Ubuntu vsftp与OpenSSH集成 - 问答

Ubuntu 上 vsftpd 与 OpenSSH 的集成与替代方案

一、方案总览与端口对照

常见做法有两种：一是并行运行 vsftpd（FTP/FTPS） 与 OpenSSH（SFTP），分别用不同端口提供文件传输；二是直接使用 OpenSSH 的 SFTP 替代 FTP，统一账号与加密通道。
端口对照：FTP 控制通道 21/TCP、FTP 数据通道 20/TCP（主动模式）、SFTP 22/TCP。若启用防火墙，需放行相应端口。

二、并行部署 vsftpd 与 OpenSSH（同一主机双服务）

安装与启动
- 安装组件：sudo apt install vsftpd openssh-server
- 启动与开机自启：sudo systemctl start vsftpd ssh && sudo systemctl enable vsftpd ssh
基础配置
- vsftpd 建议：禁用匿名、允许本地用户写入、启用 chroot 隔离
  - 编辑 /etc/vsftpd.conf：
    - anonymous_enable=NO
    - local_enable=YES
    - write_enable=YES
    - chroot_local_user=YES
    - 如启用 chroot 后仍需要写权限：allow_writeable_chroot=YES
- OpenSSH 保持默认即可提供 SFTP（基于 SSH 的加密传输）。
防火墙放行（如使用 ufw）
- sudo ufw allow 20/tcp
- sudo ufw allow 21/tcp
- sudo ufw allow 22/tcp
- sudo ufw status
客户端连接
- FTP 客户端连 21/TCP；SFTP 客户端连 22/TCP（WinSCP/Xftp 均支持 SFTP）。

三、使用 OpenSSH 的 SFTP 替代 FTP（推荐更安全的做法）

四、安全与常见问题处理

安全建议
- 公网环境优先使用 SFTP 或 FTPS，避免明文 FTP；FTPS 可在 vsftpd 中启用证书：ssl_enable=YES、rsa_cert_file=...、rsa_private_key_file=...，生产环境请使用有效证书替换默认 snakeoil 证书。
- 使用 chroot 限制用户可见目录；若需写权限，使用 allow_writeable_chroot=YES（vsftpd）或按 SFTP 的目录权限模型设置（上级目录属 root 且不可写）。
- 禁止特定系统账户登录 FTP：将用户加入 /etc/ftpusers（如 root 等）。
常见问题速查
- 无法登录 SFTP：检查 /etc/passwd 的 shell 是否为 /usr/sbin/nologin 且已加入 /etc/shells；检查 ChrootDirectory 上级目录属主与权限。
- vsftpd 登录失败或无法写入：确认 local_enable=YES、write_enable=YES、chroot_local_user=YES，必要时设置 allow_writeable_chroot=YES。
- 客户端连不通：确认服务已启动（systemctl status vsftpd ssh）、防火墙已放行 20/21/22/TCP，以及客户端使用正确协议与端口。

0 赞

0 踩