在CentOS上安全加固FTPS(FTP over SSL/TLS)服务器涉及多个步骤,包括配置防火墙、禁用不必要的服务、设置强密码策略、启用SSL/TLS加密等。以下是一个详细的指南:
首先,确保你已经安装了vsftpd。如果没有安装,可以使用以下命令进行安装:
sudo yum install vsftpd
安装完成后,编辑vsftpd的配置文件 /etc/vsftpd/vsftpd.conf:
sudo vi /etc/vsftpd/vsftpd.conf
在配置文件中,禁用匿名访问:
anonymous_enable=NO
允许本地用户登录,并限制对文件系统的写权限:
local_enable=YES
write_enable=YES
local_umask=022
SELinux可以帮助你限制FTP用户对文件和目录的访问。你可以通过以下命令启用SELinux:
sudo setenforce 1
或者编辑 /etc/selinux/config 文件,将其设置为 permissive 模式:
SELINUX=permissive
然后重启系统使修改生效:
sudo reboot
使用 firewalld 配置防火墙,只允许必要的端口通过:
sudo firewall-cmd --zone=public --permanent --add-port=21/tcp
sudo firewall-cmd --zone=public --permanent --add-service=ftp
sudo firewall-cmd --reload
为了加密数据传输,建议使用SSL/TLS。你可以通过以下命令启用FTPS:
sudo yum install mod_ssl
然后在vsftpd配置文件中添加以下行:
ssl_enable=YES
rsa_cert_file=/etc/pki/tls/certs/ca-bundle.crt
rsa_private_key_file=/etc/pki/tls/private/server-key.pem
创建一个FTP用户并设置密码:
sudo useradd -m ftpuser
sudo passwd ftpuser
使用FTP客户端连接到服务器,测试是否可以成功登录和进行文件传输。
定期更新系统和软件包,以获取最新的安全修复和功能更新:
sudo yum update
定期检查FTP服务器的日志文件,如 /var/log/secure,以识别和解决安全问题。