温馨提示×

如何在Debian配置FTPServer

小樊
36
2026-07-11 03:43:24
栏目: 智能运维

在 Debian 上配置 FTPServer(FTP over SSL/TLS),最常用、稳定的方案是 vsftpd + SSL/TLS。下面给你一套从安装到安全配置的完整流程(适用于 Debian 10/11/12)。


一、安装 vsftpd

sudo apt update
sudo apt install vsftpd -y

安装完成后,vsftpd 会自动以系统服务方式运行。


二、准备 SSL/TLS 证书

方式 1:使用自签名证书(推荐测试/内网)

sudo openssl req -x509 -nodes -days 365 -newkey rsa:2048 \
-keyout /etc/ssl/private/vsftpd.key \
-out /etc/ssl/certs/vsftpd.crt

按提示填写信息即可,例如:

  • Common Name:服务器 IP 或域名

方式 2:使用 Let’s Encrypt(公网服务器推荐)

sudo apt install certbot -y
sudo certbot certonly --standalone -d ftp.example.com

证书路径通常为:

/etc/letsencrypt/live/ftp.example.com/fullchain.pem
/etc/letsencrypt/live/ftp.example.com/privkey.pem

三、配置 vsftpd(FTPS 核心配置)

编辑配置文件:

sudo nano /etc/vsftpd.conf

基础推荐配置(支持 FTPS)

# 启用独立模式
listen=YES
listen_ipv6=NO

# 禁止匿名登录
anonymous_enable=NO

# 本地用户登录
local_enable=YES
write_enable=YES

# 启用 SSL/TLS
ssl_enable=YES
allow_anon_ssl=NO
force_local_data_ssl=YES
force_local_logins_ssl=YES

# 证书路径(自签名)
rsa_cert_file=/etc/ssl/certs/vsftpd.crt
rsa_private_key_file=/etc/ssl/private/vsftpd.key

# 如果是 Let's Encrypt
# rsa_cert_file=/etc/letsencrypt/live/ftp.example.com/fullchain.pem
# rsa_private_key_file=/etc/letsencrypt/live/ftp.example.com/privkey.pem

# 安全选项
ssl_tlsv1=YES
ssl_sslv2=NO
ssl_sslv3=NO

# 被动模式(非常重要)
pasv_enable=YES
pasv_min_port=30000
pasv_max_port=31000

# 限制用户访问自己的家目录(可选但推荐)
chroot_local_user=YES
allow_writeable_chroot=YES

保存后退出。


四、开放防火墙端口

如果使用 UFW:

sudo ufw allow 21/tcp
sudo ufw allow 30000:31000/tcp
sudo ufw reload

如果使用 iptables:

iptables -A INPUT -p tcp --dport 21 -j ACCEPT
iptables -A INPUT -p tcp --dport 30000:31000 -j ACCEPT

五、重启 vsftpd

sudo systemctl restart vsftpd
sudo systemctl enable vsftpd

查看状态:

sudo systemctl status vsftpd

六、创建 FTP 用户(示例)

sudo useradd -m ftpuser
sudo passwd ftpuser

七、客户端连接方式

推荐客户端

  • FileZilla(最常用)
  • WinSCP
  • lftp(Linux)

FileZilla 设置

  • 主机:服务器IP
  • 协议:FTP over TLS (FTPS)
  • 加密:需要显式 FTP over TLS
  • 用户/密码:你创建的 Linux 用户

八、常见问题排查

1. 连接超时

  • 检查防火墙
  • 检查云服务器安全组(21 + 被动端口)

2. 530 Login incorrect

  • 用户被 nologin 限制
  • PAM 限制(可检查 /etc/pam.d/vsftpd

3. TLS 握手失败

  • 证书路径错误
  • 客户端不支持旧 SSL

九、安全建议(强烈推荐)

✅ 禁用 root 登录
✅ 使用被动模式
✅ 使用强密码或 SSH Key(如果可替代)
✅ 定期更新证书
✅ 限制用户 chroot


十、如果你需要

我可以帮你:

  • ✅ 配 SFTP(SSH)而不是 FTPS
  • ✅ 配 虚拟用户(不创建系统用户)
  • ✅ 配 只读 / 只写 FTP
  • ✅ 排查具体报错日志

只要告诉我你的 Debian 版本 + 使用场景 即可。

0