ubuntu vsftp端口设置多少合适

Ubuntu 上 vsftpd 端口设置建议

推荐端口分配

• 控制通道（命令通道）：使用默认的 21/tcp；为降低自动化扫描风险，可改为非标准端口如 2121/tcp。
• 数据通道：
  • 主动模式：服务器数据端口固定为 20/tcp（客户端发起数据连接）。
  • 被动模式（PASV）：由服务器提供一个端口范围，建议设置为 40000–50000/tcp，便于在防火墙/NAT 中集中放行。
• 说明：FTP 有两种通道，仅更换控制端口并不能隐藏数据通道；在复杂网络环境优先使用被动模式并固定端口范围。

配置示例与防火墙放行

• 修改 vsftpd 配置（/etc/vsftpd.conf）：
  • 更换控制端口（可选）：listen_port=2121
  • 被动模式端口范围：pasv_enable=YES、pasv_min_port=40000、pasv_max_port=50000
• 重启服务：sudo systemctl restart vsftpd
• UFW 放行示例：
  • 新控制端口：sudo ufw allow 2121/tcp
  • 被动端口范围：sudo ufw allow 40000:50000/tcp
• 云服务器还需在云平台安全组放行对应端口。

不同场景的端口选择

• 内网/受信网络：保持 21/tcp，被动范围如 40000–50000/tcp。
• 公网/暴露环境：控制端口改为 2121/3333 等非标准端口，被动范围仍用 40000–50000/tcp 并严格放行。
• 端口范围大小：并发不高时用较小范围（如 50000–50100/tcp）；并发高或传输密集可适当放宽，但避免与系统常用服务端口冲突。

安全与替代方案

• 修改端口只能降低噪音，不能替代加密；建议启用 SSL/TLS（FTPS），常用控制端口为 990/tcp，并配置证书。
• 若安全要求更高，优先考虑 SFTP（基于 SSH，默认 22/tcp），无需额外开大量端口，运维更简单。