Debian FTP如何实现文件共享

在 Debian 上使用 vsftpd 搭建 FTP 文件共享

一 安装与基础配置

• 安装 vsftpd
  • 执行：sudo apt update && sudo apt install vsftpd -y
• 备份并编辑配置文件
  • 执行：sudo cp /etc/vsftpd.conf /etc/vsftpd.conf.bak
  • 编辑：sudo nano /etc/vsftpd.conf
• 常用基础配置（按需调整）
  • 启用本地用户与写入：local_enable=YES、write_enable=YES
  • 禁用匿名：anonymous_enable=NO
  • 锁定用户到主目录：chroot_local_user=YES
  • 允许 chroot 可写：allow_writeable_chroot=YES
  • 监听设置：listen=YES、listen_ipv6=NO
• 启动与开机自启
  • 执行：sudo systemctl start vsftpd && sudo systemctl enable vsftpd
  • 检查状态：sudo systemctl status vsftpd

二 用户与共享目录

• 创建专用 FTP 用户（推荐）
  • 执行：sudo adduser ftpuser
  • 可选安全限制：sudo usermod -d /home/ftpuser -s /sbin/nologin ftpuser
• 准备共享目录
  • 示例：sudo mkdir -p /srv/ftp/share
  • 授权：sudo chown ftpuser:ftpuser /srv/ftp/share && sudo chmod 755 /srv/ftp/share
• 如需共享给系统已有用户，确保其主目录权限正确，并将用户加入相应用户组（如 ftp 或 www-data，视业务而定）

三 防火墙与被动模式

• UFW 放行端口
  • 主动模式最小放行：sudo ufw allow 21/tcp
  • 被动模式端口范围（示例开放 40000–50000）：sudo ufw allow 40000:50000/tcp
  • 启用 FTPS 时放行：sudo ufw allow 990/tcp
  • 应用规则：sudo ufw enable 或 sudo ufw reload
• vsftpd 被动模式配置（写入 /etc/vsftpd.conf）
  • 示例：pasv_enable=YES、pasv_min_port=40000、pasv_max_port=50000
  • 修改后重启：sudo systemctl restart vsftpd
• 说明
  • 主动模式由服务器主动连接客户端数据端口，通常需客户端开放高端口，穿越 NAT/防火墙较复杂
  • 被动模式由客户端连接服务器指定端口范围，更利于 NAT/防火墙环境

四 加密传输与客户端连接

• 生成自签名证书并配置 FTPS
  • 生成证书：sudo openssl req -x509 -nodes -days 365 -newkey rsa:2048 -keyout /etc/ssl/private/vsftpd.pem -out /etc/ssl/private/vsftpd.pem
  • 配置 /etc/vsftpd.conf：
    • ssl_enable=YES
    • rsa_cert_file=/etc/ssl/private/vsftpd.pem
    • rsa_private_key_file=/etc/ssl/private/vsftpd.pem
    • force_local_data_ssl=YES
    • force_local_logins_ssl=YES
    • 协议与加密：ssl_tlsv1=YES、ssl_sslv2=NO、ssl_sslv3=NO、ssl_ciphers=HIGH
    • 可选：require_ssl_reuse=NO
  • 重启服务：sudo systemctl restart vsftpd
• 客户端连接测试
  • 地址：服务器 IP 或域名
  • 端口：21（显式 FTPS 为 990）
  • 模式：主动/被动均可（被动模式需与服务器端口范围一致）
  • 工具：FileZilla、WinSCP 或命令行 ftp/lftp
• 安全提示
  • 明文 FTP 不加密，建议使用 FTPS 或 SFTP（基于 SSH）；若仅需加密传输，优先选择 SFTP 方案以减少暴露面

五 常见问题与排查

• 无法列出目录或上传失败
  • 检查目录权限与属主（如 /srv/ftp/share 对 ftpuser 可读写）
  • 若启用 chroot_local_user=YES，确保开启 allow_writeable_chroot=YES 或使用不可写 chroot + 子目录可写
• 被动模式连接超时
  • 核对 pasv_min_port/pasv_max_port 与防火墙放行范围一致
  • 云服务器需确保安全组/ACL 同样放行对应端口
• 登录被拒
  • 确认 local_enable=YES、anonymous_enable=NO 设置符合预期
  • 检查用户 shell 是否为 /sbin/nologin（若使用 nologin，确保 PAM/服务允许 FTP 登录）
• 日志与排错
  • 查看服务状态：sudo systemctl status vsftpd
  • 检查日志：sudo tail -f /var/log/vsftpd.log，根据报错调整配置与权限