一、VSFTPD概述

1.1 简介

VSFTPD（Very Secure FTP Daemon）是专为 Linux 设计的轻量级、高性能 FTP 服务器，以安全性和稳定性为核心优势，支持 FTP 和 FTPS（SSL/TLS 加密）。本手册针对 CentOS 7/8/9 系统优化。

1.2 适用场景

• 企业内部安全文件共享
• 传统设备兼容（需 FTP 协议支持）
• 混合云架构过渡期协议网关

二、快速部署指南

2.1 安装与基础配置

# 安装 VSFTPD
sudo yum install vsftpd -y

# 备份默认配置
sudo cp /etc/vsftpd/vsftpd.conf /etc/vsftpd/vsftpd.conf.bak

# 编辑配置文件
sudo vi /etc/vsftpd/vsftpd.conf

2.2 最小安全配置（/etc/vsftpd/vsftpd.conf）

# 基础配置
anonymous_enable=NO        # 禁用匿名登录
local_enable=YES           # 允许本地用户登录
write_enable=YES           # 开启写权限
chroot_local_user=YES      # 锁定用户到主目录
allow_writeable_chroot=YES # 允许可写根目录（需谨慎）
listen=YES                 # 独立模式运行

# 日志与权限
xferlog_enable=YES
xferlog_file=/var/log/vsftpd/xferlog
dual_log_enable=YES
vsftpd_log_file=/var/log/vsftpd/vsftpd.log

# 被动模式配置（必须设置）
pasv_enable=YES
pasv_min_port=30000
pasv_max_port=31000
pasv_address=公网IP        # 若为 NAT 环境需指定

2.3 创建隔离用户

# 创建系统用户（禁止登录 Shell）
sudo useradd -d /var/ftp/user1 -s /sbin/nologin user1
sudo mkdir -p /var/ftp/user1/upload
sudo chown -R user1:user1 /var/ftp/user1/upload
sudo chmod 750 /var/ftp/user1

2.4 服务管理

# 启动服务并设置开机自启
sudo systemctl start vsftpd
sudo systemctl enable vsftpd

# 查看状态
sudo systemctl status vsftpd

三、安全加固方案

3.1 强制 FTPS 加密

# 生成自签名证书
sudo openssl req -x509 -nodes -days 3650 -newkey rsa:2048 \
    -keyout /etc/pki/tls/private/vsftpd.key \
    -out /etc/pki/tls/certs/vsftpd.crt \
    -subj "/CN=your_domain.com"


修改配置 `/etc/vsftpd/vsftpd.conf`：
ssl_enable=YES
allow_anon_ssl=NO
force_local_data_ssl=YES
force_local_logins_ssl=YES
rsa_cert_file=/etc/pki/tls/certs/vsftpd.crt
rsa_private_key_file=/etc/pki/tls/private/vsftpd.key
ssl_tlsv1=YES
ssl_sslv2=NO
ssl_sslv3=NO

3.2 防火墙配置（Firewalld）

# 开放 FTP 服务
sudo firewall-cmd --permanent --add-service=ftp
sudo firewall-cmd --permanent --add-port=30000-31000/tcp
sudo firewall-cmd --reload

3.3 SELinux 策略调整

# 允许 FTP 访问用户目录
sudo setsebool -P ftp_home_dir 1

# 添加被动端口到 SELinux 策略
sudo semanage port -a -t ftp_port_t -p tcp 30000-31000

# 查看 SELinux 日志（故障排查）
sudo ausearch -m avc -c vsftpd

四、高级配置

4.1 虚拟用户配置

# 安装依赖工具
sudo yum install db4-utils -y

# 创建虚拟用户数据库
echo -e "virtual_user1\npassword1\nvirtual_user2\npassword2" > /tmp/virtual_users.txt  #生成虚拟用户文件，用户名密码分行存放
sudo db_load -T -t hash -f /tmp/virtual_users.txt /etc/vsftpd/virtual_users.db   #将用户文件写入数据
sudo chmod 600 /etc/vsftpd/virtual_users.db

# 创建 PAM 认证文件
sudo vi /etc/pam.d/vsftpd_virtual
添加以下内容：
auth required pam_userdb.so db=/etc/vsftpd/virtual_users
account required pam_userdb.so db=/etc/vsftpd/virtual_users

# 修改主配置 `/etc/vsftpd/vsftpd.conf`：
guest_enable=YES
guest_username=ftp_virtual  # 映射到的系统用户（需提前创建）
pam_service_name=vsftpd_virtual
user_config_dir=/etc/vsftpd/user_conf

4.2 负载均衡与高可用

Nginx TCP 代理配置：

# 编辑/etc/nginx/nginx.conf 的 stream 块
stream {
    upstream ftp_backend {
        server 192.168.1.101:21;
        server 192.168.1.102:21;
}
server {
    listen 21;
    proxy_pass ftp_backend;
    }
}

五、运维与监控

5.1 日志分析

# 实时监控传输日志
sudo tail -f /var/log/vsftpd/xferlog

# 统计活跃连接
sudo netstat -tn | grep ':21' | awk '{print $5}' | cut -d: -f1 | sort | uniq -c

5.2 性能调优

# /etc/vsftpd/vsftpd.conf
max_clients=200          # 最大并发连接数
max_per_ip=10            # 单 IP 最大连接
idle_session_timeout=300 # 空闲超时（秒）
use_sendfile=YES         # 零拷贝传输（内核支持）

5.3 自动化维护脚本

#!/bin/bash
# 自动清理 30 天前的日志
find /var/log/vsftpd/ -name "*.log" -mtime +30 -exec rm -f {} \;
# 重启服务释放资源
systemctl restart vsftpd

六、故障排查

6.1 常见问题解决

• 用户无法登录:使用sudo audit2allow -a测试，检查 SELinux 策略，生成新规则；
• 被动模式超时：使用sudo firewall-cmd --list-ports查看端口，确认 30000-31000 端口已开放
• 上传文件失败：使用ls -Z /var/ftp/user1查看目录权限，修复目录 SELinux 上下文：chcon -R -t public_content_rw_t /var/ftp/user1
• SSL 握手错误：使用openssl s_client -connect 127.0.0.1:21 -starttls ftp进行测试连接，检查证书路径和权限（需 600 权限）

附录：CentOS 特有注意事项

• 默认目录结构
• FTP 根目录：/var/ftp
• 日志目录：/var/log/vsftpd
• 关键文件路径
• 主配置文件：/etc/vsftpd/vsftpd.conf
• 默认证书位置：/etc/pki/tls/certs/
• SELinux 调试命令

# 查看 FTP 相关布尔值
getsebool -a | grep ftp

# 生成自定义策略模块
sudo audit2allow -a -M my_vsftpd_policy
sudo semodule -i my_vsftpd_policy.pp