FTP，全称 File Transfer Protocol，一种被广泛使用的文件传输协议。而 vsftpd (全称 Very Secure FTP Daemon) 则是一个轻量级的高效、安全的且免费开源的 FTP 服务器实现，配置灵活，适合于各种场景。

本文介绍使用 docker 方式安装 vsftpd，能够显著简化安装和配置流程，还能利用容器的隔离性提升系统的安全性与灵活性。

前面文章介绍了 docker 的基础知识和基本使用，不太了解的可以先看看，以便能无缝衔接，我已经做成了一个合集，方便大家查阅。

一、拉取镜像

先用 docker 搜 vsftpd，可以查看不同版本的信息，使用命令 docker search vsftpd：

这次选择使用第一个，这个是社区常用的镜像，使用命令 docker pull fauria/vsftpd 拉取：

二、启动容器

使用如下命令来启动容器：

docker run -d -p 20:20 -p 21:21 -p 21100-21110:21100-21110 -v /home/ftp:/home/vsftpd -e FTP_USER=ftpu1 -e FTP_PASS=1234567a -e PASV_ADDRESS=192.168.1.200 -e PASV_MIN_PORT=21100 -e PASV_MAX_PORT=21110 --name vsftpd --restart=always fauria/vsftpd

然后进入容器，执行命令 docker exec -it
ada6120eb98df341445333a4303f3eefe46a9bca13595361ad7594ee50276f6a /bin/bash

下面是全过程：

各参数详解：

• -d：在后台运行容器。
• -p 20:20：将容器中的端口 20 映射到主机的端口 20。
• -p 21:21：将容器中的端口 21 映射到主机的端口 21。
• -p 21100-21110:21100-21110：将容器中的端口 21100 到 21110 映射到主机的端口 21100 到 21110。
• -v /home/ftp:/home/vsftpd：将主机的 /home/ftp 目录挂载到容器的 /home/vsftpd 目录。
• -e FTP_USER=ftpu1：设置环境变量 FTP_USER 为 ftpu1。
• -e FTP_PASS=1234567a：设置环境变量 FTP_PASS 为 1234567a。
• -e PASV_ADDRESS=192.168.1.200：设置环境变量 PASV_ADDRESS 为 192.168.1.200。
• -e PASV_MIN_PORT=21100：设置环境变量 PASV_MIN_PORT 为 21100。
• -e PASV_MAX_PORT=21110：设置环境变量 PASV_MAX_PORT 为 21110。
• –name vsftpd：为容器指定名称 vsftpd。
• –restart=always：设置容器总是在意外终止后重启。
• fauria/vsftpd：指定要运行的镜像。

查看 vsftpd 的初始配置，在文件中 /etc/vsftpd/vsftpd.conf ：

配置如下：

# Run in the foreground to keep the container running:
background=NO

# Allow anonymous FTP? (Beware - allowed by default if you comment this out).
anonymous_enable=NO

# Uncomment this to allow local users to log in.
local_enable=YES

## Enable virtual users
guest_enable=YES

## Virtual users will use the same permissions as anonymous
virtual_use_local_privs=YES

# Uncomment this to enable any form of FTP write command.
write_enable=YES

## PAM file name
pam_service_name=vsftpd_virtual

## Home Directory for virtual users
user_sub_token=$USER
local_root=/home/vsftpd/$USER

# You may specify an explicit list of local users to chroot() to their home
# directory. If chroot_local_user is YES, then this list becomes a list of
# users to NOT chroot().
chroot_local_user=YES

# Workaround chroot check.
# See https://www.benscobie.com/fixing-500-oops-vsftpd-refusing-to-run-with-writable-root-inside-chroot/
# and http://serverfault.com/questions/362619/why-is-the-chroot-local-user-of-vsftpd-insecure
allow_writeable_chroot=YES

## Hide ids from user
hide_ids=YES

## Enable logging
xferlog_enable=YES
xferlog_file=/var/log/vsftpd/vsftpd.log

## Enable active mode
port_enable=YES
connect_from_port_20=YES
ftp_data_port=20

## Disable seccomp filter sanboxing
seccomp_sandbox=NO

### Variables set at container runtime
pasv_address=192.168.1.200
pasv_max_port=21110
pasv_min_port=21100
pasv_addr_resolve=NO
pasv_enable=YES
file_open_mode=0666
local_umask=077
xferlog_std_format=NO
reverse_lookup_enable=YES
pasv_promiscuous=NO
port_promiscuous=NO
[root@ada6120eb98d /]# 

端口范围是：21100~21110，太多，后改成：21100~21102。

常见的配置说明：

• anonymous_enable=NO 表明不启用匿名访问
• local_enable=YES 表明启用本地用户访问
• write_enable=YES 表明启用写入功能
• chroot_local_user=YES 表明启用本地用户的 chroot

三、其它设置：启用被动模式

docker cp vsftpd:/etc/vsftpd/vsftpd.conf /home/vsftpd/etc/vsftpd/vsftpd.conf

# 使用参数 -v 双向绑定
docker run -d -p 20:20 -p 21:21 -p 21100-21102:21100-21102 -v /home/ftp:/home/vsftpd -v /home/vsftpd/etc/vsftpd/vsftpd.conf:/etc/vsftpd/vsftpd.conf -e FTP_USER=ftpu1 -e FTP_PASS=1234567a -e PASV_ADDRESS=192.168.1.200 -e PASV_MIN_PORT=21100 -e PASV_MAX_PORT=21102 --name vsftpd --restart=always fauria/vsftpd

设置参数 pasv_promiscuous。

参数 “pasv_promiscuous” 是 vsftpd 服务器的一个配置选项，它用于控制 PASV 模式下的连接行为。

PASV 模式是 FTP 协议中用于数据传输的一种模式。在这种模式下，服务器会监听一个端口，客户端会连接到这个端口并进行数据传输。

当 “pasv_promiscuous” 参数设置为 YES 时，服务器会允许任何客户端连接到其监听的端口，而不仅仅是与其建立连接的客户端。这意味着，服务器会允许来自任意 IP 地址的客户端连接到其监听的端口。

如果 “pasv_promiscuous” 参数设置为 NO，则服务器仅会允许与其建立连接的客户端连接到其监听的端口。这意味着，服务器只会允许与其建立连接的客户端连接到其监听的端口。

通常情况下，提议将 “pasv_promiscuous” 参数设置为 NO，以保证服务器的安全性。

下面是包含设置 “pasv_promiscuous” 参数的示例：

# 设置其它参数 pasv_promiscuous=YES
docker run -d -p 20:20 -p 21:21 -p 21100-21102:21100-21102 -v /home/ftp:/home/vsftpd -v /home/vsftpd/etc/vsftpd/vsftpd.conf:/etc/vsftpd/vsftpd.conf -e FTP_USER=ftpu1 -e FTP_PASS=1234567a -e PASV_ADDRESS=192.168.1.200 -e PASV_MIN_PORT=21100 -e PASV_MAX_PORT=21102 -e pasv_promiscuous=YES --name vsftpd --restart=always fauria/vsftpd

手机端看的清楚：

四、测试外部连接

本地打开 ftp 客户端，如 FileZilla，连接服务器，也可以使用命令行工具，输入主机、用户名密码：

连接成功，上传文件也成功。

前面启动镜像配置的目录是，容器的FTP目录为 /home/vsftpd，宿主机的ftp目录为 /home/ftp，对应的目录都去查看。

容器内上传的目录：

宿主机上传的目录：

五、新增用户

先进入容器内容，然后可以查看现有用户：使用命令 cat
/etc/vsftpd/virtual_users.txt

有时候需要新增用户，先创建用户：

useradd -m newuser
passwd newuser

设置 FTP 用户目录权限：

mkdir -p /home/newuser/ftp
chown newuser:newuser /home/newuser/ftp
chmod 750 /home/newuser/ftp

然后重启服务即可生效。

六、内网穿透

为了在异地远程连接，可以进行内网穿透，可以关注我写的 frp 内网穿透相关文章。