -R ftpuser:ftpuser /home/ftpuser

安全加固与优化

为保障FTP服务安全,需进行以下配置：

1. 配置防火墙：开放FTP相关端口并允许被动模式端口范围：

   sudo firewall-cmd --permanent --add-service=ftp
   sudo firewall-cmd --permanent --add-port=1024-65535/tcp
   sudo firewall-cmd --reload

2. 配置SELinux：若系统启用了SELinux，需安装并配置SELinux FTP策略：

   sudo yum install -y selinux-policy-targeted
   sudo setsebool -P ftpd_full_access on

3. 限制用户访问：编辑/etc/vsftpd/user_list文件，仅允许指定用户登录：

   sudo vim /etc/vsftpd/user_list

   添加用户名ftpuser，每行一个用户，保存后重启vsftpd服务。

FTP客户端测试与常见问题

1. 测试连接：使用FTP客户端工具（如FileZilla、WinSCP）连接FTP服务器，输入公网IP、用户名及密码，若成功连接则说明搭建完成。
2. 常见问题排查：
   • 问题1：连接时提示“530 Login incorrect”
     • 原因：用户名或密码错误，或用户被/etc/vsftpd/ftpusers文件禁止（默认包含root等系统用户）
     • 解决：检查用户密码及ftpusers文件，确保目标用户未被禁止
   • 问题2：被动模式连接超时
     • 原因：安全组或防火墙未开放被动模式端口范围
     • 解决：确认安全组及防火墙已放行1024-65535端口范围

相关问答FAQs

问题1：如何通过SSL/TLS加密FTP传输？
答：可通过配置vsftpd支持FTPS（FTP over SSL/TLS）实现加密传输，首先安装vsftpd-sys包，生成SSL证书并配置vsftpd.conf文件，添加以下参数：

ssl_enable=YES
allow_anon_ssl=NO
force_local_data_ssl=YES
force_local_logins_ssl=YES
ssl_tlsv1=YES
ssl_sslv2=NO
ssl_sslv3=NO
rsa_cert_file=/etc/vsftpd/ssl/vsftpd.pem

重启服务后,客户端需启用“使用显式FTP over TLS”选项连接。

问题2：如何限制FTP用户上传文件的大小？
答：可通过vsftpd.conf配置local_max_rate和anon_max_rate参数限制用户下载速度，上传限制需结合文件系统工具实现，在用户登录脚本中通过setrlimit限制文件大小，或使用quota工具设置磁盘配额，具体步骤：

1. 安装quota包：sudo yum install -y quota
2. 为用户家目录启用配额：sudo quotacheck -ug /home/ftpuser
3. 设置软限制为1GB,硬限制为1.1GB：sudo setquota -u ftpuser 1G 1.1G 0 0 /home/ftpuser

通过以上步骤,即可在阿里云ECS上搭建安全、高效的FTP服务，满足不同场景下的文件传输需求。