Ubuntu 上 vsftpd 性能调优要点
核心配置优化
- 禁用匿名访问,减少攻击面与资源占用:anonymous_enable=NO。
- 启用本地用户与写入:local_enable=YES、write_enable=YES。
- 使用被动模式并限定端口范围,便于防火墙放行与连接稳定:
- pasv_enable=YES
- pasv_min_port=40000、pasv_max_port=50000(范围越大,可支持的并发数据连接越多)
- 并发与带宽控制,防止个别用户或突发流量拖垮服务:
- max_clients=100(按 CPU/内存/带宽评估)
- max_per_ip=5(可按需放宽)
- local_max_rate=0(0 表示不限制;可按带宽上限设置,如 50MB/s 则约为 52428800)
- anon_max_rate=0
- 启用日志以便定位瓶颈与异常:xferlog_enable=YES。
- 超时设置避免资源长期占用:data_connection_timeout=300、idle_session_timeout=600。
- 如需加密传输,启用 SSL/TLS:ssl_enable=YES;为提升安全性与兼容性,建议同时设置 force_local_data_ssl=YES、force_local_logins_ssl=YES,并指定证书路径(如 rsa_cert_file、rsa_private_key_file)。注意:加密会带来一定 CPU 开销。
系统级与网络优化
- 内核网络参数优化(/etc/sysctl.conf),提升 TCP 缓冲与连接效率:
- net.core.rmem_max=16777216、net.core.wmem_max=16777216
- net.ipv4.tcp_rmem=4096 87380 16777216
- net.ipv4.tcp_wmem=4096 65536 16777216
- 可按环境选择拥塞控制算法:net.ipv4.tcp_congestion_control=cubic(或 bbr)
- 其他可选:net.ipv4.tcp_no_metrics_save=1、net.ipv4.tcp_low_latency=1
- 应用生效:sudo sysctl -p
- 存储与文件系统:将数据目录置于 SSD,并在挂载选项中使用 noatime 减少元数据写入。
- 电源与 CPU 策略:在追求稳定吞吐的场景,可关闭省电模式以避免 CPU 降频;对 CPU 频率波动敏感的环境,可评估禁用 TurboBoost/SpeedStep(笔记本更需注意)。
- 防火墙放行:
- 控制通道:sudo ufw allow 21/tcp
- 被动端口范围:sudo ufw allow 40000:50000/tcp
- 显式放行 990/tcp(FTPS 控制通道,若启用 SSL/TLS)
- 如使用主动模式,还需放行 20/tcp(数据通道)
- 安全模块:如使用 SELinux/AppArmor,确认策略未限制 vsftpd 的读写与端口访问。
监控与故障排查
- 启用并定期检查传输日志:xferlog_enable=YES,分析慢速时段、失败重试与大文件传输特征。
- 实时监控网络与进程:
- 按连接/端口查看流量:sudo iftop -P
- 按进程查看带宽:sudo nethogs
- 基线测试与回归:在调整并发、速率、端口范围等关键参数前后,使用 FTP 客户端进行多次大文件(如 1–10 GB)上传/下载测试,记录吞吐、CPU、I/O、重传与超时情况,逐步调优。
快速参考配置片段
# /etc/vsftpd.conf 关键项(按需裁剪)
anonymous_enable=NO
local_enable=YES
write_enable=YES
chroot_local_user=YES
allow_writeable_chroot=YES
pasv_enable=YES
pasv_min_port=40000
pasv_max_port=50000
max_clients=100
max_per_ip=5
local_max_rate=0
anon_max_rate=0
xferlog_enable=YES
xferlog_file=/var/log/vsftpd.log
xferlog_std_format=YES
data_connection_timeout=300
idle_session_timeout=600
# 如需加密(可选)
ssl_enable=YES
force_local_data_ssl=YES
force_local_logins_ssl=YES
rsa_cert_file=/etc/ssl/private/vsftpd.pem
rsa_private_key_file=/etc/ssl/private/vsftpd.pem
- 防火墙放行示例:
- sudo ufw allow 21/tcp
- sudo ufw allow 40000:50000/tcp
- sudo ufw allow 990/tcp
- 应用与验证:
- 检查语法与重启:sudo systemctl restart vsftpd
- 版本与连通性:vsftpd -v、ftp/openssl s_client 测试
