1. 禁用匿名訪問
匿名FTP訪問是高風險行為��,易被惡意用戶利用下載或上傳敏感文件�����。需修改vsftpd配置文件(/etc/vsftpd.conf)���,設置anonymous_enable=NO����,徹底關閉匿名登錄權限�。
2. 限制用戶訪問目錄(Chroot Jail)
將FTP用戶限制在其主目錄內����,防止越權訪問系統其他目錄����。配置chroot_local_user=YES啟用chroot jail�����,若需允許用戶修改主目錄內容(如上傳文件)���,需添加allow_writeable_chroot=YES���。
3. 啟用TLS/SSL加密傳輸
FTP明文傳輸易導致密碼和數據泄露�����,需啟用TLS/SSL加密�。首先生成自簽名證書(sudo openssl req -x509 -nodes -days 365 -newkey rsa:2048 -keyout /etc/ssl/private/vsftpd.pem -out /etc/ssl/private/vsftpd.pem)�����,然后在配置文件中添加:ssl_enable=YES����、force_local_data_ssl=YES�����、force_local_logins_ssl=YES���、rsa_cert_file=/etc/ssl/private/vsftpd.pem�����。
4. 配置防火墻規則
僅允許授權IP地址或端口訪問FTP服務�����,減少暴露面�。對于被動模式(Pasv)���,需開放數據端口范圍(如pasv_min_port=30000���、pasv_max_port=31000)���,并通過防火墻放行:
- Ubuntu/Debian:
sudo ufw allow 21/tcp�、sudo ufw allow 30000:31000/tcp���;
- CentOS/RHEL:
sudo firewall-cmd --permanent --add-port=21/tcp�����、sudo firewall-cmd --permanent --add-port=30000-31000/tcp����,隨后執行sudo firewall-cmd --reload�����。
5. 強化用戶認證與管理
- 使用專用FTP用戶:創建僅用于FTP登錄的低權限用戶(如
sudo adduser ftpuser)���,避免使用root或其他高權限賬戶�����;
- 設置強密碼策略:要求用戶使用包含大小寫字母�、數字和特殊字符的強密碼(如
Password123@)��,并定期更換��;
- 配置用戶列表:通過
userlist_enable=YES���、userlist_file=/etc/vsftpd.user_list指定允許訪問的用戶��,設置userlist_deny=NO僅允許列表內用戶登錄�。
6. 禁用不必要的功能
關閉可能被濫用的FTP功能�,降低攻擊風險:
ls_recurse_enable=NO:禁止遞歸列出目錄��,防止DoS攻擊�����;ascii_download_enable=NO:關閉ASCII模式下載�����,避免CPU資源消耗�����;anon_other_write_enable=NO:禁止匿名用戶刪除或重命名文件���。
7. 啟用日志記錄與監控
開啟詳細日志記錄�����,便于追蹤異?��;顒雍团挪榘踩录?���。配置xferlog_enable=YES�、xferlog_file=/var/log/vsftpd.log�����、xferlog_std_format=YES�,定期檢查日志(如sudo tail -f /var/log/vsftpd.log)���。
8. 定期更新軟件與補丁
及時更新vsftpd及操作系統���,修復已知安全漏洞����。執行sudo apt update && sudo apt upgrade(Ubuntu/Debian)或sudo yum update(CentOS/RHEL)�����,確保軟件版本為最新���。
9. 可選:使用虛擬用戶增強隔離
對于多用戶場景����,創建虛擬用戶(而非系統用戶)�����,將虛擬用戶映射到專用系統賬戶�����,實現更嚴格的權限隔離���。配置guest_enable=YES��、guest_username=ftpuser(映射到系統用戶ftpuser)��,并通過user_config_dir指定虛擬用戶個性化配置文件目錄�。
