概念与定位
- CentOS 是操作系统,负责提供网络栈、防火墙(如 firewalld)、SELinux、服务管理(如 systemd)等基础网络能力。
- vsftpd 是在 CentOS 上运行的 FTP 服务器软件,负责实现文件传输协议本身(控制与数据通道、认证、权限、日志等)。两者不是同一层级:前者是“平台”,后者是“应用”。此外,FTP 与 SFTP 不同:FTP 默认使用 21/20 端口、明文传输;SFTP 基于 SSH 22 端口、加密传输,通常无需额外 FTP 配置即可使用。
网络协议与端口
- FTP 使用两条连接:控制通道 TCP 21,数据通道主动模式由服务器从 TCP 20 发起;被动模式(PASV)由服务器在配置范围内开放高位端口等待客户端接入。
- 在 CentOS 上,vsftpd 的配置文件为 /etc/vsftpd/vsftpd.conf;常见关键项包括:启用被动模式 pasv_enable=YES、设置被动端口范围 pasv_min_port / pasv_max_port、以及数据端口来源 connect_from_port_20=YES。
- 防火墙与云安全组需放行:至少放行 21/TCP;若启用被动模式,还需放行配置好的 pasv_min_port–pasv_max_port 区间。仅放行 21 而无数据端口放行,客户端常出现“能登录但列目录失败”。
工作模式与防火墙策略
- 主动模式(PORT):客户端在控制通道上告知服务器自己的高位端口,服务器用 20/TCP 主动连回客户端。此模式常因客户端位于 NAT/防火墙后而失败。
- 被动模式(PASV):客户端连服务器的 21/TCP 后,服务器在 pasv_min_port–pasv_max_port 内提供一个端口,客户端再主动连该端口完成数据传输。部署公网 FTP 时通常优先选择 PASV 并固定端口区间,便于在防火墙上精确放行。
访问控制与安全配置
- 协议与身份:vsftpd 支持 匿名访问、本地系统用户、虚拟用户;可结合 PAM 做认证与账户策略。
- 目录与权限:启用 chroot 将用户限制在其家目录(或指定目录)可提升安全;新版 vsftpd 对“可写 chroot”更严格,若启用 chroot,通常需要设置 allow_writeable_chroot=YES 或调整目录权限以避免登录/列目录报错。
- 访问控制:可用 userlist_enable / userlist_deny 实现黑白名单;结合 tcp_wrappers 做主机级限制;日志通过 xferlog_enable / xferlog_file 记录传输行为。
典型网络配置对比
| 维度 |
CentOS 侧 |
vsftpd 侧 |
| 作用 |
提供网络、防火墙、SELinux、systemd 等基础网络能力 |
实现 FTP 协议与控制/数据通道、认证与权限 |
| 配置文件 |
firewalld 规则、SELinux 策略、网络接口/路由等 |
/etc/vsftpd/vsftpd.conf |
| 端口与协议 |
需放行 21/TCP;PASV 需放行端口区间;FTP 为明文 |
21/TCP 控制;20/TCP(主动)或 pasv_min–max(被动)数据 |
| 模式选择 |
无 |
主动(PORT)/被动(PASV),PASV 需配置端口范围 |
| 典型命令 |
firewall-cmd --add-port=21/tcp --permanent;–reload |
pasv_enable=YES;pasv_min_port=10000;pasv_max_port=20000 |
| 安全机制 |
firewalld、SELinux、TCP Wrappers |
chroot、allow_writeable_chroot、userlist、PAM、日志 |
上述对比要点:CentOS 负责“能不能通”(网络与策略),vsftpd 负责“怎么传”(协议与细节)。两者协同完成 FTP 的网络可达与数据安全。