Ubuntu 上 vsftpd 故障排查流程
一 快速定位流程
- 确认服务状态与启动失败原因:执行sudo systemctl status vsftpd,若失败再用journalctl -xe查看详细错误;必要时用sudo systemctl cat vsftpd.service核对 ExecStart 与权限上下文。
- 验证监听与端口占用:检查**/etc/vsftpd.conf中listen=YES**;用sudo netstat -tulpen | grep ':21|:990’确认端口21(控制)与990(FTPS,若启用)是否被 vsftpd 占用,避免端口冲突。
- 连通性与防火墙:从客户端测试telnet 服务器IP 21或nc -vz 服务器IP 21;在服务器用sudo ufw status核对规则,必要时放行21/tcp、20/tcp、990/tcp及被动端口范围(见下文)。
- 配置与日志:核对关键配置(见第二部分);实时查看日志tail -f /var/log/vsftpd.log,并辅以**/var/log/auth.log**等系统日志定位认证与权限问题。
- 权限与目录:确保登录用户对目标目录具备读/写/执行权限,且家目录与上传目录的所有权和权限设置合理(见第三部分)。
二 常见故障与修复对照表
| 症状 |
快速检查 |
修复建议 |
| 无法连接/超时 |
ufw/iptables 规则、listen=YES、端口占用 |
放行21/tcp(必要时20/tcp、990/tcp与被动端口范围);确认 vsftpd 监听;排查端口冲突 |
| 530 Login incorrect |
/etc/vsftpd.conf 的anonymous_enable、pam_service_name、用户是否在**/etc/ftpusers或/etc/vsftpd.user_list**中 |
禁用匿名或正确配置本地认证;核对 PAM;调整 user_list/ftpusers 策略 |
| 500 OOPS: vsftpd: refusing to run with writable anonymous root |
匿名根目录可写 |
将匿名根目录设为root:root 755,如:chown root:root /var/ftp && chmod 755 /var/ftp |
| 553 Could not create file |
目标目录权限/磁盘空间 |
校正目录属主与权限(见第三部分);检查df -h磁盘空间 |
| 被动模式数据连接失败 |
未配置被动端口范围、云防火墙/路由器未放行 |
在 vsftpd.conf 设置pasv_min_port/pasv_max_port(如40000:50000),并在防火墙/安全组放行该范围 |
| 启动失败(Job for vsftpd.service failed) |
systemctl status、journalctl、配置语法 |
依据报错修正配置项、释放端口、修复权限或目录上下文后重启 |
| TLS/FTPS 握手失败 |
证书路径、权限与启用开关 |
确认证书文件存在且权限正确(如600/644),并在 vsftpd.conf 正确启用 TLS 相关指令 |
以上对照要点与命令示例可参考 Ubuntu 上 vsftpd 的部署与常见问题处理实践。
三 关键配置与防火墙要点
- 基础配置建议(/etc/vsftpd.conf):
- 本地用户与写入:local_enable=YES、write_enable=YES
- 匿名访问:anonymous_enable=NO(或按需开启)
- 禁锢用户:chroot_local_user=YES(注意家目录不可写,见下)
- 被动模式:启用并设定端口范围,例如pasv_enable=YES、pasv_min_port=40000、pasv_max_port=50000
- TLS/FTPS:启用ssl_enable=YES,并正确配置rsa_cert_file/rsa_private_key_file等证书路径与权限
- 权限要点:启用 chroot 时,用户家目录应不可写(如chmod a-w /home/username),否则可能触发拒绝;若需上传,可在其下创建可写的子目录并赋权。
- UFW 放行示例:
- 主动/FTPS:sudo ufw allow 21/tcp、sudo ufw allow 990/tcp
- 被动端口范围:sudo ufw allow 40000:50000/tcp
- 云服务器与安全组需同步放行上述端口范围
四 高效排错命令清单
- 服务与日志:sudo systemctl status vsftpd、sudo journalctl -u vsftpd -xe、tail -f /var/log/vsftpd.log、必要时查看**/var/log/auth.log**
- 网络与端口:ping 服务器IP、telnet 服务器IP 21、nc -vz 服务器IP 21、sudo netstat -tulpen | grep ‘:21|:990’
- 防火墙与安全组:sudo ufw status/allow、在云控制台放行21、990、40000:50000等端口范围
- 配置核对:sudo systemctl cat vsftpd.service、逐条核对**/etc/vsftpd.conf**关键指令与证书路径权限