Debian上vsftpd安全设置指南

1. 安装vsftpd

首先更新系统软件包并安装vsftpd：

sudo apt update && sudo apt upgrade -y
sudo apt install vsftpd -y

2. 基础安全配置（修改/etc/vsftpd.conf）

编辑vsftpd主配置文件，调整以下核心参数以提升安全性：

• 禁用匿名访问：彻底关闭匿名用户登录，避免未授权访问。

  anonymous_enable=NO
  

• 允许本地用户登录：仅允许系统本地用户通过FTP登录（需配合后续chroot限制）。

  local_enable=YES
  

• 开启写权限：根据需求启用用户上传/修改文件的权限（若无需上传，可设为NO）。

  write_enable=YES
  

• 限制用户至主目录（chroot）：将用户锁定在自己的家目录，防止访问系统其他路径。

  chroot_local_user=YES
  allow_writeable_chroot=YES  # 允许chroot目录可写（避免“550 Failed to change directory”错误）
  

• 启用被动模式：解决FTP在防火墙/NAT环境下的连接问题，指定被动模式端口范围。

  pasv_enable=YES
  pasv_min_port=50000
  pasv_max_port=50010
  

• 禁用不必要的功能：关闭匿名用户的上传、创建目录等权限。

  anon_upload_enable=NO
  anon_mkdir_write_enable=NO
  anon_other_write_enable=NO
  

3. 安全增强配置

3.1 启用SSL/TLS加密

为避免数据传输被窃听，需配置TLS加密（使用自签名证书或权威机构颁发的证书）：

• 生成自签名证书（有效期365天）：

  sudo openssl req -x509 -nodes -days 365 -newkey rsa:2048 -keyout /etc/ssl/private/vsftpd.pem -out /etc/ssl/private/vsftpd.pem
  

• 修改配置文件：强制使用SSL/TLS加密数据和控制连接。

  ssl_enable=YES
  force_local_data_ssl=YES
  force_local_logins_ssl=YES
  ssl_tlsv1=YES
  ssl_sslv2=NO
  ssl_sslv3=NO
  rsa_cert_file=/etc/ssl/private/vsftpd.pem
  rsa_private_key_file=/etc/ssl/private/vsftpd.pem
  

3.2 限制登录用户

通过userlist功能控制允许访问FTP的用户列表：

• 创建用户列表文件：

  sudo nano /etc/vsftpd.userlist
  

  添加允许登录的用户名（每行一个），例如：

  ftpuser1
  ftpuser2
  

• 修改配置文件：启用用户列表并设置允许模式（userlist_deny=NO表示仅允许列表内的用户登录）。

  userlist_enable=YES
  userlist_file=/etc/vsftpd.userlist
  userlist_deny=NO
  

4. 防火墙配置

使用ufw（Uncomplicated Firewall）允许FTP流量及被动模式端口：

sudo ufw allow 20/tcp    # FTP数据连接（主动模式）
sudo ufw allow 21/tcp    # FTP控制连接
sudo ufw allow 50000:50010/tcp  # 被动模式端口范围
sudo ufw enable          # 启用防火墙

5. 重启服务并验证

应用配置更改并重启vsftpd服务：

sudo systemctl restart vsftpd
sudo systemctl enable vsftpd  # 设置开机自启

使用FTP客户端（如FileZilla）连接服务器，验证：

• 匿名用户无法登录；
• 允许列表内的用户可正常登录；
• 数据传输加密（客户端提示“SSL/TLS连接已建立”）。

6. 日志与监控

启用详细日志记录，便于追踪FTP活动及排查安全事件：

xferlog_enable=YES
xferlog_std_format=YES
xferlog_file=/var/log/vsftpd.log

定期检查日志文件：

sudo tail -f /var/log/vsftpd.log

注意事项：

• 生产环境中建议使用SFTP（基于SSH的文件传输协议）替代FTP，进一步提升安全性；
• 定期更新vsftpd至最新版本，修补已知漏洞；
• 避免使用弱密码，建议为用户设置复杂密码或使用密钥认证。