1. 安装与基础配置(vsftpd)
选择vsftpd(Very Secure FTP Daemon)作为FTP服务器软件,因其具备高安全性与稳定性。安装命令:sudo yum install vsftpd -y。基础配置需修改/etc/vsftpd/vsftpd.conf文件,关键设置包括:anonymous_enable=NO(禁用匿名访问,防止未授权用户上传/下载文件)、local_enable=YES(允许本地系统用户登录)、write_enable=YES(允许用户写入文件,根据需求调整)、chroot_local_user=YES(将用户锁定在主目录,避免访问系统其他目录)、allow_writeable_chroot=YES(允许chroot目录可写,解决部分用户因目录不可写导致的登录问题)。
2. 用户权限与访问控制
sudo useradd ftpuser创建用户,sudo passwd ftpuser设置强密码(包含大小写字母、数字、特殊字符,长度≥8位)。/etc/vsftpd.userlist文件管理允许登录的用户,配置userlist_enable=YES(启用用户列表)、userlist_deny=NO(仅允许列表内用户登录),添加用户到/etc/vsftpd.userlist(每行一个用户名)。3. 防火墙配置
使用firewalld(CentOS默认防火墙)开放FTP相关端口:
sudo firewall-cmd --permanent --add-port=21/tcp;sudo firewall-cmd --permanent --add-port=1024-1048/tcp;sudo firewall-cmd --reload。iptables,命令为:sudo iptables -A INPUT -p tcp --dport 21 -j ACCEPT、sudo iptables -A INPUT -p tcp --dport 1024:1048 -j ACCEPT,保存规则:sudo service iptables save。4. SSL/TLS加密传输
为防止数据(用户名、密码、文件内容)在传输中被窃取,需启用SSL/TLS加密:
sudo openssl req -x509 -nodes -days 365 -newkey rsa:2048 -keyout /etc/pki/tls/private/vsftpd.key -out /etc/pki/tls/certs/vsftpd.crt(按提示输入国家、组织等信息);vsftpd.conf中添加ssl_enable=YES(启用SSL)、rsa_cert_file=/etc/pki/tls/certs/vsftpd.crt(证书路径)、rsa_private_key_file=/etc/pki/tls/private/vsftpd.key(私钥路径)、force_local_data_ssl=YES(强制数据传输加密)、force_local_logins_ssl=YES(强制登录过程加密)、ssl_tlsv1=YES(启用TLSv1协议)、ssl_sslv2=NO(禁用SSLv2)、ssl_sslv3=NO(禁用SSLv3);sudo systemctl restart vsftpd。5. SELinux配置(若启用)
若SELinux处于enforcing模式,需调整策略允许FTP访问:
sudo setsebool -P ftp_home_dir on;sudo setsebool -P allow_ftpd_full_access on;sudo chcon -Rv --type=public_content_t /home/ftpuser(替换为实际用户目录)。6. 日志与监控
启用详细日志记录,便于追踪异常活动:在vsftpd.conf中设置xferlog_enable=YES(启用传输日志)、xferlog_file=/var/log/vsftpd.log(日志路径)、xferlog_std_format=YES(使用标准日志格式)。定期检查日志:sudo tail -f /var/log/vsftpd.log(实时查看)、sudo grep "FAILED" /var/log/vsftpd.log(查找失败登录尝试)。
7. 定期更新与维护
sudo yum update -y,及时修补vsftpd及系统漏洞;/etc/pam.d/system-auth,添加password requisite pam_pwquality.so retry=5 minlen=8 dcredit=-1 ucredit=-1 lcredit=-1 ocredit=-1(要求密码包含大小写字母、数字、特殊字符,长度≥8位,最多尝试5次);/etc/vsftpd/vsftpd.conf(配置文件)、用户主目录(如/home/ftpuser),防止数据丢失。