怎樣設置Ubuntu FTP服務器安全策略

以下是設置Ubuntu FTP服務器安全策略的關鍵步驟：

1. 安裝FTP服務器
   以vsftpd為例：

   sudo apt update && sudo apt install vsftpd  
   

2. 配置vsftpd
   編輯配置文件 /etc/vsftpd.conf：

   • 禁用匿名訪問：anonymous_enable=NO
   • 限制用戶權限：chroot_local_user=YES（限制用戶主目錄）+ allow_writeable_chroot=YES（允許主目錄可寫）
   • 啟用SSL/TLS加密：

     ssl_enable=YES  
     rsa_cert_file=/etc/ssl/certs/vsftpd.pem  
     rsa_private_key_file=/etc/ssl/private/vsftpd.pem  
     

     生成證書：

     sudo openssl req -x509 -nodes -days 365 -newkey rsa:2048 -keyout /etc/ssl/private/vsftpd.pem -out /etc/ssl/private/vsftpd.pem  
     

   • 被動模式端口范圍：

     pasv_enable=YES  
     pasv_min_port=30000  
     pasv_max_port=31000  
     

3. 配置防火墻（以UFW為例）

   sudo ufw allow 20/tcp  # FTP數據連接  
   sudo ufw allow 21/tcp  # FTP控制連接  
   sudo ufw allow 30000:31000/tcp  # 被動模式端口范圍  
   sudo ufw enable  
   

4. 用戶管理

   • 創建專用FTP用戶并設置強密碼：

     sudo adduser ftpuser  
     sudo passwd ftpuser  
     

   • 禁止FTP用戶通過SSH登錄：

     sudo usermod -s /sbin/nologin ftpuser  
     

5. 啟用日志與監控
   在/etc/vsftpd.conf中添加：

   xferlog_enable=YES  
   xferlog_std_format=YES  
   

   定期檢查日志 /var/log/vsftpd.log。

6. 定期更新與安全加固

   sudo apt update && sudo apt upgrade -y  
   

   可選：使用fail2ban防止暴力破解。

關鍵安全措施：優先使用SFTP（基于SSH）替代FTP，避免明文傳輸；定期審計用戶權限與系統漏洞。