CentOS FTP服务器故障排查方法

CentOS FTP服务器故障排查方法

一 快速定位流程

• 明确报错信息：如Connection refused/超时、530 Login incorrect、无法显示远程文件夹等，先记录完整提示与复现步骤。
• 客户端连通性三步：
  1. ping 服务器IP；2) telnet 服务器IP 21 验证控制端口；3) 使用 FileZilla/命令行 ftp 测试。
• 服务器侧自检：确认服务运行、端口监听、配置文件语法、日志报错。
• 模式与防火墙：优先在客户端尝试被动模式 Passive；同步核对服务器与云厂商安全组已放行相关端口。
• 权限与磁盘：核对用户家目录权限、磁盘空间与配额。
  以上步骤能在多数场景下快速缩小问题范围。

二 服务与端口检查

• 服务状态与自启：
  • 检查：systemctl status vsftpd
  • 启动/自启：systemctl start vsftpd；systemctl enable vsftpd
• 监听与端口占用：
  • 查看端口：ss -tulpen | grep ‘:21’ 或 netstat -tuln | grep :21
  • 若端口被占用（如被 pure-ftpd 占用），结束冲突进程或更换端口后重启 vsftpd。
• 配置文件语法与关键项：
  • 编辑：/etc/vsftpd/vsftpd.conf（注意“option=value”等号两侧不可有空格）
  • 常用项：listen=YES、listen_ipv6=NO（若系统不支持 IPv6）、anonymous_enable、local_enable、write_enable、chroot_local_user、pasv_enable、pasv_min_port、pasv_max_port
• 启动失败定位：
  • 查看状态与日志：systemctl status vsftpd；journalctl -xe；tail -f /var/log/vsftpd.log 或 /var/log/secure
    以上可快速判断“服务未起/起不来/端口冲突/配置错误”等根因。

三 防火墙与安全组

• firewalld（推荐）：
  • 放行 FTP 控制端口与被动端口范围：
    • firewall-cmd --permanent --add-service=ftp
    • firewall-cmd --permanent --add-port=21/tcp
    • firewall-cmd --permanent --add-port=40000-50000/tcp（示例被动端口范围）
    • firewall-cmd --reload
• 云服务器安全组：在控制台放行TCP 21与所配置的被动端口范围。
• 传统 iptables 场景：
  • 放行示例：iptables -A INPUT -p tcp --dport 21 -j ACCEPT
  • 被动端口范围：iptables -A INPUT -p tcp --dport 40000:50000 -j ACCEPT
  • 保存并重启防火墙服务（视系统而定）。
    FTP 数据连接与控制连接分离，务必同时放行21与被动端口范围。

四 常见错误与修复对照表

五 被动模式与 SELinux 配置要点

• 被动模式建议做法：
  • 在 vsftpd.conf 中启用并限定端口范围：
    • pasv_enable=YES
    • pasv_min_port=40000；pasv_max_port=50000
  • 防火墙放行上述端口范围；云环境同时放行安全组。
  • 若服务器位于 NAT 后，设置 pasv_address 为服务器公网 IP，避免客户端连错地址。
• SELinux 处理思路：
  • 临时宽松：setenforce 0（仅测试用）
  • 永久放行常见布尔值：setsebool -P ftp_home_dir 1；必要时 setsebool -P allow_ftpd_full_access 1
  • 避免将家目录设为777等过宽权限，按需收紧。
• 日志与审计：
  • 持续观察 /var/log/vsftpd.log、/var/log/secure 中的报错与时间线，有助于快速定位认证、权限与策略问题。