Debian与vsftp的网络配置要点

Debian 网络配置要点

• 使用传统接口文件 /etc/network/interfaces（适合服务器/无图形环境）
  • 动态 IP：

    auto eth0
    iface eth0 inet dhcp
    

  • 静态 IP：

    auto eth0
    iface eth0 inet static
        address 192.168.1.100/24
        gateway 192.168.1.1
        dns-nameservers 8.8.8.8 8.8.4.4
    

  • 使配置生效：sudo systemctl restart networking；网卡名请以 ip addr 实际为准（如 eth0/enp0s3）。
• 使用 NetworkManager（适合桌面/笔记本/动态网络）
  • 安装与启用：sudo apt install network-manager && sudo systemctl enable --now NetworkManager
  • 命令行工具：nmcli / nmtui 创建与激活连接，配置文件位于 /etc/NetworkManager/system-connections/。
• 云环境/新部署常见做法：使用 netplan（若系统提供）
  • 示例 /etc/netplan/01-netcfg.yaml：

    network:
      version: 2
      renderer: networkd
      ethernets:
        eth0:
          dhcp4: no
          addresses: [192.168.1.100/24]
          gateway4: 192.168.1.1
          nameservers: { addresses: [8.8.8.8, 8.8.4.4] }
    

  • 应用：sudo netplan apply。以上方法按场景择一使用，避免同时启用两套网络管理方式。

vsftpd 网络与安全配置要点

• 安装与基础
  • 安装：sudo apt update && sudo apt install vsftpd
  • 建议禁用匿名访问：anonymous_enable=NO
  • 启用本地用户与写入：local_enable=YES、write_enable=YES
  • 将本地用户限制在主目录：chroot_local_user=YES
    • 若需可写，添加：allow_writeable_chroot=YES
  • 监听与 IPv6：listen=YES、listen_ipv6=NO
• 被动模式与端口规划（穿越防火墙/NAT 的推荐做法）
  • 启用被动模式：pasv_enable=YES
  • 设定端口范围（示例）：pasv_min_port=30000、pasv_max_port=31000
  • 防火墙放行示例（UFW）：sudo ufw allow 20/tcp、sudo ufw allow 21/tcp、sudo ufw allow 30000:31000/tcp
• 加密传输（FTPS）
  • 生成证书：sudo openssl req -x509 -nodes -days 365 -newkey rsa:2048 -keyout /etc/ssl/private/vsftpd.pem -out /etc/ssl/private/vsftpd.pem
  • 启用 TLS：ssl_enable=YES、allow_anon_ssl=NO、force_local_data_ssl=YES、force_local_logins_ssl=YES
  • 指定证书：rsa_cert_file=/etc/ssl/private/vsftpd.pem、rsa_private_key_file=/etc/ssl/private/vsftpd.pem
  • 客户端使用“FTP over TLS/SSL”连接（端口 990 常用于显式 FTPS）。
• 访问控制与日志
  • 启用用户列表：userlist_enable=YES、userlist_deny=NO、userlist_file=/etc/vsftpd.allowed_users
  • 禁用的系统账号文件：/etc/ftpusers（如 root 等不应登录 FTP）
  • 传输日志：xferlog_enable=YES、xferlog_std_format=YES，日志路径 /var/log/vsftpd.log。
• 服务管理
  • 重启生效：sudo systemctl restart vsftpd
  • 开机自启：sudo systemctl enable vsftpd。以上配置项可按需精简与合并。

防火墙与云环境注意事项

• 主动 vs 被动
  • 主动模式由服务器发起数据连接，常受客户端 NAT/防火墙限制；多数公网/云环境建议启用被动模式并固定端口范围，便于放行与排障。
• 端口放行清单
  • 控制通道：21/tcp
  • 数据通道（主动）：20/tcp
  • 被动端口范围（示例）：30000–31000/tcp（与 pasv_min_port/pasv_max_port 一致）
  • 显式 FTPS：990/tcp
• 云厂商安全组/本机防火墙需同时放行上述端口范围；被动端口范围务必与 vsftpd 配置一致。

快速验证步骤

• 本机连通性：ftp localhost（或使用 FileZilla 连接 127.0.0.1）
• 远程连接：使用服务器公网/内网 IP 与系统用户凭据测试上传/下载
• 日志检查：sudo tail -f /var/log/vsftpd.log 观察登录与传输情况
• TLS 验证：客户端选择“Require explicit FTP over TLS”，确认证书与加密生效。

常见坑位与建议

• 启用 chroot_local_user=YES 后若需写入，务必设置 allow_writeable_chroot=YES，否则登录会失败。
• 被动端口范围过小或不一致，会导致目录列表/传输卡顿或失败；确保与防火墙放行范围一致。
• 同时使用两套网络管理方式（如 interfaces 与 NetworkManager）会造成冲突，保持单一管理方式。
• 公网环境不建议启用匿名访问；如启用，务必限制可写目录与权限。
• 若需端口映射（如外部 2121 → 内部 21），可使用 iptables DNAT 并在客户端指定端口连接。