Ubuntu vsftp如何進行安全加固

以下是Ubuntu vsftpd的安全加固步驟：

1. 安裝vsftpd

   sudo apt update && sudo apt install vsftpd  
   

2. 配置vsftpd

   • 禁用匿名訪問：修改/etc/vsftpd.conf，設置anonymous_enable=NO。
   • 限制用戶目錄：啟用chroot_local_user=YES，將用戶限制在主目錄，配合allow_writeable_chroot=YES允許寫入。
   • 啟用被動模式端口范圍：設置pasv_min_port和pasv_max_port（如30000-31000），避免使用默認端口。
   • 啟用日志記錄：添加xferlog_enable=YES，記錄傳輸行為。

3. 防火墻配置
   使用ufw放行FTP控制端口（21）和被動模式端口范圍：

   sudo ufw allow 21/tcp  
   sudo ufw allow 30000:31000/tcp  
   sudo ufw reload  
   

4. 啟用TLS/SSL加密

   • 安裝SSL工具并生成證書：

     sudo apt install openssl  
     sudo openssl req -new -x509 -days 365 -nodes -out /etc/ssl/certs/ftp.crt -keyout /etc/ssl/private/ftp.key  
     

   • 編輯/etc/vsftpd.conf，添加：

     ssl_enable=YES  
     rsa_cert_file=/etc/ssl/certs/ftp.crt  
     rsa_private_key_file=/etc/ssl/private/ftp.key  
     

   • 重啟服務：sudo systemctl restart vsftpd。

5. 用戶權限管理

   • 創建專用FTP用戶，禁止SSH登錄：

     sudo useradd -m -s /sbin/nologin ftpuser  
     sudo passwd ftpuser  
     

   • 限制用戶主目錄權限：sudo chmod 755 /home/ftpuser，上傳目錄單獨授權（如/home/ftpuser/upload設為775）。

6. 定期更新與維護
   定期執行sudo apt update && sudo apt upgrade，修補系統及軟件漏洞。

可選增強措施：

• 使用強密碼策略，啟用用戶密碼復雜度要求。
• 考慮禁用明文傳輸，強制使用FTPS（需客戶端支持）。