1. 选择安全FTP协议(FTPS/SFTP)
避免使用明文传输的FTP协议,优先选择FTPS(FTP over SSL/TLS)或SFTP(SSH File Transfer Protocol)。FTPS通过SSL/TLS加密数据和控制连接,SFTP则基于SSH协议传输,安全性更高。Ubuntu上可通过vsftpd(支持FTPS)或OpenSSH(支持SFTP)实现。
2. 配置vsftpd强化安全参数
编辑/etc/vsftpd.conf文件,设置以下关键参数:
anonymous_enable=NO,防止未授权用户访问;chroot_local_user=YES(将用户限制在主目录)、allow_writeable_chroot=YES(允许chroot环境写入,避免权限错误);write_enable=YES(允许用户上传/修改文件,根据需求调整);ssl_sslv2=NO、ssl_sslv3=NO(禁用SSLv2/SSLv3,避免已知漏洞)。3. 启用SSL/TLS加密传输
sudo openssl req -x509 -nodes -days 365 -newkey rsa:2048 -keyout /etc/ssl/private/vsftpd.pem -out /etc/ssl/private/vsftpd.pem;/etc/vsftpd.conf中添加:ssl_enable=YES(启用SSL)、rsa_cert_file=/etc/ssl/private/vsftpd.pem(证书路径)、rsa_private_key_file=/etc/ssl/private/vsftpd.pem(私钥路径)、force_local_data_ssl=YES(强制数据连接加密)、force_local_logins_ssl=YES(强制登录加密);sudo systemctl restart vsftpd使配置生效。4. 配置防火墙限制访问
使用UFW(Uncomplicated Firewall)控制FTP流量,仅允许必要端口:
sudo ufw allow 21/tcp(FTP控制连接)、sudo ufw allow 990/tcp(FTPS控制连接);sudo ufw allow 30000:31000/tcp(或自定义范围,如40000:50000),需与vsftpd配置中的pasv_min_port/pasv_max_port一致;sudo ufw enable并检查状态sudo ufw status。5. 严格管理用户权限
sudo adduser ftpuser(设置强密码),避免使用root用户;sudo usermod -d /home/ftpuser ftpuser(将用户主目录设为FTP根目录),防止越权访问系统文件;/etc/vsftpd.conf中添加userlist_enable=YES、userlist_file=/etc/vsftpd.user_list、userlist_deny=NO,仅允许列表中的用户登录。6. 使用fail2ban防止暴力破解
安装fail2ban监控FTP登录尝试,自动封禁频繁失败的IP:
sudo apt install fail2ban;/etc/fail2ban/jail.local,添加:[vsftpd]enabled = trueport = ftpfilter = vsftpdlogpath = /var/log/vsftpd.logbantime = 3600(封禁1小时);sudo systemctl restart fail2ban。7. 定期更新与审计
sudo apt update && sudo apt upgrade -y,及时修复已知漏洞;/var/log/vsftpd.log(或配置的日志路径),监控异常登录、文件操作等活动,及时发现潜在威胁。