Ubuntu vsftpd SSL加密设置指南

Ubuntu 上使用 vsftpd 启用 SSL TLS 加密

一 准备与证书

• 安装 vsftpd 与 OpenSSL
  • 执行：sudo apt update && sudo apt install vsftpd openssl
• 创建证书（两种常见方式）
  • 自签名证书（测试/内网常用）
    • 执行：sudo mkdir -p /etc/ssl/private
    • 执行：sudo openssl req -x509 -nodes -days 365 -newkey rsa:2048 -keyout /etc/ssl/private/vsftpd.key -out /etc/ssl/certs/vsftpd.crt
    • 说明：将证书与私钥分别放在 /etc/ssl/certs/ 与 /etc/ssl/private/，权限建议 600/644（私钥更严格）
  • Let’s Encrypt 证书（公网生产推荐）
    • 执行：sudo apt install certbot python3-certbot-nginx
    • 获取证书：sudo certbot certonly --nginx -d yourdomain.com
    • 证书路径：/etc/letsencrypt/live/yourdomain.com/fullchain.pem 与 /etc/letsencrypt/live/yourdomain.com/privkey.pem
    • 自动续期：建议配置 certbot renew 定时任务，续期后重启 vsftpd 使新证书生效

二 配置 vsftpd 启用 SSL/TLS

• 备份配置：sudo cp /etc/vsftpd/vsftpd.conf /etc/vsftpd/vsftpd.conf.bak
• 编辑：sudo nano /etc/vsftpd/vsftpd.conf，建议包含以下关键项（按需增删）
  • 基础与权限
    • listen=YES
    • anonymous_enable=NO
    • local_enable=YES
    • write_enable=YES
    • chroot_local_user=YES
    • allow_writeable_chroot=YES
    • pam_service_name=vsftpd
  • SSL/TLS 核心
    • ssl_enable=YES
    • allow_anon_ssl=NO
    • force_local_logins_ssl=YES
    • force_local_data_ssl=YES
    • 协议与套件（示例：仅启用 TLS 1.2，禁用不安全协议与弱套件）
      • ssl_tlsv1_2=YES
      • ssl_tlsv1_3=YES（若 OpenSSL 版本支持）
      • ssl_sslv2=NO
      • ssl_sslv3=NO
      • ssl_tlsv1=NO
      • ssl_ciphers=HIGH
    • 证书与密钥（按你的证书路径填写）
      • 自签名：rsa_cert_file=/etc/ssl/certs/vsftpd.crt、rsa_private_key_file=/etc/ssl/private/vsftpd.key
      • Let’s Encrypt：rsa_cert_file=/etc/letsencrypt/live/yourdomain.com/fullchain.pem、rsa_private_key_file=/etc/letsencrypt/live/yourdomain.com/privkey.pem
  • 被动模式端口范围（建议固定范围以便放行防火墙）
    • pasv_enable=YES
    • pasv_min_port=40000
    • pasv_max_port=50000
• 重启服务：sudo systemctl restart vsftpd
• 说明
  • vsftpd 的 SSL/TLS 属于 显式 FTPS（FTPES）；若需 隐式 FTPS，需使用额外端口（常见为 990/tcp）与专用配置，生产上更推荐显式模式与标准端口 21/tcp

三 防火墙与被动模式端口

• UFW 示例
  • 放行控制与数据端口：sudo ufw allow 21/tcp
  • 放行被动端口范围：sudo ufw allow 40000:50000/tcp
  • 若你的客户端/网络设备要求隐式 FTPS，可额外放行：sudo ufw allow 990/tcp
• 云厂商安全组
  • 同样需要放行 21/tcp 与 40000–50000/tcp（以及可选的 990/tcp）
• 说明
  • 被动模式由服务器提供端口范围，客户端连接数据通道；固定端口范围便于防火墙策略管理

四 客户端连接与验证

• FileZilla 设置
  • 协议选择：FTP – 显式 FTP over TLS（FTPES）
  • 加密：要求显式 FTP over TLS
  • 登录类型：正常
  • 主机/端口：你的域名或 IP，21
• 命令行验证
  • 证书查看：openssl s_client -connect your_ftp_server_ip:21 -starttls ftp
  • 传统 ftp 客户端会报加密要求错误（如 “530 Non-anonymous sessions must use encryption.”），属正常现象，改用支持 TLS 的客户端即可
• 日志排查
  • 查看 vsftpd 日志（常见路径：/var/log/vsftpd.log 或 /var/log/syslog）以定位握手失败、证书路径、权限等问题

五 常见问题与优化

• 客户端不支持 SSL 会话重用
  • 现象：部分客户端在传输数据时报错
  • 处理：将 require_ssl_reuse=NO（默认开启，若客户端兼容可保持开启以增强安全性）
• 证书权限或路径错误
  • 现象：服务启动失败或握手失败
  • 处理：确保私钥权限 600、证书 644，路径与配置一致；Let’s Encrypt 证书变更后执行 sudo systemctl restart vsftpd
• 被动模式不通
  • 现象：能登录但列目录/传输失败
  • 处理：确认 pasv_min_port/pasv_max_port 与防火墙/安全组一致，且客户端使用 被动模式
• 协议与套件过旧
  • 处理：禁用 SSLv2/SSLv3/TLSv1.0/TLSv1.1，仅启用 TLSv1.2/TLSv1.3 与 HIGH 套件，提升安全性