centos vsftp的自动化管理工具

CentOS 上 vsftpd 的自动化管理工具与方案

一、工具与方案总览

• Shell 脚本 + systemd：一键安装、渲染配置、启停服务、开机自启，适合单机和批量标准化交付。
• 配置管理工具（Ansible）：以 Playbook 批量部署、模板化配置、滚动更新与回滚，适合多机与持续交付。
• 定时任务（Cron）：自动化备份、日志清理、用户目录同步等例行作业。
• 安全与运维自动化：配合 firewalld 放行端口、SELinux 策略调整、Fail2ban 防暴力破解、Logrotate 日志轮转，形成闭环运维。以上做法在 CentOS 环境下均已被广泛实践与验证。

二、Shell 脚本一键化示例

• 功能涵盖：安装 vsftpd、写入安全基线配置、创建系统用户、配置防火墙、设置开机自启。
• 使用方法：保存为 install_vsftpd.sh，执行 chmod +x 后运行。

#!/usr/bin/env bash
set -e

# 0) 参数
FTP_USER=${1:-ftpuser}
FTP_PASS=${2:-ChangeMeNow!}
FTP_DIR=${3:-/home/$FTP_USER}

# 1) 安装
yum install -y vsftpd

# 2) 基础安全配置
cat >/etc/vsftpd/vsftpd.conf <<'EOF'
anonymous_enable=NO
local_enable=YES
write_enable=YES
local_umask=022
dirmessage_enable=YES
xferlog_enable=YES
connect_from_port_20=YES
xferlog_std_format=YES
listen=YES
listen_ipv6=NO
pam_service_name=vsftpd
userlist_enable=YES
userlist_file=/etc/vsftpd/user_list
userlist_deny=NO
chroot_local_user=YES
allow_writeable_chroot=YES
EOF

# 3) 创建系统用户（禁止登录 shell）
useradd -m -d "$FTP_DIR" -s /sbin/nologin "$FTP_USER"
echo "$FTP_USER:$FTP_PASS" | chpasswd
echo "$FTP_USER" >/etc/vsftpd/user_list
chown -R "$FTP_USER:$FTP_USER" "$FTP_DIR"
chmod 755 "$FTP_DIR"

# 4) 防火墙放行 FTP
firewall-cmd --permanent --add-service=ftp
firewall-cmd --reload

# 5) 启动与自启
systemctl enable --now vsftpd

echo "vsftpd 已安装并启动，用户：$FTP_USER"

• 说明：如需加密传输，可在配置中开启 SSL/TLS（见下文）。

三、Ansible 批量自动化示例

• 目录结构
  • playbook.yml
  • templates/vsftpd.conf.j2
  • vars/main.yml
• playbook.yml

---
- name: Deploy and manage vsftpd on CentOS
  hosts: ftp_servers
  become: yes
  vars_files:
    - vars/main.yml
  tasks:
    - name: Install vsftpd
      yum:
        name: vsftpd
        state: present

    - name: Render config
      template:
        src: templates/vsftpd.conf.j2
        dest: /etc/vsftpd/vsftpd.conf
      notify: restart vsftpd

    - name: Create FTP user
      user:
        name: "{{ ftp_user }}"
        home: "{{ ftp_home }}"
        shell: /sbin/nologin
        create_home: yes
        state: present

    - name: Set directory ownership
      file:
        path: "{{ ftp_home }}"
        owner: "{{ ftp_user }}"
        group: "{{ ftp_user }}"
        mode: '0755'

    - name: Add user to allow list
      lineinfile:
        path: /etc/vsftpd/user_list
        line: "{{ ftp_user }}"
        create: yes

    - name: Open FTP in firewalld
      firewalld:
        service: ftp
        permanent: yes
        state: enabled
        immediate: yes

    - name: Ensure service enabled and started
      service:
        name: vsftpd
        state: started
        enabled: yes

  handlers:
    - name: restart vsftpd
      service:
        name: vsftpd
        state: restarted

• templates/vsftpd.conf.j2（可按需扩展）

anonymous_enable=NO
local_enable=YES
write_enable=YES
local_umask=022
dirmessage_enable=YES
xferlog_enable=YES
connect_from_port_20=YES
xferlog_std_format=YES
listen=YES
listen_ipv6=NO
pam_service_name=vsftpd
userlist_enable=YES
userlist_file=/etc/vsftpd/user_list
userlist_deny=NO
chroot_local_user=YES
allow_writeable_chroot=YES
{% if ftp_tls_enabled | default(false) %}
ssl_enable=YES
ssl_cert_file={{ ftp_tls_cert }}
ssl_key_file={{ ftp_tls_key }}
{% endif %}

• vars/main.yml

ftp_user: ftpuser
ftp_home: /home/ftpuser
ftp_tls_enabled: true
ftp_tls_cert: /etc/pki/tls/certs/vsftpd.crt
ftp_tls_key: /etc/pki/tls/private/vsftpd.key

• 运行：ansible-playbook -i inventory playbook.yml。以上模式便于在多台 CentOS 主机上统一交付与变更。

四、自动化例行任务与安全加固

• 定时备份与清理（Cron）
  • 示例：每周一 05:00 打包站点与数据库并上传；保留本地 7 天。

# 备份脚本 /usr/local/bin/ftp_backup.sh
WEB_DIR="/home/www"
DB_USER="dbuser"
DB_PASS="dbpass"
FTP_HOST="ftp.example.com"
FTP_USER="ftpuser"
FTP_PASS="ftppass"
BACKUP_DIR="/backup/ftp_$(date +%F)"

mkdir -p "$BACKUP_DIR"
tar czf "$BACKUP_DIR/web_$(date +%Y%m%d).tar.gz" -C "$WEB_DIR" .
mysqldump -u"$DB_USER" -p"$DB_PASS" dbname > "$BACKUP_DIR/sql_$(date +%Y%m%d).sql"

ftp -n "$FTP_HOST" <<EOF
open $FTP_HOST
user $FTP_USER $FTP_PASS
binary
mkdir $(date +%F)
cd $(date +%F)
mput $BACKUP_DIR/*.tar.gz
mput $BACKUP_DIR/*.sql
bye
EOF

# 清理本地 7 天前
find /backup -type f -mtime +7 -delete

• Crontab：0 5 * * 1 /usr/local/bin/ftp_backup.sh >>/var/log/ftp_backup.log 2>&1
• 启用 SSL/TLS（可选但强烈建议）
  • 生成证书：
    • openssl req -x509 -nodes -days 365 -newkey rsa:2048
      -keyout /etc/pki/tls/private/vsftpd.key -out /etc/pki/tls/certs/vsftpd.crt
  • 在 vsftpd.conf 中启用：
    • ssl_enable=YES
    • ssl_cert_file=/etc/pki/tls/certs/vsftpd.crt
    • ssl_key_file=/etc/pki/tls/private/vsftpd.key
  • 重启服务：systemctl restart vsftpd
• 防火墙与 SELinux
  • 放行 FTP：firewall-cmd --permanent --add-service=ftp && firewall-cmd --reload
  • 常见 SELinux 调整（按需）：setsebool -P ftp_home_dir on
• 安全与运维自动化
  • Fail2ban：监控 /var/log/vsftpd.log，自动封禁暴力破解 IP（maxretry、bantime 等策略可按环境调整）。
  • Logrotate：为 vsftpd 配置日志切割，避免日志过大（按日/按大小轮转）。以上做法可显著提升可用性与安全性。