防止Debian vsftp暴力破解可采取以下措施:
- 使用Fail2Ban:安装并配置Fail2Ban,自动检测并阻止多次登录失败的IP地址。
- 限制登录尝试:通过PAM配置(如
pam_tally2.so)限制单个IP的登录尝试次数,超过阈值则锁定账户。
- 启用SSL/TLS加密:配置vsftpd使用SSL/TLS加密传输数据,防止密码在传输中被窃取。
- 配置防火墙:使用ufw或iptables限制FTP端口(21、20)的访问,仅允许必要IP地址连接。
- 禁用匿名访问:在
/etc/vsftpd.conf中设置anonymous_enable=NO,禁止匿名用户登录。
- 限制用户权限:通过
chroot_local_user=YES将用户限制在其主目录,避免访问系统其他文件。
- 修改默认端口:将FTP默认端口21更改为非标准端口,减少被扫描攻击的风险。
- 定期更新系统:及时更新vsftpd和系统补丁,修复已知安全漏洞。