Linux VSFTP如何配置更安全

以下是Linux VSFTP的安全配置要點：

1. 禁用匿名訪問：設置anonymous_enable=NO，避免未授權用戶訪問。
2. 限制用戶權限：
   • 啟用chroot_local_user=YES，將用戶限制在主目錄，防止越權訪問。
   • 配置allow_writeable_chroot=YES，允許用戶在主目錄內寫入（避免權限報錯）。
3. 啟用SSL/TLS加密：
   • 安裝SSL工具并生成證書，配置ssl_enable=YES，指定證書路徑。
   • 強制使用TLS協議，禁用SSLv2/SSLv3：ssl_tlsv1=YES，ssl_sslv2=NO，ssl_sslv3=NO。
4. 控制連接與端口：
   • 限制FTP數據端口范圍（如pasv_min_port=30000，pasv_max_port=31000），減少掃描風險。
   • 修改默認FTP端口（如從21改為2123），并更新防火墻規則。
5. 防范暴力破解：
   • 使用xinetd模式限制并發連接數（instances=20）和IP連接頻率。
   • 結合iptables或ufw限制異常IP訪問。
6. 日志與監控：
   • 啟用傳輸日志xferlog_enable=YES，記錄用戶操作。
   • 定期分析日志，檢測異常登錄或文件操作。
7. 其他安全措施：
   • 禁止FTP用戶登錄SSH：通過/etc/ssh/sshd_config設置DenyUsers。
   • 定期更新VSFTP軟件，修復安全漏洞。

配置示例（關鍵參數）：

# /etc/vsftpd.conf
anonymous_enable=NO
local_enable=YES
write_enable=YES
chroot_local_user=YES
allow_writeable_chroot=YES
ssl_enable=YES
rsa_cert_file=/etc/ssl/private/vsftpd.pem
rsa_private_key_file=/etc/ssl/private/vsftpd.pem
force_local_data_ssl=YES
force_local_logins_ssl=YES
pasv_min_port=30000
pasv_max_port=31000
xferlog_enable=YES

參考來源：