linux配置tftp

TFTP服务简介与应用场景

TFTP（Trivial File Transfer Protocol，简单文件传输协议）是一种基于UDP的轻量级文件传输协议，以其简单、易实现的特点，常用于网络设备（如路由器、交换机、防火墙）的固件升级、配置文件备份与恢复，以及嵌入式系统的镜像传输，与FTP相比，TFTP无需复杂的用户认证和权限管理，但安全性较低，建议仅在可信网络环境中使用，在Linux系统中，通过安装和配置TFTP服务，可以快速搭建文件传输服务器，满足设备管理和系统维护的需求。

安装TFTP服务及相关软件包

在主流Linux发行版（如Ubuntu/Debian、CentOS/RHEL）中，TFTP服务通常由tftpd-hpa（Ubuntu/Debian）或tftp-server（CentOS/RHEL）软件包提供，同时需要安装tftp客户端工具用于测试，以下是不同系统的安装步骤：

Ubuntu/Debian系统

sudo apt update
sudo apt install tftpd-hpa tftp -y

CentOS/RHEL系统

sudo yum install tftp tftp-server xinetd -y  # CentOS 7及以下版本
sudo dnf install tftp tftp-server xinetd -y # CentOS 8/RHEL 8及以上版本

安装完成后,tftpd-hpa（或xinetd管理的tftp-server）服务会自动启动，但需确保服务已启用开机自启：

sudo systemctl enable tftpd-hpa  # Ubuntu/Debian
sudo systemctl enable tftp.socket # CentOS/RHEL（通过socket管理）

配置TFTP服务器核心参数

TFTP服务的配置文件路径因系统而异：Ubuntu/Debian系统默认为/etc/default/tftpd-hpa，CentOS/RHEL系统则在/etc/xinetd.d/tftp（需启用xinetd）或/etc/tftp.conf（部分新版本），以下是关键配置项及说明：

Ubuntu/Debian（/etc/default/tftpd-hpa）

RUN_DAEMON="yes"           # 启用守护进程
OPTIONS="-l -s /var/lib/tftpboot --create"  # 核心参数

• -l：以独立模式运行（不依赖xinetd）；
• -s：指定TFTP根目录，默认为/var/lib/tftpboot；
• --create：允许上传文件（默认仅允许下载，需谨慎设置）。

CentOS/RHEL（/etc/xinetd.d/tftp）

service tftp
{
    socket_type             = dgram
    protocol                = udp
    wait                    = yes
    user                    = nobody
    server                  = /usr/sbin/in.tftpd
    server_args             = -s /var/lib/tftpboot
    disable                 = no
    per_source              = 11
    cps                     = 100 2
    flags                   = IPv4
}

• server_args：指定TFTP根目录及参数，-s定义根路径；
• user：运行服务的用户，建议使用nobody或低权限用户；
• disable：设为no启用服务。

创建TFTP根目录并设置权限

无论使用哪种系统,TFTP根目录需存在且具有正确的读写权限：

sudo mkdir -p /var/lib/tftpboot  # 创建根目录
sudo chmod -R 777 /var/lib/tftpboot  # 临时开放权限（生产环境建议按需设置）
sudo chown -R nobody:nogroup /var/lib/tftpboot  # 设置属主

注意：777权限存在安全风险，生产环境中可根据需求调整为755或750，并确保上传/下载目录权限分离。

配置防火墙与SELinux（如需）

防火墙配置

TFTP默认使用UDP 69端口，需在防火墙中开放：

• Ubuntu/Debian（ufw）：

  sudo ufw allow 69/udp

• CentOS/RHEL（firewalld）：

  sudo firewall-cmd --permanent --add-port=69/udp
  sudo firewall-cmd --reload

SELinux配置（CentOS/RHEL）

若系统启用SELinux,需调整策略以允许TFTP服务访问文件系统：

sudo setsebool -P tftp_home_dir on  # 允许TFTP访问根目录
sudo semanage fcontext -a -t tftpdir_t "/var/lib/tftpboot(/.*)?"  # 设置目录安全上下文
sudo restorecon -Rv /var/lib/tftpboot  # 应用上下文

启动与验证TFTP服务

启动/重启服务

• Ubuntu/Debian：

  sudo systemctl restart tftpd-hpa

• CentOS/RHEL（若使用xinetd）：

  sudo systemctl restart xinetd

本地测试

使用tftp客户端测试上传/下载功能：

tftp 127.0.0.1  # 连接本地TFTP服务器
tftp> get testfile  # 下载文件（需提前在/var/lib/tftpboot中放置）
tftp> put newfile   # 上传文件（需配置--create参数）
tftp> quit          # 退出

若文件传输成功,说明服务正常运行，也可通过netstat -ulnp | grep 69检查端口监听状态。

常见问题与解决方案

1. “Permission denied”错误：

   • 检查TFTP根目录权限（建议755）；
   • 确认SELinux上下文正确（执行restorecon命令）。

2. “Connection timed out”错误：

   • 确认防火墙已开放UDP 69端口；
   • 检查TFTP服务状态（systemctl status tftpd-hpa）。

3. 上传功能不可用：

   

   • Ubuntu/Debian需在OPTIONS中添加--create参数；
   • CentOS/RHEL需确保xinetd配置中未限制上传（默认允许）。

4. 文件传输速度慢：

   • 调整/etc/default/tftpd-hpa中的blocksize参数（如--blocksize 8192）；
   • 检查网络带宽及服务器负载。

安全优化建议

由于TFTP协议本身不加密且缺乏认证,需采取以下措施降低风险：

1. 限制访问IP：通过防火墙规则（如iptables或firewalld）仅允许特定客户端访问；
2. 使用非特权端口：修改配置文件中的端口（需同时调整客户端设置），避免使用默认69端口；
3. 定期清理文件：避免存储敏感数据，定期清理TFTP根目录中的临时文件；
4. 替代协议：若安全性要求较高，建议使用SFTP（基于SSH）或FTP over SSL。

通过以上步骤,即可在Linux系统中完成TFTP服务的搭建与配置，无论是网络设备维护还是嵌入式系统开发，TFTP都能提供高效的文件传输支持，但需始终注意安全性与网络环境适配。