Linux vsftp 与 SFTP 的安全性与区别
结论与选择
- 在默认与常见配置下,SFTP 更安全。它基于 SSH,对认证信息与传输数据均进行加密,且使用单一端口 22,穿越防火墙与 NAT 更简单;而 vsftpd(VSFTP) 若以明文 FTP 运行,凭据与数据均为明文,存在显著风险。若必须使用 FTP,应启用 FTPS(SSL/TLS) 来加密控制与数据通道。总体建议:涉及敏感数据或跨公网传输时优先选用 SFTP;内网可信环境且必须 FTP 时,使用 vsftpd + TLS 并做好加固。
核心差异对比
| 维度 |
vsftpd(VSFTP,FTP/FTPS) |
SFTP(SSH File Transfer Protocol) |
| 协议与端口 |
FTP 明文;启用 SSL/TLS 时为 FTPS;控制通道 21/TCP,数据通道默认 20/TCP(主动模式),被动模式使用服务器协商的高端口 |
SSH 子协议;端口 22/TCP |
| 加密与认证 |
明文 FTP 不加密;FTPS 使用 SSL/TLS 加密;支持本地/虚拟用户、PAM 等 |
全程加密;支持密码与密钥认证,密钥更安全 |
| 防火墙/NAT |
主动/被动模式导致多端口放行,穿越防火墙/NAT 配置复杂 |
仅 22/TCP,穿越更简单 |
| 性能 |
明文 FTP 性能最好;FTPS 因加密有开销 |
加密带来一定开销,但功能更全 |
| 常见用途 |
内网文件分发、匿名只读下载、需兼容传统 FTP 客户端 |
跨公网传输、含敏感数据、统一用 SSH 运维体系 |
说明:vsftpd 支持通过 ssl_enable=YES 配置 SSL/TLS 证书实现 FTPS;SFTP 作为 SSH 子系统运行,使用 22/TCP,支持密码/密钥认证。
安全配置要点
- vsftpd(启用 TLS)
- 禁用匿名与危险账号:设置 anonymous_enable=NO;利用 /etc/vsftpd/ftpusers(黑名单,恒生效)与 /etc/vsftpd/user_list(配合 userlist_enable 与 userlist_deny 可作白/黑名单)限制高权限账号登录。
- 强制加密与证书:启用 ssl_enable=YES,配置 rsa_cert_file 与 rsa_private_key_file;建议禁用明文以 TLS 为前提(如仅允许 AUTH TLS)。
- 隔离与权限:启用 chroot_local_user=YES 限制用户根目录;按需设置 allow_writeable_chroot=YES 解决写入报错;合理设置 local_umask、目录权限与日志 xferlog_enable=YES。
- SFTP(OpenSSH)
- 使用 SSH 密钥(禁用口令或强口令策略),禁用 root 直登;按需配置 sshd_config 的 Subsystem sftp 与 Match Group/ChrootDirectory 实现目录隔离与受限环境。
选型建议
- 需要加密、跨公网、统一运维:选 SFTP(22/TCP),配置密钥登录与目录隔离。
- 内网可信且必须 FTP 客户端兼容:选 vsftpd + FTPS(TLS),仅开放 21/TCP 与被动模式端口段,强制 TLS,禁用明文。
- 仅做公开只读分发:可用 vsftpd 匿名下载 并限制写入与速率,但仍建议放在内网或加一层 TLS/反向代理。