1. 安装 vsftpd 服务

sudo apt-get update
sudo apt-get install vsftpd

vsftpd服务将在安装过程完成后自动启动,使用以下命令验证:

sudo systemctl status vsftpd

正常显示如下:

vsftpd.service - vsftpd FTP server
     Loaded: loaded (/usr/lib/systemd/system/vsftpd.service; enabled; preset: enabled)
     Active: active (running) since Mon 2025-12-22 14:43:25 CST; 11s ago
    Process: 1046823 ExecStartPre=/bin/mkdir -p /var/run/vsftpd/empty (code=exited, status=0/SUCCESS)
   Main PID: 1046825 (vsftpd)
      Tasks: 1 (limit: 18755)
     Memory: 716.0K (peak: 1.6M)
        CPU: 4ms
     CGroup: /system.slice/vsftpd.service
             └─1046825 /usr/sbin/vsftpd /etc/vsftpd.conf
12月 22 14:43:25 MaxUbuntu systemd[1]: Starting vsftpd.service - vsftpd FTP server...
12月 22 14:43:25 MaxUbuntu systemd[1]: Started vsftpd.service - vsftpd FTP server.

2. 配置 FTP 服务

可以通过编辑/etc/vsftpd.conf文件来配置vsftpd服务器。大多数设置在配置文件中都有详细记录。有关所有可用选项,请访问[官方vsftpd]页面。

首先打开vsftpd配置文件:

sudo vi /etc/vsftpd.conf

2.1 访问用户设置

我们仅允许本地用户访问FTP服务器,找到anonymous_enable和local_enable指令,并验证您的配置是否与以下行匹配:

anonymous_enable=NO
local_enable=YES

2.2 上传功能设置

通过设置write_enable以允许对文件系统进行更改,例如上载和删除文件。

write_enable=YES

3.3 chroot 设置

为防止FTP用户访问其主目录之外的任何文件,请取消注释chroot设置。

chroot_local_user=YES

默认情况下,为了防止安全漏洞,启用chroot后,如果用户锁定的目录可写,则vsftpd将拒绝上传文件。

启用chroot时,请使用以下方法之一允许上传。

  1. 方法1. -推荐的允许上传的方法是保持chroot的状态,并配置FTP目录。我们将在用户主目录内创建一个ftp目录,该目录将用作chroot和一个可写的uploads目录,用于上传文件。

user_sub_token=$USER
local_root=/home/$USER/ftp

  1. 方法2. -另一个选项是在vsftpd配置文件中添加以下指令。如果必须将用户的可写访问权限授予其主目录,请使用此选项。

allow_writeable_chroot=YES

3.4 被动 FTP 设置

vsftpd可以使用任何端口进行被动FTP连接。我们将指定端口的最小和最大范围,然后在防火墙中打开该范围。

pasv_min_port=30000
pasv_max_port=31000

3.5 限制用户登录

要仅允许某些用户登录FTP服务器,请在文件末尾添加以下几行:

userlist_enable=YES
userlist_file=/etc/vsftpd.user_list
userlist_deny=NO

启用此选项后,您需要通过将用户名添加到/etc/vsftpd.user_list文件(每行一个用户)来明确指定哪些用户可以登录。

3.6 使用 SSL/TSL 加密传输

要使用SSL / TLS加密FTP传输,您需要具有SSL证书并配置FTP服务器以使用它。

您可以使用由受信任的证书颁发机构签名的现有SSL证书,也可以创建自签名证书。

如果您有指向FTP服务器IP地址的域或子域,则可以轻松生成免费的 Let's Encrypt SSL证书。

我们将使用openssl命令生成个自签名SSL证书。

以下命令将创建一个有效期为10年的2048位私钥和自签名证书。私钥和证书都将保存在同一文件中:

sudo openssl req -x509 -nodes -days 3650 -newkey rsa:2048 -keyout /etc/ssl/private/vsftpd.pem -out /etc/ssl/private/vsftpd.pem

创建SSL证书后,打开vsftpd配置文件:

sudo nano /etc/vsftpd.conf

查找rsa_cert_file和rsa_private_key_file指令,将它们的值更改为pam文件路径,并将ssl_enable指令设置为YES:

rsa_cert_file=/etc/ssl/private/vsftpd.pem
rsa_private_key_file=/etc/ssl/private/vsftpd.pem
ssl_enable=YES

如果没有另外指定,则FTP服务器将仅使用TLS建立安全连接。

完成编辑后,vsftpd配置文件(不包括注释)应如下所示:

# /etc/vsftpd.conf

listen=NO
listen_ipv6=YES
anonymous_enable=NO
local_enable=YES
write_enable=YES
dirmessage_enable=YES
use_localtime=YES
xferlog_enable=YES
connect_from_port_20=YES
chroot_local_user=YES
secure_chroot_dir=/var/run/vsftpd/empty
pam_service_name=vsftpd
rsa_cert_file=/etc/ssl/private/vsftpd.pem
rsa_private_key_file=/etc/ssl/private/vsftpd.pem
ssl_enable=YES
user_sub_token=$USER
local_root=/home/$USER/ftp
pasv_min_port=30000
pasv_max_port=31000
userlist_enable=YES
userlist_file=/etc/vsftpd.user_list
userlist_deny=NO

保存文件,然后重新启动vsftpd服务,以使更改生效:

sudo systemctl restart vsftpd

3. 防火墙配置

如果您正在运行 UFW防火墙,则需要允许FTP通信。

要打开端口21(FTP命令端口),端口20(FTP数据端口)和30000-31000(被动端口范围),请运行以下命令:

sudo ufw allow 20:21/tcp
sudo ufw allow 30000:31000/tcp

为避免被锁定,请打开 SSH 端口22:

sudo ufw allow OpenSSH

重新启用UFW重新加载UFW规则:

sudo ufw disable
sudo ufw enable

验证防火墙规则状态:

sudo ufw status

Status: active
To                         Action      From
--                         ------      ----
20:21/tcp                  ALLOW       Anywhere
30000:31000/tcp            ALLOW       Anywhere
OpenSSH                    ALLOW       Anywhere
20:21/tcp (v6)             ALLOW       Anywhere (v6)
30000:31000/tcp (v6)       ALLOW       Anywhere (v6)
OpenSSH (v6)               ALLOW       Anywhere (v6)

4. 创建 FTP 用户

sudo adduser newftpuser

4.1 将用户添加到允许的FTP用户列表:

echo "newftpuser" | sudo tee -a /etc/vsftpd.user_list

4.2 创建FTP目录树并设置正确的权限:

sudo mkdir -p /home/newftpuser/ftp/upload
sudo chmod 550 /home/newftpuser/ftp
sudo chmod 750 /home/newftpuser/ftp/upload
sudo chown -R newftpuser: /home/newftpuser/ftp

用户将能够将其文件上传到ftp/upload目录。

至此,FTP服务器已正常运行,您应该能够使用可以配置为使用TLS加密的任何FTP客户端(例如 FileZilla )连接到服务器。

5. 禁用 SHELL 程序访问权限

默认情况下,在创建用户时,如果未明确指定,则该用户将具有对服务器的SSH访问权限。

要禁用外壳程序访问,我们将创建一个新的外壳程序,该外壳程序将仅打印一条消息,告知用户其帐户仅限于FTP访问。

5.1 创建/bin/ftponly shell并使其可执行:

echo -e '#!/bin/sh\necho "This account is limited to FTP access only."' | sudo tee -a  /bin/ftponly
sudo chmod a+x /bin/ftponly

5.2 将新外壳追加到/etc/shells文件中的有效外壳列表中:

echo "/bin/ftponly" | sudo tee -a /etc/shells

5.3 将用户外壳更改为/bin/ftponly:

sudo usermod newftpuser -s /bin/ftponly

使用相同的命令来更改仅希望授予FTP访问权限的所有用户的外壳。