centos vsftp安全設置怎么做

以下是CentOS下vsftpd的安全設置步驟：

1. 安裝vsftpd

   sudo yum update && sudo yum install vsftpd  
   

2. 基礎安全配置（修改/etc/vsftpd/vsftpd.conf）

   • 禁用匿名登錄：anonymous_enable=NO
   • 允許本地用戶登錄并限制其訪問主目錄：
     local_enable=YES
chroot_local_user=YES
allow_writeable_chroot=YES
   • 啟用被動模式并指定端口范圍（可選）：
     pasv_enable=YES
pasv_min_port=50000
pasv_max_port=50010
   • 啟用SSL/TLS加密（需先獲取證書）：
     ssl_enable=YES
force_local_data_ssl=YES
force_local_logins_ssl=YES
rsa_cert_file=/path/to/cert.pem
rsa_private_key_file=/path/to/key.pem

3. 防火墻配置
   開放FTP及被動模式端口：

   sudo firewall-cmd --permanent --add-port=21/tcp  
   sudo firewall-cmd --permanent --add-port=50000-50010/tcp  # 若啟用被動模式  
   sudo firewall-cmd --reload  
   

4. 用戶管理

   • 創建專用FTP用戶（禁止SSH登錄）：

     sudo useradd -d /home/ftpuser -s /sbin/nologin ftpuser  
     sudo passwd ftpuser  
     

   • 通過/etc/vsftpd/user_list控制允許登錄的用戶（白名單）

5. 日志與權限

   • 啟用日志記錄：xferlog_enable=YES
   • 確保用戶目錄權限正確：

     sudo chown ftpuser:ftpuser /home/ftpuser  
     sudo chmod 755 /home/ftpuser  
     

6. SELinux設置（可選）
   若啟用SELinux，需調整策略：

   sudo setsebool -P ftp_home_dir on  
   sudo chcon -Rt svirt_sandbox_file_t /home/  
   

7. 重啟服務

   sudo systemctl restart vsftpd  
   sudo systemctl enable vsftpd  
   

驗證：使用FTP客戶端（如FileZilla）連接服務器，確保需輸入用戶名密碼，且連接為加密模式（如顯示“SSL/TLS”）。

注：以上配置可根據實際需求調整，生產環境建議使用強密碼、限制IP訪問（通過/etc/hosts.allow/deny）并定期更新系統。