CentOS FTPServer安全设置指南

在CentOS上配置FTPS（FTP over SSL/TLS）服务器可以显著提高数据传输的安全性。以下是一个详细的步骤指南，帮助你安全地配置FTPS服务器。

1. 安装vsftpd和必要的软件包

首先，确保你已经安装了vsftpd和SSL/TLS相关的软件包。

sudo yum install vsftpd openssl

2. 配置vsftpd以使用SSL/TLS

生成SSL/TLS证书和密钥

mkdir /etc/ssl/private
openssl req -x509 -nodes -keyout /etc/ssl/private/vsftpd.pem -out /etc/ssl/private/vsftpd.pem -days 365 -newkey rsa:2048

配置vsftpd使用SSL/TLS

编辑vsftpd配置文件 /etc/vsftpd/vsftpd.conf，添加或修改以下配置：

ssl_enable=YES
ssl_tlsv1_2=YES
ssl_sslv2=NO
ssl_sslv3=NO
rsa_cert_file=/etc/ssl/private/vsftpd.pem
rsa_private_key_file=/etc/ssl/private/vsftpd.pem

开放必要的端口

firewall-cmd --zone=public --permanent --add-port=990/tcp
firewall-cmd --zone=public --permanent --add-port=40000-50000/tcp
firewall-cmd --reload

3. 配置防火墙

确保防火墙允许FTP流量通过。

sudo firewall-cmd --permanent --add-port=21/tcp
sudo firewall-cmd --permanent --add-port=990/tcp
sudo firewall-cmd --permanent --add-port=40000-50000/tcp
sudo firewall-cmd --reload

4. 配置SELinux

SELinux可以帮助增强服务器的安全性。

sudo setenforce 1

或者编辑 /etc/selinux/config 文件，将 SELINUX=enforcing。

5. 配置vsftpd以禁用匿名访问

编辑vsftpd配置文件 /etc/vsftpd/vsftpd.conf，添加或修改以下配置：

anonymous_enable=NO
local_enable=YES
write_enable=YES
chroot_local_user=YES
allow_writeable_chroot=YES

6. 重启vsftpd服务

使配置生效：

sudo systemctl restart vsftpd
sudo systemctl enable vsftpd

7. 测试FTPS连接

使用FTP客户端软件（如FileZilla）连接到FTPS服务器，使用配置的SSL/TLS证书和密钥进行身份验证，确保可以成功上传和下载文件。

8. 日志记录和监控

配置日志记录以跟踪服务器活动和安全性。

xferlog_enable=YES
xferlog_std_format=YES

定期检查日志文件以发现潜在问题。

9. 进阶配置（可选）

• 虚拟用户：配置虚拟用户可以进一步提高安全性，并且方便管理用户及其权限。
• IPv6支持：确保FTPS服务器支持IPv6，以提供更广的服务范围。

通过以上步骤，你可以显著提高CentOS FTPS服务器的安全性。确保定期更新系统和软件，以修补已知的安全漏洞，并持续监控服务器的安全状态。