文件传输服务
FTP 使用说明
FTP 用于给指定目录提供上传和下载能力,常用于网站文件维护、临时交付和第三方工具对接。它会修改目录访问权限,且公网暴露后容易被暴力破解,必须谨慎配置。
账号目录读写权限被动端口访问日志
适用场景
网站文件维护给站点目录创建专用账号,便于上传主题、插件或静态文件。
临时文件交换给指定目录开临时账号,完成后及时停用或删除。
第三方工具对接老旧工具只支持 FTP 时,用受限目录账号对接。
不建议场景长期公网开放根目录级账号,或多人共用一个高权限账号。
启用服务
1进入「工具箱」中的「FTP」。如果服务未启动,先按页面提示启动 FTP 服务。
2确认服务器防火墙、安全组已放行 FTP 控制端口。
3如果客户端使用被动模式,还需要放行被动端口范围,否则会出现能登录但无法列目录。
4启动后查看服务状态,确认不是 deleted、stopped 或异常状态。
5在创建账号前先规划目录范围,不要直接给系统根目录或敏感目录。
创建账号
2填写用户名和强密码。不要使用业务通用密码,也不要多人共用一个账号。
3选择或填写目录。目录应限制在业务需要范围内,例如单个网站目录或专用上传目录。
4根据需要设置读写权限。只下载的账号不要授予写权限,临时账号完成后及时禁用。
5保存后使用 FTP 客户端测试登录、列目录、上传、下载和删除。
目录权限
权限变更提示
面板文案中已提示:开启 FTP 需要修改目录权限。选择目录时要谨慎,避免把整个业务根目录或系统目录暴露给 FTP 账号。
| 情况 | 原因 | 建议 |
|---|
| 上传失败 | 目录不可写、所有者不匹配、磁盘满。 | 检查目录权限和磁盘空间。 |
| 上传后网站无法读取 | Web 服务用户与 FTP 写入用户权限不一致。 | 调整目录组权限或网站运行用户。 |
| 能登录不能列目录 | 目录权限不足或被动端口未放行。 | 同时检查目录权限和端口范围。 |
| 误改大目录权限 | FTP 目录选择过大。 | 先停用账号,再恢复目录权限。 |
端口与连接模式
- 主动模式和被动模式对网络要求不同。多数 NAT 或云服务器环境建议使用被动模式。
- 只放行控制端口不够,被动模式还需要放行服务端配置的被动端口范围。
- 如果使用反向代理或复杂网络,优先用 SFTP 或其他更现代的传输方式替代 FTP。
安全建议
公网 FTP 风险较高
FTP 账号一旦弱密码或目录过大,容易造成文件被篡改、植入脚本或数据泄露。
- 使用强密码,并为每个用途创建独立账号。
- 按需启用,用完停用,不要长期保留临时账号。
- 公网访问建议配合安全组限制来源 IP。
- 定期查看 FTP 日志,关注异常登录和异常上传。
排错
| 问题 | 检查项 | 处理 |
|---|
| 服务未启动 | FTP 服务状态、安装状态、端口占用。 | 启动服务或查看服务日志。 |
| 无法登录 | 账号状态、密码、来源 IP、防火墙。 | 重置密码并确认服务端口可达。 |
| 无法上传 | 目录权限、磁盘空间、账号写权限。 | 调整权限或更换目录。 |
| 能连但卡住 | 被动端口、防火墙、安全组。 | 放行被动端口范围并重试。 |
关联阅读与验收清单
| 如果你要 | 继续阅读 | 验收方式 |
| 共享团队目录 | 共享目录 | 按账号验证只读/读写权限。 |
| 维护服务器文件 | 文件高级操作 | 上传、下载、重命名、权限变更均正常。 |
| 排查连接失败 | 防火墙高级规则 | 端口、防火墙、账号、目录权限同时检查。 |
- 账号目录不要直接指向系统根目录或敏感配置目录。
- 公网开放 FTP 前限制来源 IP,并保留访问日志。
- 临时账号使用后及时停用或删除。