在 Debian 上配置 FTPServer(FTP over SSL/TLS),最常用、稳定的方案是 vsftpd + SSL/TLS。下面给你一套从安装到安全配置的完整流程(适用于 Debian 10/11/12)。
sudo apt update
sudo apt install vsftpd -y
安装完成后,vsftpd 会自动以系统服务方式运行。
sudo openssl req -x509 -nodes -days 365 -newkey rsa:2048 \
-keyout /etc/ssl/private/vsftpd.key \
-out /etc/ssl/certs/vsftpd.crt
按提示填写信息即可,例如:
sudo apt install certbot -y
sudo certbot certonly --standalone -d ftp.example.com
证书路径通常为:
/etc/letsencrypt/live/ftp.example.com/fullchain.pem
/etc/letsencrypt/live/ftp.example.com/privkey.pem
编辑配置文件:
sudo nano /etc/vsftpd.conf
# 启用独立模式
listen=YES
listen_ipv6=NO
# 禁止匿名登录
anonymous_enable=NO
# 本地用户登录
local_enable=YES
write_enable=YES
# 启用 SSL/TLS
ssl_enable=YES
allow_anon_ssl=NO
force_local_data_ssl=YES
force_local_logins_ssl=YES
# 证书路径(自签名)
rsa_cert_file=/etc/ssl/certs/vsftpd.crt
rsa_private_key_file=/etc/ssl/private/vsftpd.key
# 如果是 Let's Encrypt
# rsa_cert_file=/etc/letsencrypt/live/ftp.example.com/fullchain.pem
# rsa_private_key_file=/etc/letsencrypt/live/ftp.example.com/privkey.pem
# 安全选项
ssl_tlsv1=YES
ssl_sslv2=NO
ssl_sslv3=NO
# 被动模式(非常重要)
pasv_enable=YES
pasv_min_port=30000
pasv_max_port=31000
# 限制用户访问自己的家目录(可选但推荐)
chroot_local_user=YES
allow_writeable_chroot=YES
保存后退出。
sudo ufw allow 21/tcp
sudo ufw allow 30000:31000/tcp
sudo ufw reload
iptables -A INPUT -p tcp --dport 21 -j ACCEPT
iptables -A INPUT -p tcp --dport 30000:31000 -j ACCEPT
sudo systemctl restart vsftpd
sudo systemctl enable vsftpd
查看状态:
sudo systemctl status vsftpd
sudo useradd -m ftpuser
sudo passwd ftpuser
服务器IP/etc/pam.d/vsftpd)✅ 禁用 root 登录
✅ 使用被动模式
✅ 使用强密码或 SSH Key(如果可替代)
✅ 定期更新证书
✅ 限制用户 chroot
我可以帮你:
只要告诉我你的 Debian 版本 + 使用场景 即可。