如何在Debian配置FTPServer
在 Debian 上配置 FTPServer(FTP over SSL/TLS),最常用、稳定的方案是 vsftpd + SSL/TLS。下面给你一套从安装到安全配置的完整流程(适用于 Debian 10/11/12)。
一、安装 vsftpd
sudo apt update
sudo apt install vsftpd -y
安装完成后,vsftpd 会自动以系统服务方式运行。
二、准备 SSL/TLS 证书
方式 1:使用自签名证书(推荐测试/内网)
sudo openssl req -x509 -nodes -days 365 -newkey rsa:2048 \
-keyout /etc/ssl/private/vsftpd.key \
-out /etc/ssl/certs/vsftpd.crt
按提示填写信息即可,例如:
- Common Name:服务器 IP 或域名
方式 2:使用 Let’s Encrypt(公网服务器推荐)
sudo apt install certbot -y
sudo certbot certonly --standalone -d ftp.example.com
证书路径通常为:
/etc/letsencrypt/live/ftp.example.com/fullchain.pem
/etc/letsencrypt/live/ftp.example.com/privkey.pem
三、配置 vsftpd(FTPS 核心配置)
编辑配置文件:
sudo nano /etc/vsftpd.conf
基础推荐配置(支持 FTPS)
# 启用独立模式
listen=YES
listen_ipv6=NO
# 禁止匿名登录
anonymous_enable=NO
# 本地用户登录
local_enable=YES
write_enable=YES
# 启用 SSL/TLS
ssl_enable=YES
allow_anon_ssl=NO
force_local_data_ssl=YES
force_local_logins_ssl=YES
# 证书路径(自签名)
rsa_cert_file=/etc/ssl/certs/vsftpd.crt
rsa_private_key_file=/etc/ssl/private/vsftpd.key
# 如果是 Let's Encrypt
# rsa_cert_file=/etc/letsencrypt/live/ftp.example.com/fullchain.pem
# rsa_private_key_file=/etc/letsencrypt/live/ftp.example.com/privkey.pem
# 安全选项
ssl_tlsv1=YES
ssl_sslv2=NO
ssl_sslv3=NO
# 被动模式(非常重要)
pasv_enable=YES
pasv_min_port=30000
pasv_max_port=31000
# 限制用户访问自己的家目录(可选但推荐)
chroot_local_user=YES
allow_writeable_chroot=YES
保存后退出。
四、开放防火墙端口
如果使用 UFW:
sudo ufw allow 21/tcp
sudo ufw allow 30000:31000/tcp
sudo ufw reload
如果使用 iptables:
iptables -A INPUT -p tcp --dport 21 -j ACCEPT
iptables -A INPUT -p tcp --dport 30000:31000 -j ACCEPT
五、重启 vsftpd
sudo systemctl restart vsftpd
sudo systemctl enable vsftpd
查看状态:
sudo systemctl status vsftpd
六、创建 FTP 用户(示例)
sudo useradd -m ftpuser
sudo passwd ftpuser
七、客户端连接方式
推荐客户端
- FileZilla(最常用)
- WinSCP
- lftp(Linux)
FileZilla 设置
- 主机:
服务器IP - 协议:FTP over TLS (FTPS)
- 加密:需要显式 FTP over TLS
- 用户/密码:你创建的 Linux 用户
八、常见问题排查
1. 连接超时
- 检查防火墙
- 检查云服务器安全组(21 + 被动端口)
2. 530 Login incorrect
- 用户被 nologin 限制
- PAM 限制(可检查
/etc/pam.d/vsftpd)
3. TLS 握手失败
- 证书路径错误
- 客户端不支持旧 SSL
九、安全建议(强烈推荐)
✅ 禁用 root 登录
✅ 使用被动模式
✅ 使用强密码或 SSH Key(如果可替代)
✅ 定期更新证书
✅ 限制用户 chroot
十、如果你需要
我可以帮你:
- ✅ 配 SFTP(SSH)而不是 FTPS
- ✅ 配 虚拟用户(不创建系统用户)
- ✅ 配 只读 / 只写 FTP
- ✅ 排查具体报错日志
只要告诉我你的 Debian 版本 + 使用场景 即可。