centos下vsftp安全设置

以下是CentOS下vsFTP的安全设置要点：

1. 基础配置

   • 安装vsftpd：sudo yum install vsftpd。
   • 启动服务并开机自启：sudo systemctl start vsftpd && sudo systemctl enable vsftpd。

2. 用户权限控制

   • 禁止匿名登录：anonymous_enable=NO。
   • 允许本地用户登录并写入：local_enable=YES、write_enable=YES。
   • 锁定用户至主目录（chroot）：chroot_local_user=YES，并确保主目录权限为755。
   • 如需允许特定用户访问其他目录，可通过chroot_list配置例外用户。

3. 防火墙与端口

   • 开放FTP端口（默认21）及被动模式端口范围（如30000-31000）：
     sudo firewall-cmd --permanent --add-port=21/tcp --add-port=30000-31000/tcp --reload。

4. 加密与安全增强

   • 启用TLS/SSL加密传输（需提前配置SSL证书）：
     ssl_enable=YES、rsa_cert_file=/path/to/cert.pem。
   • 禁用不安全的SSL协议版本：ssl_sslv2=NO、ssl_sslv3=NO。

5. SELinux配置（若启用）

   • 允许FTP访问用户主目录：sudo setsebool -P ftp_home_dir 1。
   • 根据需求调整其他SELinux策略，避免过度限制。

6. 日志与监控

   • 启用传输日志：xferlog_enable=YES、xferlog_std_format=YES。
   • 定期检查/var/log/xferlog，监控异常访问。

7. 其他安全措施

   • 禁止用户通过FTP访问SSH：确保用户shell为/sbin/nologin。
   • 定期更新vsftpd软件包，修补漏洞。

配置完成后需重启服务生效：sudo systemctl restart vsftpd。

参考来源：[1,2,3,4,5,6,7,8,9,10,11]