Debian 12 安装vsftpd

FTP基本概念

连接方式

FTP使用两个TCP连接，一个用于控制连接，用于传输命令和响应；另一个是数据连接，用于实际的文件上传下载的数据传输。在传输过程中，控制连接始终保持连接，而数据连接在文件传输过程中打开，传输完毕后关闭。
数据连接分为以下两种模式：

主动模式

主动模式下，客户端从任意空高位端口发起控制连接到服务器（默认21端口）请求数据传输；然后服务器从自己端口（默认20）主动建立数据连接到客户端指定的数据端口。
特点：

客户端使用任意空闲的高位端口（>1024）作为数据传输端口。
数据连接由服务器发起，因此，客户端防火墙需要允许服务器访问对应端口。

被动模式

被动模式下，服务器监听一个端口，当客户端通过控制连接与服务器建立连接后，服务器为数据连接分配一个数据端口（配置的端口范围内），客户端通过数据端口进行数据传输。
特点：

服务器除了控制连接的端口还需要开放用于数据连接的端口。
客户端主动连接到服务器提供的数据连接的端口进行数据上传。
不需要服务器主动建立连接，对于防火墙和NAT环境更加友好。

加密方式

Implicit TLS/SSL

Implicit TLS/SSL模式下客户端和服务器在建立连接时立即进行TLS/SSL握手，从一开始就进行加密，没有明文通信，整个会话从一开始就进行加密保护（默认的连接端口990）。

Explicit TLS/SSL

Explicit TLS/SSL模式下，客户端和服务器首先先建立一个普通未加密的FTP连接（默认21端口)，然后由客户端通过发送Auto TLS命令请求加密，然后服务器与客户端进行TLS握手，后续的会话通过加密通道进行。

安装配置vsftpd（被动模式）

1. 安装vsftpd

sudo apt update
sudo apt install vsftpd

备份配置文件

sudo cp /etc/vsftpd.conf /etc/vsftpd.conf.backup

2.创建ftp用户

chroot 配置是vsftpd用来限制ftp连接只能访问特定目录的，开启chroot时，ftpuser默认被限制只能访问自己的家目录，但需要去掉用户的写权限。如果这个用户只用于FTP上传，可以这样弄；但如果用户还需要在自己的家目录做其他写操作的话，可以在家目录中重新建一个FTP用的目录，然后调整这个目录的权限作为chroot限制目录。

创建用户

sudo adduser ftpuser

sudo mkdir /home/ftpuser/ftp

更改文件归属和权限

sudo chown nobody:nogroup /home/ftpuser/ftp
--删除写权限
sudo chmod a-w /home/ftpuser/ftp

sudo mkdir /home/ftpuser/ftp/files
sudo chown ftpuser:ftpuser /home/ftpuser/ftp/files

3.修改配置文件

配置文件位于/etc/vsftpd.conf，需要修改对应项为如下配置（默认配置文件有的需要解除注释，没有的，需要添加到文件中）

禁止匿名登录

anonymous_enable=NO

允许本地用户登录

local_enable=YES

允许上传文件

write_enable=YES

chroot_local_user=YES

添加user_sub_token，以插入用户名到ftp的访问目录local_root中，后续添加其他ftp用户时只需要创建对应目录即可

user_sub_token=$USER
local_root=/home/$USER/ftp

被动模式下，添加数据端口范围，需要保证足够的可用连接

pasv_min_port=40000
pasv_max_port=50000

为了便于管理，设置用户只有被添加到vsftpd.userlist中才能进行访问

userlist_enable=YES
userlist_file=/etc/vsftpd.userlist
userlist_deny=NO

然后保存配置文件。

添加vsftpd.userlist文件，并添加ftpuser

echo "ftpuser" | sudo tee -a /etc/vsftpd.userlist

重启vsftpd服务

sudo systemctl restart vsftpd

4.放行ftp端口

最后需要在防火墙中放行ftp的连接端口和数据端口；如果使用的是UFW工具，执行以下命令开启端口：

sudo ufw allow 20/tcp
sudo ufw allow 21/tcp
sudo ufw allow 40000:50000/tcp

如果开启TLS，也需要放行对应的端口；最后，可通过sudo ufw status 命令检查防火墙状态。

5.测试ftp

登录ftp

ftp -p ip

--output
Connected to ip
220 (vsFTPd 3.0.3)
Name (ip:default): ftpuser
331 Please specify the password.
Password: password
230 Login successful.
Remote system type is UNIX.
Using binary mode to transfer files.
ftp>

测试下载权限

-- 创建测试文件
echo "vsftpd test file" | sudo tee /home/ftpuser/ftp/files/test.txt
cd files
get test.txt

测试写权限

put test.txt upload.txt

配置SSL安全传输

创建ssl 证书

sudo openssl req -x509 -nodes -days 365 -newkey rsa:2048 -keyout /etc/ssl/private/vsftpd.pem -out /etc/ssl/private/vsftpd.pem

/etc/vsftpd.conf 配置文件中添加如下配置：

开启ssl，并配置证书

rsa_cert_file=/etc/ssl/private/vsftpd.pem
rsa_private_key_file=/etc/ssl/private/vsftpd.pem
ssl_enable=YES

设置使用TLS

ssl_tlsv1=YES
ssl_sslv2=NO
ssl_sslv3=NO

关闭连接重用（可选，开启这个部分客户端无法正常连接），并设置使用高级加密套件（key长度大于等于128bit)

require_ssl_reuse=NO
ssl_ciphers=HIGH

最终ssl部分配置为以下内容

rsa_cert_file=/etc/ssl/private/vsftpd.pem
rsa_private_key_file=/etc/ssl/private/vsftpd.pem
ssl_enable=YES
allow_anon_ssl=NO
force_local_data_ssl=YES
force_local_logins_ssl=YES
ssl_tlsv1=YES
ssl_sslv2=NO
ssl_sslv3=NO
require_ssl_reuse=NO
ssl_ciphers=HIGH