Ubuntu vsftp如何进行安全加固

以下是Ubuntu vsftpd的安全加固步骤：

1. 安装vsftpd

   sudo apt update && sudo apt install vsftpd  
   

2. 配置vsftpd

   • 禁用匿名访问：修改/etc/vsftpd.conf，设置anonymous_enable=NO。
   • 限制用户目录：启用chroot_local_user=YES，将用户限制在主目录，配合allow_writeable_chroot=YES允许写入。
   • 启用被动模式端口范围：设置pasv_min_port和pasv_max_port（如30000-31000），避免使用默认端口。
   • 启用日志记录：添加xferlog_enable=YES，记录传输行为。

3. 防火墙配置
   使用ufw放行FTP控制端口（21）和被动模式端口范围：

   sudo ufw allow 21/tcp  
   sudo ufw allow 30000:31000/tcp  
   sudo ufw reload  
   

4. 启用TLS/SSL加密

   • 安装SSL工具并生成证书：

     sudo apt install openssl  
     sudo openssl req -new -x509 -days 365 -nodes -out /etc/ssl/certs/ftp.crt -keyout /etc/ssl/private/ftp.key  
     

   • 编辑/etc/vsftpd.conf，添加：

     ssl_enable=YES  
     rsa_cert_file=/etc/ssl/certs/ftp.crt  
     rsa_private_key_file=/etc/ssl/private/ftp.key  
     

   • 重启服务：sudo systemctl restart vsftpd。

5. 用户权限管理

   • 创建专用FTP用户，禁止SSH登录：

     sudo useradd -m -s /sbin/nologin ftpuser  
     sudo passwd ftpuser  
     

   • 限制用户主目录权限：sudo chmod 755 /home/ftpuser，上传目录单独授权（如/home/ftpuser/upload设为775）。

6. 定期更新与维护
   定期执行sudo apt update && sudo apt upgrade，修补系统及软件漏洞。

可选增强措施：

• 使用强密码策略，启用用户密码复杂度要求。
• 考虑禁用明文传输，强制使用FTPS（需客户端支持）。