FTP 服务自托管：vsftpd / pure-ftpd 主被动模式 + Nginx stream + SSL

Mon, 15 Mar 2021 00:00:00 +0800

FTP 是企业里"老但稳定"的文件传输方案——服务器间脚本同步、备份归档、跨地域传输都还在用。本篇把 vsftpd 与 pure-ftpd 的 Docker 化部署、主被动模式原理、Nginx stream 四层代理、SSL 加密整理清楚。

阅读对象：运维 / 部署工程师、需要搭建内部文件服务器的技术团队 覆盖范围：FTP 主动 / 被动模式原理 + vsftpd 完整部署 + pure-ftpd 完整部署 + 虚拟用户 + SSL/TLS 加密 + Nginx stream 反代 + 常见客户端测试

一、FTP 协议基础

1.1 两个端口

端口	作用
21	控制端口（命令）
20	数据端口（仅主动模式）

主动模式（PORT）：服务器从 20 端口主动连客户端告知的端口。 被动模式（PASV）：服务器告知客户端自己的地址 + 端口，等客户端来连。

实战推荐被动模式——客户端不用开端口，服务器在公网就行。

1.2 主动 vs 被动模式

维度	主动模式	被动模式
数据连接	服务器 → 客户端	客户端 → 服务器
客户端要求	必须有公网 IP	任何网络
防火墙	客户端要放行随机端口	服务器要放行 PASV 端口段
适用	内网	公网推荐

核心难点：FTP 协议需要 2 个连接，NAT / 防火墙容易把数据连接搞断——必须正确配置。

二、vsftpd 部署

vsftpd（Very Secure FTPD）是 Linux 默认 FTP 服务端，最稳定。

2.1 拉取镜像

1

docker pull fauria/vsftpd

2.2 启动容器

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16
17


# 测试端口占用
lsof -i:21100-21110

# 启动
docker run -d --name vsftpd --restart=always \
 -p 20:20 \
 -p 21:21 \
 -p 21100-21110:21100-21110 \
 -v /home/docker/vsftpd/data:/home/vsftpd \
 -v /home/docker/vsftpd/log:/var/log \
 -e FTP_USER=www \
 -e FTP_PASS={{REDACTED}} \
 -e PASV_ADDRESS=203.0.113.10 \
 -e PASV_MIN_PORT=21100 \
 -e PASV_MAX_PORT=21110 \
 -e REVERSE_LOOKUP_ENABLE=NO \
 fauria/vsftpd

关键参数：

PASV_ADDRESS=203.0.113.10：服务器公网 IP——必须设对，否则客户端连不上
PASV_MIN_PORT / MAX_PORT：PASV 模式端口段——防火墙必须放行
REVERSE_LOOKUP_ENABLE=NO：强烈推荐——避免 DNS 反向解析卡登录

2.3 完整环境变量

变量	默认	说明
`FTP_USER`	`admin`	默认用户
`FTP_PASS`	随机 16 位	不指定就随机
`PASV_ADDRESS`	Docker host IP	配服务器公网 IP
`PASV_ADDR_RESOLVE`	`NO`	主机名解析
`PASV_ENABLE`	`YES`	启用被动模式
`PASV_MIN_PORT`	`21100`	PASV 起始端口
`PASV_MAX_PORT`	`21110`	PASV 结束端口
`REVERSE_LOOKUP_ENABLE`	`YES`	设为 NO 加快登录
`PASV_PROMISCUOUS`	`NO`	关闭被动模式安全检查
`PORT_PROMISCUOUS`	`NO`	关闭主动模式安全检查

2.4 手动创建用户

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15


# 进入容器
docker exec -i -t vsftpd bash

# 创建用户目录
mkdir /home/vsftpd/myuser

# 写虚拟用户
echo -e "myuser\nmypass" >> /etc/vsftpd/virtual_users.txt

# 转换数据库
/usr/bin/db_load -T -t hash -f /etc/vsftpd/virtual_users.txt /etc/vsftpd/virtual_users.db

# 退出并重启
exit
docker restart vsftpd

2.5 生成 SSL 证书

1
2
3
4
5


# 创建自签证书（生产用 Let's Encrypt）
openssl req -x509 -nodes -days 365 \
 -newkey rsa:2048 \
 -keyout /etc/vsftpd/vsftpd.pem \
 -out /etc/vsftpd/vsftpd.pem

挂载到容器：

1

-v /home/docker/vsftpd/ssl/vsftpd.pem:/etc/vsftpd/vsftpd.pem:ro

在 vsftpd.conf 加：

1
2
3
4
5
6
7
8


ssl_enable=YES
ssl_tlsv1=YES
ssl_sslv2=NO
ssl_sslv3=NO
require_ssl_reuse=NO
ssl_ciphers=HIGH
rsa_cert_file=/etc/vsftpd/vsftpd.pem
rsa_private_key_file=/etc/vsftpd/vsftpd.pem

客户端必须选"显式 TLS"（FTPS），不是 SFTP（SSH 文件传输）。

三、pure-ftpd 部署

pure-ftpd 是另一个流行的 FTP 服务端，虚拟用户管理更灵活。

3.1 拉取镜像

1

docker pull stilliard/pure-ftpd

3.2 启动容器

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14


docker run -d --name ftp --restart=always \
 -p 20-21:20-21 \
 -p 30000-30009:30000-30009 \
 -v /home/ftp/conf:/etc/pure-ftpd/passwd \
 -v /home/ftp/data:/home/ftpusers/www \
 -v /home/ftp/data:/home/ftp \
 -e "PUBLICHOST=localhost" \
 stilliard/pure-ftpd \
 /bin/bash -c "useradd ftp; \
 usermod -d /home/ftp ftp; \
 /run.sh -c 100 -C 10 \
 -l puredb:/etc/pure-ftpd/pureftpd.pdb \
 -j -i -R \
 -P 10.0.0.1 -p 30000:30009"

3.3 参数详解

参数	含义
`-c 100`	最大客户端数 100
`-C 10`	每 IP 最多 10 个连接
`-l puredb:...`	虚拟用户文件
`-j`	自动创建家目录
`-i`	匿名用户不允许上传
`-R`	不允许 chmod
`-P 10.0.0.1`	PASV 模式告知客户端的 IP
`-p 30000:30009`	PASV 端口段

3.4 虚拟用户管理

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16
17
18


# 进入容器
docker exec -it ftp /bin/bash

# 添加用户 www（密码 {{REDACTED}}）
pure-pw useradd www \
 -f /etc/pure-ftpd/passwd/pureftpd.passwd \
 -m \
 -u ftpuser \
 -d /home/ftpusers/www

# 修改家目录权限
chmod -R 777 /home/ftp/data/

# 删除用户
pure-pw userdel www -f /etc/pure-ftpd/passwd/pureftpd.passwd -m

# 查看用户列表
pure-pw list -f /etc/pure-ftpd/passwd/pureftpd.passwd

3.5 验证测试

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13


# 1. 在宿主机创建文件
touch /home/ftp/data/test.txt

# 2. 浏览器访问（匿名）
ftp://<SERVER_IP>:21
# 应该能看到 test.txt（无需密码）

# 3. FTP 工具连接
# 用户名 www，密码 {{REDACTED}}
# 看到 test.txt，能下载能上传能删除

# 4. 主被动模式测试
# 在客户端（FileZilla）切换主动 / 被动模式，都能正常上传下载

3.6 清理

1
2


docker rm -f ftp
rm -rf /home/ftp

四、Nginx stream 四层代理

FTP 服务器在内网，要暴露到公网？Nginx stream 模块做四层代理。

4.1 完整 stream 配置

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29


stream {
 # FTP 控制端口
 upstream ftp_control {
 server 10.0.0.1:21;
 }
 server {
 listen 21;
 proxy_pass ftp_control;
 proxy_connect_timeout 1s;
 proxy_timeout 10m;
 }

 # FTP 主动模式数据端口（20）
 upstream ftp_data {
 server 10.0.0.1:20;
 }
 server {
 listen 20;
 proxy_pass ftp_data;
 proxy_connect_timeout 1s;
 proxy_timeout 10m;
 }

 # PASV 端口段
 server {
 listen 21100-21110;
 proxy_pass 10.0.0.1:$server_port; # $server_port 是动态端口
 }
}

关键点：

proxy_pass 10.0.0.1:$server_port：动态端口转发——客户端连 21100 转到 21100，21101 转到 21101
proxy_timeout 10m：10 分钟无数据不切断——大文件传输必备
proxy_upload_rate / proxy_download_rate：限速（生产推荐）

1
2
3
4
5
6


server {
 listen 21100;
 proxy_pass 10.0.0.1:21100;
 proxy_upload_rate 10240k; # 上传限速 10MB/s
 proxy_download_rate 20480k; # 下载限速 20MB/s
}

4.2 SSL / FTPS 代理

FTPS（FTP over TLS）的四层代理较复杂——TLS 加密流无法被 Nginx 解密再加密。

推荐方案：

用 HAProxy（原生支持 SSL 透传）
或直接在 FTP 服务器端处理 TLS，Nginx 只代理明文

五、客户端使用

5.1 命令行

1
2
3
4
5
6
7
8


# 上传 / 下载测试
curl -u www:{{REDACTED}} ftp://203.0.113.10/k8s/test.sh | bash

# 列出
curl -u www:{{REDACTED}} ftp://203.0.113.10/

# 主动模式
curl -u www:{{REDACTED}} --ftp-port - ftp://203.0.113.10/file

5.2 FileZilla

跨平台 FTP 客户端，首选：

1
2
3
4


主机：203.0.113.10
用户名：www
密码：{{REDACTED}}
端口：21

关键设置：

传输模式：被动（推荐）
加密：显式的 TLS（FTPS）

5.3 WinSCP（Windows）

适合自动化脚本（批处理）：

1
2
3
4
5


@echo off
"C:\Program Files\WinSCP\WinSCP.com" ^
  /command "open ftp://www:{{REDACTED}}@203.0.113.10/" ^
  "put C:\local\file.zip /remote/file.zip" ^
  "exit"

5.4 lftp（Linux 推荐）

1
2
3
4
5


# 批量上传
lftp -u www,{{REDACTED}} -e "mirror -R /local/path /remote/path" 203.0.113.10

# 加密传输
lftp -u www,{{REDACTED}} -e "set ftp:ssl-force true; set ftp:ssl-protect-data true; ls" 203.0.113.10

六、典型坑位

6.1 登录成功但列不出文件

症状：PASV 模式登录后卡住，服务器等待客户端连数据端口。

原因：

PASV_ADDRESS 没设对
防火墙没放行 PASV 端口段
Nginx 反代没配端口段转发

修复：

1
2
3
4
5


# 1. 确认 PASV_ADDRESS 是公网 IP（不是 127.0.0.1）
echo $PASV_ADDRESS
# 2. 防火墙放行
iptables -A INPUT -p tcp --dport 21100:21110 -j ACCEPT
# 3. Nginx stream 加端口段

6.2 主动模式连不上

症状：PORT 模式报 “Connection refused”。

原因：服务器 20 端口主动连客户端，客户端在 NAT / 防火墙后。

修复：改用 PASV 模式，别折腾主动模式。

6.3 上传文件 0 字节

症状：客户端显示上传成功，服务器文件是 0 字节。

原因：PASV 端口被防火墙 drop 掉了。

修复：

1
2
3
4
5


# 1. tcpdump 看数据连接
tcpdump -i any port 21100-21110

# 2. 防火墙状态
iptables -L -n | grep 21100

6.4 vsftpd 启动报 “500 OOPS”

修复：

1
2
3
4
5
6
7


# 容器内检查 vsftpd.conf
docker exec vsftpd cat /etc/vsftpd/vsftpd.conf | grep -v "^#" | grep -v "^$"

# 常见错误：listen_ipv6=YES + listen=YES 冲突
# 修法：二选一
echo "listen=YES" >> /etc/vsftpd/vsftpd.conf
echo "listen_ipv6=NO" >> /etc/vsftpd/vsftpd.conf

七、vsftpd vs pure-ftpd 选型

维度	vsftpd	pure-ftpd
性能	高	中等
稳定性	极高	高
配置	简洁	灵活
虚拟用户	手动 db_load	pure-pw 命令行
TLS / SSL	支持	支持
Docker 镜像	官方 vsftpd / fauria	stilliard
适合	生产 / 简单场景	多用户 / 复杂权限

简单场景选 vsftpd（稳定为先），多用户管理选 pure-ftpd（命令行友好）。

八、生产安全清单

8.1 强制 TLS

vsftpd：

1
2
3
4
5
6
7
8


ssl_enable=YES
allow_anon_ssl=NO
force_local_data_ssl=YES
force_local_logins_ssl=YES
ssl_tlsv1=YES
ssl_sslv2=NO
ssl_sslv3=NO
require_ssl_reuse=NO

pure-ftpd：

1
2


echo "TLS 1" > /etc/pure-ftpd/conf/TLS
# 把证书放到 /etc/ssl/private/pure-ftpd.pem

8.2 限制用户目录

1
2
3


# vsftpd
chroot_local_user=YES
allow_writeable_chroot=YES

1
2


# pure-ftpd
echo "YES" > /etc/pure-ftpd/conf/ChrootEveryone

8.3 限速

1
2
3


# vsftpd
local_max_rate=1024000 # 1MB/s
anon_max_rate=512000 # 500KB/s

8.4 禁用匿名

1

anonymous_enable=NO

8.5 fail2ban 防爆破

1
2
3
4
5
6
7
8


# /etc/fail2ban/jail.local
[vsftpd]
enabled = true
port = ftp,ftp-data,ftps,ftps-data
filter = vsftpd
logpath = /var/log/vsftpd.log
maxretry = 5
bantime = 3600

九、监控与日志

9.1 vsftpd 日志

1
2
3
4
5
6
7


# 容器内
docker exec vsftpd tail -f /var/log/vsftpd.log

# 输出示例
Mon May 21 03:00:00 2021 [pid 1] CONNECT: Client "1.2.3.4"
Mon May 21 03:00:01 2021 [pid 1] [www] OK LOGIN: Client "1.2.3.4"
Mon May 21 03:00:05 2021 [pid 1] [www] OK UPLOAD: Client "1.2.3.4", "/file.zip", 12345 bytes, 1.2 MB/s

9.2 pure-ftpd 日志

1

docker exec ftp tail -f /var/log/pure-ftpd/pureftpd.log

9.3 接入 Loki

1
2
3
4


logging:
 driver: loki
 options:
 loki-url: "http://internal.example.com:3100/loki/api/v1/push"

十、卸载清理

1
2
3
4
5
6
7


# vsftpd
docker rm -f vsftpd
rm -rf /home/docker/vsftpd

# pure-ftpd
docker rm -f ftp
rm -rf /home/ftp

十一、2024+ 视角补充

本文写于 2021-03，2024-2026 这几年里"FTP 该不该用"的共识有明显变化：

FTP 整体趋势：FTP 协议在 2020s 越来越被视为遗留技术——所有主流浏览器（Chrome、Firefox、Edge、Safari）自 2020-2021 起就在逐步淘汰 FTP 协议。RFC 959 设计于 1985，默认明文传输是致命伤（用户名/密码/文件内容全裸奔）。2024+ 的新项目，优先选 SFTP / HTTPS / MinIO / S3 兼容对象存储：

场景	2021 主流	2024+ 推荐	理由
内部脚本同步	FTP/FTPS	SFTP（SSH 自带）	SSH 默认安全，无需额外服务
跨地域文件交换	FTP 服务器	MinIO / S3 兼容对象存储	签名 URL、版本控制、跨域复制
浏览器下载	FTP URL	HTTPS + 静态站点	浏览器已不再支持 `ftp://` 链接
客户端工具上传	FileZilla/FTP	rclone + S3 兼容	增量同步、加密、断点续传
老设备/老协议对接	FTP	FTP/FTPS（保留）	无替代品时仍可用

vsftpd / pure-ftpd 项目现状：

vsftpd 仍维护，但 2024 年发布节奏明显放缓（最后大版本 3.0.5 在 2021）。新特性很少，主要是 CVE 修复
pure-ftpd 状态类似。社区分裂（部分分支用 Rust 重写，但未成熟）
ProFTPD 仍活跃（2024-2025 有 1.3.8+ 发布），但市场份额不大
新部署不推荐用这俩老牌项目，能用 SFTP 就用 SFTP

SFTP 容器化（vsftpd 替代）：

1
2
3
4
5
6
7
8


# atmoz/sftp 是 2024+ 最流行的自托管 SFTP 镜像
docker run -d \
 --name sftp \
 -p 2222:22 \
 -v /home/sftp/users.conf:/etc/sftp/users.conf:ro \
 -v /home/sftp/data:/home \
 atmoz/sftp \
 www:{{REDACTED}}:1001:1001:upload

users.conf 一行一个用户：用户名:密码:UID:GID:家目录——比 vsftpd 虚拟用户简单。

FTP 仍必要的场景（2024 仍存在）：

老的工业设备（数控机床、医疗仪器）只支持 FTP 上报数据
老的 ERP / 财务系统只支持 FTP 文件交换
与海外客户的 B2B 集成（对方系统只懂 FTP）
备份归档脚本（老脚本不愿重写）

这些场景的加固清单：

必须 FTPS（FTP over TLS），不能明文
必须 fail2ban
必须 chroot + 限制用户家目录
必须限速（防 DoS）
定期审计：看 /var/log/vsftpd.log 谁连了、传了什么
计划退出：列入"2026 技术债清单"，逐年替换

生产实践补充（2024 更新）：

HAProxy 替代 Nginx stream 做 FTPS 四层代理（Nginx stream 透传 TLS 麻烦）
CrowdSec 替代 fail2ban：社区共享 IP 黑名单，更新更频繁（2024 主流）
Caddy + sftp-bridge：Caddy 2024+ 原生支持 SFTP 代理，可以少一层 vsftpd

十二、最佳实践清单

PASV 模式 + 公网 IP：避免主动模式 NAT 问题
PASV_ADDRESS 必填：客户端才知道连哪里
PASV 端口段防火墙放行：21100-21110（或自定义）
Nginx stream 四层代理：内网 FTP 暴露公网
强制 TLS / SSL：FTPS 而非明文 FTP
chroot 限制用户家目录：防止越权访问
限速：避免大文件占满带宽
禁用匿名：除非业务需要
fail2ban / CrowdSec 防爆破：5 次失败封 1 小时
定期清理日志：vsftpd.log 不会自动 rotate
新项目优先 SFTP / S3：FTP 仅作为兼容老系统的备选

下一步

想看 NextCloud 网盘自托管（家用云盘）→ NextCloud 网盘自托管
想看 Seafile 私有云盘（高性能文件同步）→ Seafile 私有云盘
想看 Cloudreve 网盘（多存储后端）→ Cloudreve 网盘
想看 MinIO 对象存储实战（S3 兼容对象存储）→ MinIO 对象存储实战
想看 Nginx 自建镜像实战（含 stream 四层）→ Nginx 自建镜像实战

Ftp on Liangweidong's blog