如何使用vsftpd搭建FTP服务器(TLS/SSL显式加密)

一、安装 vsftpd

# Ubuntu/Debian
sudo apt update
sudo apt install vsftpd openssl

# CentOS/RHEL
sudo yum install vsftpd openssl

二、配置 SSL/TLS 证书

1. 创建证书目录

sudo mkdir -p /etc/ssl/private
sudo chmod 700 /etc/ssl/private

2. 生成自签名证书（生产环境建议使用正式证书）

sudo openssl req -x509 -nodes -days 3650 -newkey rsa:2048 \
  -keyout /etc/ssl/private/vsftpd.key \
  -out /etc/ssl/certs/vsftpd.crt \
  -subj "/C=CN/ST=State/L=City/O=Organization/CN=your-domain.com"

三、配置 vsftpd

1. 备份原始配置

sudo cp /etc/vsftpd.conf /etc/vsftpd.conf.backup

2. 编辑配置文件

sudo nano /etc/vsftpd.conf

3. 添加/修改以下配置

# 基本设置
listen=YES
listen_ipv6=NO
anonymous_enable=NO
local_enable=YES
write_enable=YES
dirmessage_enable=YES
use_localtime=YES
xferlog_enable=YES
connect_from_port_20=YES

# 用户限制
chroot_local_user=YES
allow_writeable_chroot=YES
user_sub_token=$USER
local_root=/home/$USER/ftp

# 被动模式设置（重要）
pasv_enable=YES
pasv_min_port=40000
pasv_max_port=50000
pasv_address=你的服务器公网IP  # 修改为你的实际IP

# SSL/TLS 配置
ssl_enable=YES
allow_anon_ssl=NO
force_local_data_ssl=YES
force_local_logins_ssl=YES

ssl_tlsv1=YES
ssl_sslv2=NO
ssl_sslv3=NO

rsa_cert_file=/etc/ssl/certs/vsftpd.crt
rsa_private_key_file=/etc/ssl/private/vsftpd.key

# 显式加密要求
require_ssl_reuse=NO
ssl_ciphers=HIGH

四、创建 FTP 用户

1. 创建系统用户（禁止SSH登录）

sudo useradd -m -s /bin/bash ftpuser
sudo passwd ftpuser

# 创建FTP专用目录
sudo mkdir /home/ftpuser/ftp
sudo chown ftpuser:ftpuser /home/ftpuser/ftp

2. 限制用户只能访问FTP目录

# 可选：如果需要限制用户只能访问自己的ftp目录
echo "ftpuser" | sudo tee -a /etc/vsftpd.user_list

五、配置防火墙

Ubuntu/Debian (UFW)

sudo ufw allow 21/tcp
sudo ufw allow 20/tcp
sudo ufw allow 40000:50000/tcp
sudo ufw reload

CentOS/RHEL (Firewalld)

sudo firewall-cmd --permanent --add-port=21/tcp
sudo firewall-cmd --permanent --add-port=20/tcp
sudo firewall-cmd --permanent --add-port=40000-50000/tcp
sudo firewall-cmd --reload

六、启动服务

# 启动 vsftpd
sudo systemctl start vsftpd

# 设置开机自启
sudo systemctl enable vsftpd

# 检查状态
sudo systemctl status vsftpd

七、测试连接

使用支持显式加密的 FTP 客户端：

FileZilla 配置：

命令行测试：

# 安装 lftp
sudo apt install lftp

# 连接测试
lftp ftpuser@服务器IP
# 输入密码后，输入：
set ftp:ssl-force true
set ssl:verify-certificate no  # 仅测试时使用，生产环境建议验证证书
ls

八、故障排除

常见问题及解决：

连接被拒绝

# 检查服务状态
sudo systemctl status vsftpd

# 检查端口监听
sudo netstat -tlnp | grep vsftpd

SSL/TLS 握手失败

# 检查证书权限
sudo ls -l /etc/ssl/private/vsftpd.key
sudo ls -l /etc/ssl/certs/vsftpd.crt

# 查看日志
sudo tail -f /var/log/vsftpd.log

被动模式失败

# 确保防火墙开放被动端口范围
# 在配置文件中正确设置 pasv_address

九、安全建议

十、SFTP 替代方案（推荐）

如果安全性要求高，建议使用 SFTP：

# 使用 OpenSSH 内置的 SFTP
# 编辑 /etc/ssh/sshd_config
Subsystem sftp internal-sftp

Match Group sftpusers
    ChrootDirectory /home/%u
    ForceCommand internal-sftp
    AllowTcpForwarding no
    X11Forwarding no

这样配置后，用户可以通过 SSH 端口（22）使用 SFTP 协议进行安全的文件传输。