Linux VSFTP如何配置更安全

以下是Linux VSFTP的安全配置要点：

1. 禁用匿名访问：设置anonymous_enable=NO，避免未授权用户访问。
2. 限制用户权限：
   • 启用chroot_local_user=YES，将用户限制在主目录，防止越权访问。
   • 配置allow_writeable_chroot=YES，允许用户在主目录内写入（避免权限报错）。
3. 启用SSL/TLS加密：
   • 安装SSL工具并生成证书，配置ssl_enable=YES，指定证书路径。
   • 强制使用TLS协议，禁用SSLv2/SSLv3：ssl_tlsv1=YES，ssl_sslv2=NO，ssl_sslv3=NO。
4. 控制连接与端口：
   • 限制FTP数据端口范围（如pasv_min_port=30000，pasv_max_port=31000），减少扫描风险。
   • 修改默认FTP端口（如从21改为2123），并更新防火墙规则。
5. 防范暴力破解：
   • 使用xinetd模式限制并发连接数（instances=20）和IP连接频率。
   • 结合iptables或ufw限制异常IP访问。
6. 日志与监控：
   • 启用传输日志xferlog_enable=YES，记录用户操作。
   • 定期分析日志，检测异常登录或文件操作。
7. 其他安全措施：
   • 禁止FTP用户登录SSH：通过/etc/ssh/sshd_config设置DenyUsers。
   • 定期更新VSFTP软件，修复安全漏洞。

配置示例（关键参数）：

# /etc/vsftpd.conf
anonymous_enable=NO
local_enable=YES
write_enable=YES
chroot_local_user=YES
allow_writeable_chroot=YES
ssl_enable=YES
rsa_cert_file=/etc/ssl/private/vsftpd.pem
rsa_private_key_file=/etc/ssl/private/vsftpd.pem
force_local_data_ssl=YES
force_local_logins_ssl=YES
pasv_min_port=30000
pasv_max_port=31000
xferlog_enable=YES

参考来源：