华为云Linux云服务器搭建FTP站点：从入门到安全运维

写在前面：为什么选择华为云Linux云服务器搭建FTP站点

文件传输协议FTP作为一种经典的文件传输方式，在众多企业运维场景中仍然占据不可替代的位置。无论是网站资源的上传更新、数据备份的异地存放，还是跨团队的文件共享，一个稳定可靠的FTP服务都是基础设施中不可或缺的组成部分。在华为云Linux云服务器上搭建FTP站点，不仅能够充分利用云计算的弹性伸缩和按需付费优势，更能够借助华为云强大的安全防护体系，构建一个安全可控的文件传输通道。

vsftpd全称very secure FTP daemon，是Linux下一款开源、快速、轻量级的FTP服务器软件，凭借极高的安全性和稳定性，成为各大Linux发行版中最广泛使用的FTP服务器解决方案。

需要先登录华为云控制台，点击：华为云控制台，还没有账号，点击：注册并关联，已有账号点击：登录并关联

第一步：云服务器环境准备与安全组配置

在华为云上搭建FTP站点，首先需要拥有一台正在运行的弹性云服务器。具体方案涉及创建Linux弹性云服务器ECS用于搭建FTP站点环境，并为其绑定弹性公网IP以便提供公网访问能力，随后在服务器中安装VSFTP软件并完成站点部署。

1.1 购买或确认ECS配置

进入华为云控制台的弹性云服务器ECS页面，查看已有实例或购买新实例。操作系统建议选择CentOS 7.x/8.x、Huawei Cloud EulerOS 2.0或Ubuntu 20.04/22.04等主流发行版。服务器需绑定弹性公网IP，并设置好root密码或密钥对。

1.2 安全组规则配置——搭建FTP站点的关键一步

安全组是华为云网络安全防护的重要基础，安全组默认拒绝所有来自外部的请求，您需要在弹性云服务器上先安装FTP服务器程序，再查看相关端口是否正常工作。

FTP协议默认使用TCP端口中的20和21这两个端口，其中21端口用于传输控制信息，20端口用于主动模式下的数据传输。在华为云安全组中需要放行以下入方向端口规则：

方向：入方向
优先级：1
策略：允许
协议端口：TCP:21（控制端口）
协议端口：TCP:20（主动模式数据端口，如使用主动模式）
源地址：0.0.0.0/0 或 指定IP网段

如果采用被动模式（推荐使用），除了21端口外，还需要放行一段用于被动模式数据传输的端口范围，例如在/etc/vsftpd/vsftpd.conf中设置pasv_min_port和pasv_max_port参数所指定的端口区间。

1.3 登录服务器

完成安全组配置后，通过SSH登录Linux云服务器：

ssh root@弹性公网IP地址

第二步：安装vsftpd软件并启动服务

使用系统包管理器安装vsftpd。对于CentOS/RHEL/HCE等系统执行：

yum install -y vsftpd

对于Ubuntu/Debian系统执行：

apt-get update && apt-get install -y vsftpd

安装完成后，启动vsftpd服务并设置为开机自启：

systemctl start vsftpd
systemctl enable vsftpd

查看服务运行状态以确认启动成功：

systemctl status vsftpd

如果显示active (running)则表示vsftpd已正常运行。

第三步：vsftpd核心配置文件详解

vsftpd的主配置文件位于/etc/vsftpd/vsftpd.conf。配置文件格式为配置项=取值，等号两侧不能有空格，布尔值通常使用YES或NO。以下按模块详解核心配置参数：

3.1 基础访问控制

• anonymous_enable=NO：是否允许匿名用户登录，生产环境中强烈建议设置为NO禁止匿名访问以防止未授权用户上传或下载文件
• local_enable=YES：是否允许本地系统用户登录，用于本地用户认证模式
• write_enable=YES：写入权限的全局开关，允许上传、创建、删除等写操作
• local_umask=022：本地用户新建文件及目录的权限掩码，022表示创建文件权限为644、目录权限为755

3.2 监听与端口

• listen=YES：是否以独立监听模式运行vsftpd，启用后将vsftpd作为独立服务运行
• listen_ipv6=NO：是否启用IPv6监听，与listen参数互斥
• connect_from_port_20=YES：主动模式下是否使用20端口发起数据连接

3.3 被动模式配置

如果华为云上的服务器需要通过公网IP地址访问实例搭建的FTP服务器时，需要将FTP服务器配置为被动模式。被动模式的核心配置如下：

pasv_enable=YES
pasv_min_port=5000
pasv_max_port=5010
pasv_address=弹性公网IP地址

pasv_min_port和pasv_max_port指定了被动模式可使用的端口范围，建议将端口范围设置在较高区间并保持区间适当。安全组必须同步放行该端口区间。

3.4 目录禁锢与安全隔离

• chroot_local_user=YES：将所有本地用户禁锢在其家目录中，用户无法切换到其他目录
• chroot_list_enable=YES：启用chroot用户列表，与chroot_list_file配合使用，可指定哪些用户不受chroot限制
• chroot_list_file=/etc/vsftpd/chroot_list：chroot例外用户列表文件路径
• allow_writeable_chroot=YES：允许chroot禁锢的目录可写，否则某些客户端在可写禁锢目录中操作会报错

3.5 日志记录

• xferlog_enable=YES：启用传输日志
• xferlog_file=/var/log/xferlog：指定传输日志文件路径，采用wu-ftpd格式
• xferlog_std_format=YES：使用标准xferlog日志格式
• dual_log_enable=YES：同时生成xferlog与vsftpd格式日志

3.6 其他实用配置

• ftpd_banner=Welcome to FTP Server：设置登录欢迎语
• max_clients=100：最大并发连接数，默认0表示无限制
• max_per_ip=10：每个IP允许的最大连接数
• userlist_enable=YES：启用用户列表控制
• userlist_deny=YES：将userlist_file中的用户设为禁止登录

第四步：本地用户认证方式搭建FTP站点

本地用户认证方式使用Linux系统中已有的系统账户作为FTP登录凭证。这种方式配置简便，适合内网环境或开发测试场景。

4.1 创建FTP专用系统用户

adduser ftpuser
passwd ftpuser

建议为FTP用户指定较低的系统权限，避免使用高权限账户。

4.2 创建FTP根目录

mkdir -p /data/ftp
touch /data/ftp/test.txt

将目录的拥有者设为新创建的FTP用户：

chown -R ftpuser:ftpuser /data/ftp

4.3 配置vsftpd.conf支持本地用户认证

在/etc/vsftpd/vsftpd.conf中设置以下关键参数：

anonymous_enable=NO
local_enable=YES
write_enable=YES
local_umask=022
chroot_local_user=YES
allow_writeable_chroot=YES

配置完成后重启vsftpd服务：

systemctl restart vsftpd

第五步：虚拟用户认证方式——更安全的企业级方案

虚拟用户认证方式不依赖Linux系统用户，而是使用独立的账号数据库。虚拟用户拥有统一宿主机账户（映射账号），可以精细控制每个虚拟用户的权限，并且不与系统用户耦合，安全性更高。

5.1 创建虚拟用户映射账号

useradd -s /bin/false vsftpd

该账户作为虚拟用户的映射账号，用于访问系统资源但禁用shell登录。/bin/false确保此账号无法通过系统登录，降低安全风险。

5.2 创建虚拟用户账号密码数据库

首先创建账号密码文本文件/etc/vsftpd/vuser_passwd.txt，每行依次填写用户名和密码：

ftp_vuser1
123456
ftp_vuser2
abcdef

使用db_load工具将文本文件转换为db数据库格式：

db_load -T -t hash -f /etc/vsftpd/vuser_passwd.txt /etc/vsftpd/vuser_passwd.db

为保障安全，设置数据库文件权限为只读：

chmod 600 /etc/vsftpd/vuser_passwd.db

5.3 配置PAM认证

编辑/etc/pam.d/vsftpd文件，修改为以下内容：

auth required pam_userdb.so db=/etc/vsftpd/vuser_passwd
account required pam_userdb.so db=/etc/vsftpd/vuser_passwd

5.4 配置vsftpd.conf支持虚拟用户

guest_enable=YES
guest_username=vsftpd
pam_service_name=vsftpd
user_config_dir=/etc/vsftpd/vuser_conf

5.5 为每个虚拟用户单独配置权限

创建目录/etc/vsftpd/vuser_conf，并在其中为每个虚拟用户创建同名配置文件：

mkdir -p /etc/vsftpd/vuser_conf

创建文件/etc/vsftpd/vuser_conf/ftp_vuser1，内容示例：

local_root=/data/ftp_vuser1
write_enable=YES
anon_umask=022

第六步：华为云被动模式深度配置与端口打通

公网环境下，由于客户端通常位于防火墙或NAT之后，主动模式常常遇到连接失败的问题。强烈推荐在华为云上采用被动模式进行部署。

在vsftpd.conf中添加如下被动模式参数：

pasv_enable=YES
pasv_min_port=5000
pasv_max_port=5050
pasv_address=弹性公网IP地址

pasv_address必须填写服务器的公网IP，否则被动模式下返回给客户端的地址可能是内网IP，导致客户端无法连接。

安全组中需要放行pasv_min_port至pasv_max_port区间内的全部端口，例如TCP:5000-5050。

配置完成后重启vsftpd：

systemctl restart vsftpd

第七步：FTPS加密传输配置——筑牢数据安全防线

传统FTP在传输过程中账号密码和文件内容均为明文，存在被窃听的风险。FTPS（FTP over SSL/TLS）在标准FTP协议之上增加了SSL/TLS加密层，有效保障数据传输安全。

7.1 生成自签名SSL证书

mkdir -p /etc/vsftpd/ssl
openssl req -x509 -nodes -days 3650 -newkey rsa:2048 \
  -keyout /etc/vsftpd/ssl/vsftpd.pem \
  -out /etc/vsftpd/ssl/vsftpd.pem

7.2 配置FTPS参数

在vsftpd.conf中添加以下SSL/TLS配置：

ssl_enable=YES
rsa_cert_file=/etc/vsftpd/ssl/vsftpd.pem
rsa_private_key_file=/etc/vsftpd/ssl/vsftpd.pem
ssl_tlsv1_2=YES
ssl_tlsv1_3=YES
ssl_sslv2=NO
ssl_sslv3=NO
force_local_data_ssl=YES
force_local_logins_ssl=YES
require_ssl_reuse=NO
ssl_ciphers=HIGH

force_local_data_ssl和force_local_logins_ssl强制数据和登录过程均使用SSL加密，彻底避免明文传输风险。

第八步：验证FTP站点与客户端连接测试

8.1 Linux命令行客户端测试

ftp 弹性公网IP 21

输入用户名和密码后，执行ls、pwd、put、get等命令测试目录列表、上传和下载功能。

8.2 Windows FileZilla客户端连接

打开FileZilla，填写云服务器的弹性公网IP、用户名、密码和端口21。在传输设置中选择主动模式或被动模式，推荐选择被动模式以适配公网访问场景。

登录成功后，左侧为本地文件系统，右侧为服务器目录，直接拖拽即可完成上传下载。

第九步：运维实践与常见排错

9.1 530 Login incorrect错误

通常原因包括用户名密码错误、PAM认证配置有误或userlist拒绝登录。检查/etc/vsftpd/ftpusers和/etc/vsftpd/user_list文件，确保登录用户未被列入黑名单。

9.2 200 PORT command successful但无法列出目录

此问题通常源于被动模式端口未完全开放。检查安全组是否放行了pasv_min_port至pasv_max_port所指定的端口范围，同时确认vsftpd.conf中pasv_address正确填写为弹性公网IP。

9.3 500 OOPS: cannot change directory错误

遇到chroot相关错误时，通常是因为禁锢目录的权限设置不当。确保禁锢目录对其所有者具有执行权限，或在vsftpd.conf中添加allow_writeable_chroot=YES来解决。

9.4 安全加固建议

在生产环境中，务必禁止匿名访问、启用chroot用户禁锢、启用FTPS加密传输，并配合安全组规则将源IP限制为可信地址范围，避免将21端口暴露给全网。此外，定期审计/var/log/xferlog传输日志，及时发现异常访问行为。

常见问题与解答

问：vsftpd安装后无法启动，提示报错怎么办？
答：常见原因是21端口被其他服务占用，使用netstat -tunlp | grep 21检查端口冲突。另外检查/etc/vsftpd/vsftpd.conf配置文件语法是否正确，参数赋值后不能有空格。

问：FileZilla连接时提示读取目录列表失败，如何解决？
答：这是由于被动模式端口未正确开放。检查安全组是否放行了vsftpd.conf中pasv_min_port至pasv_max_port的所有端口，并确认pasv_address已设置为本机弹性公网IP。

问：虚拟用户认证方式相比本地用户认证有哪些优势？
答：虚拟用户不与Linux系统用户耦合，即使账号密码泄露也不会导致系统被入侵。同时可以为不同虚拟用户分配不同的根目录和访问权限，便于精细化管理。

问：如何限制某个FTP用户的访问带宽？
答：在vsftpd配置文件中添加anon_max_rate=50000限制匿名用户速度为50KB/s，local_max_rate=200000限制本地用户速度为200KB/s，单位均为字节每秒。

问：vsftpd是否支持断点续传功能？
答：支持。FTP协议本身就支持断点续传，客户端在传输失败后可从中断位置继续传输，无需重新开始。vsftpd默认对此功能提供了完整支持。

问：华为云上搭建FTP站点会产生额外的流量费用吗？
答：弹性云服务器的公网IP会产生按流量计费的出网流量费用。如果客户端与服务器处于同一区域内的相同VPC，建议使用内网IP传输文件以节省流量费用。