Linux FTP默认端口号是多少？主动与被动模式端口有何不同？

Linux FTP 端口详解：配置、安全与最佳实践

在 Linux 系统管理中，FTP（File Transfer Protocol，文件传输协议）是一种广泛使用的文件传输服务，它允许用户在客户端和服务器之间进行文件上传、下载和管理，FTP 的默认端口配置及其安全性一直是管理员关注的重点，本文将深入探讨 Linux 环境下 FTP 的默认端口、主动模式与被动模式的区别、端口配置方法以及安全加固策略，帮助读者全面理解 FTP 端口的使用与管理。

FTP 默认端口与工作模式

FTP 服务通常使用两个不同的端口来传输数据：控制端口和数据端口，默认情况下，FTP 的控制连接使用 21 端口，用于传输客户端与服务器之间的命令（如登录、目录列表等），而数据传输则根据工作模式的不同，使用不同的端口：

• 主动模式（Active Mode）：客户端随机选择一个端口作为数据端口，并通过控制端口向服务器发送 PORT 命令，告知服务器自己的数据端口，随后，服务器主动以 20 端口 作为源端口，向客户端的数据端口发起连接，这种模式下，服务器需要主动连接客户端，因此可能受到客户端防火墙的限制。

• 被动模式（Passive Mode）：为了避免主动模式中服务器连接客户端被防火墙拦截，FTP 引入了被动模式，客户端向服务器发送 PASV 命令后，服务器会随机开放一个高端口（1024 以上）作为数据端口，并将该端口信息告知客户端，客户端再主动连接该端口，被动模式下，数据连接由客户端发起，更适合有防火墙的环境。

需要注意的是，FTP 的默认控制端口 21 和主动模式数据端口 20 是 RFC 规范中定义的标准端口，但被动模式的数据端口是动态分配的，通常配置在 1024-65535 之间。

Linux 中 FTP 端口的配置方法

在 Linux 系统中，常用的 FTP 服务器软件包括 vsftpd（Very Secure FTP Daemon）、ProFTPD 等，以 vsftpd 为例，端口配置主要通过修改其配置文件 /etc/vsftpd/vsftpd.conf 实现。

1. 修改默认控制端口
   默认情况下，vsftpd 使用 21 端口作为控制端口，若需修改，可在配置文件中添加以下指令：

   listen_port=2121  

   修改后需重启 vsftpd 服务使配置生效：

   systemctl restart vsftpd  

2. 配置被动模式端口范围
   在被动模式下，vsftpd 默认使用动态端口，但管理员可以指定端口范围以提高安全性，在配置文件中添加：

   

   pasv_min_port=50000  
   pasv_max_port=51000  

   此配置将被动模式的数据端口限制在 50000 至 51000 之间，避免使用系统保留端口并减少端口扫描风险。

3. 防火墙规则配置
   无论使用主动模式还是被动模式，都需要确保防火墙允许相关端口的流量，以 firewalld 为例，开放 21 端口和被动模式端口范围：

   firewall-cmd --permanent --add-port=21/tcp  
   firewall-cmd --permanent --add-port=50000-51000/tcp  
   firewall-cmd --reload  

   对于 iptables，可执行：

   iptables -A INPUT -p tcp --dport 21 -j ACCEPT  
   iptables -A INPUT -p tcp --dport 50000:51000 -j ACCEPT  
   service iptables save  

FTP 端口的安全风险与加固措施

FTP 协议本身存在一定的安全风险，尤其是默认端口暴露和明文传输的问题，以下是常见的安全加固措施：

1. 更换默认端口
   将 FTP 控制端口从 21 更改为非标准端口（如 2121），可以减少自动化攻击工具的扫描频率，但需注意，客户端连接时需明确指定新端口。

2. 启用 SSL/TLS 加密
   默认情况下，FTP 传输的数据和控制命令均为明文，易被窃听，可通过配置 vsftpd 支持 FTPS（FTP over SSL/TLS）加密连接：

   • 生成 SSL 证书：

     openssl req -x509 -nodes -days 365 -newkey rsa:2048 -keyout /etc/vsftpd/vsftpd.pem -out /etc/vsftpd/vsftpd.pem  

   • 修改配置文件启用 SSL：

     ssl_enable=YES  
     allow_anonymous_login=NO  
     force_local_data_ssl=YES  
     force_local_logins_ssl=YES  

3. 限制访问 IP
   通过防火墙或 vsftpd 配置限制允许连接 FTP 服务的 IP 地址，

   tcp_wrappers=YES  
   hosts_allow=192.168.1.0/24,10.0.0.1  

4. 禁用匿名登录
   匿名 FTP 可能被恶意用户用于上传或下载敏感文件，建议在配置文件中禁用：

   

   anonymous_enable=NO  

常见问题与解决方案

1. 被动模式连接超时
   若客户端在被动模式下连接超时，可能是防火墙未开放被动端口范围或 vsftpd 配置错误，需检查防火墙规则和 pasv_min_port、pasv_max_port 设置。

2. 端口冲突
   若修改默认端口后服务无法启动，可能是新端口已被其他服务占用，可通过 netstat -tuln | grep :端口号 检查端口使用情况，并调整配置或冲突服务。

3. 客户端无法连接 21 端口
   检查 vsftpd 是否监听 21 端口：

   netstat -tuln | grep :21  

   若未监听，可能是 listen=YES 未启用或配置文件语法错误。

FTP 端口的配置与管理是 Linux 系统安全的重要组成部分，通过合理设置默认端口、选择合适的工作模式、启用加密传输以及限制访问权限，可以有效提升 FTP 服务的安全性和稳定性，管理员在实际操作中，应根据业务需求和安全策略灵活调整端口配置，并定期检查日志文件以发现异常访问行为，随着 SFTP（基于 SSH 的文件传输）等更安全的协议逐渐普及，建议在敏感场景下优先选择加密传输方式，减少明文 FTP 带来的风险。