在 Linux 上搭建 加密的 FTP 服务器,推荐做法是使用 FTPS(FTP over SSL/TLS),而不是早期的 SFTP(那是 SSH 的一种,不是 FTP)。下面我按最常见、最安全的方式一步步说明。
# Debian / Ubuntu
sudo apt update
sudo apt install vsftpd
# CentOS / Rocky / Alma
sudo yum install vsftpd
# 或
sudo dnf install vsftpd
sudo openssl req -x509 -nodes -days 365 \
-newkey rsa:2048 \
-keyout /etc/ssl/private/vsftpd.key \
-out /etc/ssl/certs/vsftpd.crt
一路回车即可,Common Name 填服务器 IP 或域名
编辑配置文件:
sudo vim /etc/vsftpd.conf
关键配置如下(直接追加或覆盖):
# 启用 SSL
ssl_enable=YES
# 禁止匿名
anonymous_enable=NO
# 本地用户登录
local_enable=YES
write_enable=YES
# SSL 证书路径
rsa_cert_file=/etc/ssl/certs/vsftpd.crt
rsa_private_key_file=/etc/ssl/private/vsftpd.key
# 强制使用 TLS(推荐)
ssl_tlsv1=YES
ssl_sslv2=NO
ssl_sslv3=NO
# 强制加密数据传输
force_local_data_ssl=YES
force_local_logins_ssl=YES
# 允许被动模式(云服务器必须)
pasv_enable=YES
pasv_min_port=30000
pasv_max_port=31000
# 限制用户访问家目录(可选)
chroot_local_user=YES
allow_writeable_chroot=YES
# firewalld
sudo firewall-cmd --permanent --add-port=21/tcp
sudo firewall-cmd --permanent --add-port=30000-31000/tcp
sudo firewall-cmd --reload
# iptables
sudo iptables -A INPUT -p tcp --dport 21 -j ACCEPT
sudo iptables -A INPUT -p tcp --dport 30000:31000 -j ACCEPT
sudo systemctl restart vsftpd
sudo systemctl enable vsftpd
✅ 必须使用支持 FTPS 的客户端:
| 客户端 | 说明 |
|---|---|
| FileZilla | 选择 FTP over TLS |
| WinSCP | 协议选 FTP + TLS/SSL |
| lftp | set ftp:ssl-force true |
❌ 普通 ftp 命令 不支持加密
✅ 正常(自签名证书)
✅ 生产环境建议使用 Let’s Encrypt
✅ 检查:
pasv_address 是否配置为公网 IPpasv_address=你的公网IP
⚠️ SFTP ≠ FTP
sudo systemctl enable sshd
客户端直接选 SFTP,不需要证书配置。
| 场景 | 推荐 |
|---|---|
| 对外网、兼容传统 FTP | ✅ vsftpd + FTPS |
| 简单、安全、现代 | ✅ SFTP(SSH) |
| 明文 FTP | ❌ 不安全 |
如果你愿意,可以告诉我:
我可以给你一份完全可直接用的配置。