服务器为何要开设21端口？

服务器开21端口详解

在现代网络环境中，服务器的端口管理是确保系统正常运行和安全的重要环节，21端口是一个关键端口，主要用于FTP（文件传输协议）服务，本文将详细介绍如何在服务器上开放21端口，以及相关的操作步骤和注意事项。

一、什么是21端口？

21端口是FTP（File Transfer Protocol）服务的默认端口，FTP是一种用于在网络上进行文件传输的应用层协议，允许用户上传、下载和管理远程计算机上的文件，由于其简单易用，FTP在早期互联网中被广泛应用，但随着安全性要求的提高，FTP的使用逐渐减少，取而代之的是更安全的SFTP（SSH File Transfer Protocol）和FTPS（FTP Secure）。

二、为什么需要开放21端口？

开放21端口的主要目的是为了支持FTP服务，使客户端能够通过FTP协议与服务器进行文件传输，这对于需要频繁传输文件的场景尤为重要，如网站内容更新、数据备份和恢复等，开放21端口也带来了一定的安全风险，因为FTP在传输过程中不加密，容易被窃听和中间人攻击，在开放21端口之前，必须采取必要的安全措施。

三、如何开放21端口？

开放21端口的具体步骤取决于服务器的操作系统，下面分别介绍在Windows和Linux系统中的操作方法。

1. Windows系统中开放21端口

步骤1：打开防火墙设置

点击“开始”按钮，选择“控制面板”。

在控制面板中，找到并点击“Windows Defender防火墙”。

点击左侧的“高级设置”，进入“高级安全Windows Defender防火墙”窗口。

步骤2：创建入站规则

在左侧窗口中，选择“入站规则”，然后点击右侧的“新建规则”。

在弹出的对话框中，选择“端口”，点击“下一步”。

选择“TCP”，并指定本地端口为“21”，点击“下一步”。

选择“允许连接”，点击“下一步”。

根据需要选择适用的网络类型（域、专用、公用），然后点击“下一步”。

为规则命名，并提供描述信息，点击“完成”。

步骤3：保存设置并关闭防火墙软件或网络设置

确保新规则已成功添加并启用。

关闭防火墙设置窗口。

2. Linux系统中开放21端口

步骤1：使用iptables命令

如果服务器使用的是iptables防火墙，可以使用以下命令来开放21端口：

  sudo iptables -A INPUT -p tcp --dport 21 -j ACCEPT

保存规则：

  sudo service iptables save

重新加载iptables配置：

  sudo service iptables restart

步骤2：使用ufw工具

如果服务器使用的是ufw（Uncomplicated Firewall）工具，可以使用以下命令来开放21端口：

  sudo ufw allow 21/tcp

启用ufw：

  sudo ufw enable

3. 配置FTP服务器

无论使用哪种操作系统，都需要确保FTP服务器已经安装并正确配置，以下是常见的FTP服务器软件及其配置文件路径：

vsftpd（Very Secure FTP Daemon）

安装vsftpd（以Ubuntu为例）：

  sudo apt-get update
  sudo apt-get install vsftpd

编辑配置文件：

  sudo nano /etc/vsftpd.conf

确保以下配置项正确设置：

    listen=YES
    anonymous_enable=NO
    local_enable=YES
    write_enable=YES

保存并关闭文件，然后重启vsftpd服务：

  sudo systemctl restart vsftpd

ProFTPD

安装ProFTPD（以Ubuntu为例）：

  sudo apt-get update
  sudo apt-get install proftpd

编辑配置文件：

  sudo nano /etc/proftpd/proftpd.conf

确保以下配置项正确设置：

    ServerName      "ProFTPD Server"
    ServerType      standalone
    ServerPort      21

保存并关闭文件，然后重启ProFTPD服务：

  sudo systemctl restart proftpd

FileZilla Server

安装FileZilla Server（以Ubuntu为例）：

  sudo apt-get update
  sudo apt-get install filezilla

启动FileZilla Server：

  filezilla-server

配置FileZilla Server界面，确保监听端口设置为21。

4. 测试21端口是否已开放

可以通过以下几种方法测试21端口是否已成功开放：

方法1：使用netstat命令

在服务器上运行以下命令：

  sudo netstat -tuln | grep 21

如果看到类似以下输出，则表示21端口已成功开放：

  tcp        0      0 0.0.0.0:21              0.0.0.0:*               LISTEN

方法2：使用telnet命令

在客户端机器上运行以下命令：

  telnet [服务器IP] 21

如果连接成功，则表示21端口已开放。

方法3：使用FTP客户端

使用FTP客户端软件（如FileZilla）连接到服务器的21端口，输入用户名和密码进行登录，如果连接成功，则表示21端口已开放。

5. 安全性考虑

开放21端口后，FTP服务将面临一定的安全风险，为了增强安全性，建议采取以下措施：

限制访问IP地址

仅允许特定IP地址访问FTP服务器，在iptables中添加规则：

  sudo iptables -A INPUT -p tcp -s [客户端IP] --dport 21 -j ACCEPT

在vsftpd配置文件中设置允许的IP地址范围：

  allow_writeable_chroot=YES
  listen=YES
  chroot_local_user=YES
  allow_unknown_online=NO
  deny_email_commands=YES
  banned_email_file=/etc/vsftpd.banned_emails
  chroot_list_enable=YES
  chroot_list_file=/etc/vsftpd.chroot_list
  listen_address=<specific_ip_address>
  listen_limit=<number_of_simultaneous_connections>
  max_clients=<number_of_maximum_clients>
  max_per_ip=<number_of_maximum_connections_per_ip>
  tcp_wrappers=YES

然后重启vsftpd服务：

  sudo systemctl restart vsftpd

使用强密码

确保所有FTP用户的密码足够复杂，以防止暴力破解。

定期更新软件

定期更新FTP服务器软件和其他相关软件，以修复已知的安全漏洞。

启用日志功能

启用FTP服务器的日志功能，监控FTP活动并及时发现异常行为，在vsftpd配置文件中启用日志功能：

  xferlog_enable=YES
  connect_from_port_20=YES
  xferlog_file=/var/log/vsftpd.log
  xferlog_std_format=YES
  dupe_check_enable=YES
  listen=YES
  log_ftp_protocol=YES
  vsftpd_log_file=/var/log/xferlog
  xferlog_std_format=YES
  listen_address=<specific_ip_address>
  listen_limit=<number_of_simultaneous_connections>
  max_clients=<number_of_maximum_clients>
  max_per_ip=<number_of_maximum_connections_per_ip>
  tcp_wrappers=YES

然后重启vsftpd服务：

  sudo systemctl restart vsftpd

使用更安全的替代方案

如果可能，考虑使用SFTP或FTPS替代传统的FTP，这些协议在传输过程中对数据进行加密，提供了更高的安全性，使用vsftpd的FTPS功能：

    listen=YES
    listen_ipv6=YES
    anon_other_write_enable=NO
    anon_root=/srv/ftp/anon_ftp    ;Anonymous ftp root.
    anon_enable=YES
    anon_upload_enable=YES
    anon_mkdir_write_enable=YES
    anon_other_perm=ftp:rwx    ;Perms for non-anon users (default no access).
    chroot_local_user=YES    ;Chroot with local users. You may want to use 'no' and not allow local users. Please do read the manual before doing so. That document also says that 'Write permission should be removed in a secure configuration' and is then incorrect. See bug #2938769.    ;Change to yes if you don't trust your local users not to run exploits/shells.
    pam_service_name=vsftpd    ;The name of which pam service vsftpd uses.
    userlist_enable=YES    ;Tcpwrappers ACLs. See /usr/share/doc/vsftpd/README.gz for details.    ;NOTE: vsftpd does not support chroot_local_user=YES with both listen and ftpdata ports uncommented.    ;Either change to no, or override in pam_config edit /etc/pam.d/vsftpd    ;Change to NO to disable chroot jailing for local users. DO NOT set.    ;This allows the user to come back and forth between directories normally.    ;If you are going to use virtual users consider changing this to full jail.    ;Write enabled is on by default. If you want, you can remove write permission explicitly for local users.    ;Please report this new security feature (to maintainers ; security@seclists.org)    ; and any possible issues it might have introduced.    ;Make sure, that "write_enable" directive does not present in vsftpd conf.    ;Possible values are:    ;   chroot_local_user=YES    ;   chroot_local_user=NO    ;   chroot_local_user=ALL    ;Default value for chroot_local_user is off for security reasons. You might think about allowing writing as an anonymous user! On starting vsftpd these parameters are consulted.    ;You will find a global list of options and their current settings in /etc/vsftpd/vsftpd.conf.    ;Man page: man vsftpd.conf    ;SELinux related:    ;Be aware that setting SELinux boolean 'ftpd_full_access' on does or off has no impact and    ;vsftpd will refuse to start if SELinux is enforcing and SELinux boolean 'ftpd_use_fusefs' is not set.