CentOS FTP Server如何进行安全加固 - 问答

CentOS FTP Server 安全加固实操指南

一基础安全配置

安装并启用服务：使用 vsftpd 作为示例，执行安装、启动与开机自启。
- 命令：sudo yum install -y vsftpd && sudo systemctl start vsftpd && sudo systemctl enable vsftpd
禁用匿名访问：编辑 /etc/vsftpd/vsftpd.conf，设置 anonymous_enable=NO
仅允许本地用户：设置 local_enable=YES，并按需开启 write_enable=YES
限制用户访问范围：启用 chroot 将用户限制在其主目录，优先使用 chroot_local_user=YES 并配合用户列表；如需写入，建议通过专用可写子目录而非将主目录设为可写，避免 allow_writeable_chroot=YES 带来的风险
用户访问控制：启用用户白名单
- 配置：userlist_enable=YES、userlist_file=/etc/vsftpd.userlist、userlist_deny=NO
- 将允许登录的用户逐行写入 /etc/vsftpd.userlist
禁止 FTP 用户通过 SSH 登录：为 FTP 专用账户设置受限 shell，例如 usermod -s /sbin/nologin ftpuser
日志与审计：开启传输与登录日志
- 配置：xferlog_enable=YES、xferlog_std_format=YES，并持续关注 /var/log/secure 与 /var/log/vsftpd.log 的异常行为

二加密传输与端口规划

启用 FTPS（Explicit SSL/TLS）：在 /etc/vsftpd/vsftpd.conf 中配置
- 核心参数：
  - ssl_enable=YES
  - allow_anon_ssl=NO
  - force_local_data_ssl=YES
  - force_local_logins_ssl=YES
  - 协议与套件：ssl_tlsv1=YES，并禁用不安全协议 ssl_sslv2=NO、ssl_sslv3=NO
- 证书与密钥：使用受信任 CA 或 Let’s Encrypt 证书，示例路径
  - rsa_cert_file=/etc/letsencrypt/live/yourdomain.com/fullchain.pem
  - rsa_private_key_file=/etc/letsencrypt/live/yourdomain.com/privkey.pem
被动模式端口范围：为数据通道固定端口段，便于防火墙放行
- 配置：pasv_min_port=30000、pasv_max_port=31000
防火墙放行：
- 命令：sudo firewall-cmd --permanent --add-port=21/tcp
- 命令：sudo firewall-cmd --permanent --add-port=990/tcp（FTPS 显式端口）
- 命令：sudo firewall-cmd --permanent --add-port=30000-31000/tcp
- 命令：sudo firewall-cmd --reload
连接验证：
- 使用支持 SSL 的客户端（如 FileZilla）选择 FTP over TLS
- 命令行验证：openssl s_client -connect yourdomain.com:21 -starttls ftp
可选替代方案：若无需 FTP 协议，建议优先采用 SFTP（基于 SSH），通过系统自带 OpenSSH 提供服务，减少明文与协议攻击面

三身份鉴别与权限控制

强化口令策略：在 /etc/pam.d/system-auth 中使用 pam_pwquality.so 设置复杂度
- 示例：password requisite pam_pwquality.so retry=5 minlen=8 dcredit=-1 ucredit=-1 lcredit=-1 ocredit=-1
专用 FTP 账户与目录：
- 创建：sudo useradd -m ftpuser && sudo passwd ftpuser
- 限制登录 Shell：usermod -s /sbin/nologin ftpuser
- 目录与权限：为用户创建专用目录（如 /data/ftp），将可写目录与只读目录分离，例如仅对 /data/ftp/pub 赋予写权限，避免主目录可写
精细目录权限：对上传目录设置合适的属主与权限，避免跨用户访问
- 示例：chown ftpuser:ftpuser /data/ftp/pub && chmod 755 /data/ftp && chmod 775 /data/ftp/pub
SELinux 与布尔值：
- 启用家目录访问：sudo setsebool -P ftp_home_dir on
- 如需对特定目录设置上下文，可使用 semanage fcontext 与 restorecon 进行持久化标记

四防火墙与系统加固

防火墙最小化放行：仅开放 21/tcp（控制）、990/tcp（FTPS 显式） 与被动端口段 30000–31000/tcp（数据）
- 命令：sudo firewall-cmd --permanent --add-port=21/tcp、sudo firewall-cmd --permanent --add-port=990/tcp、sudo firewall-cmd --permanent --add-port=30000-31000/tcp、sudo firewall-cmd --reload
系统与服务更新：定期执行 sudo yum update 与安全补丁更新，降低漏洞利用风险
日志与监控：持续审计 /var/log/secure、/var/log/vsftpd.log，对失败登录、异常 IP、频繁连接等设置告警
备份与变更管理：对 /etc/vsftpd/ 配置与用户目录进行定期备份，变更前评估回滚方案

五快速核查清单

检查项	期望配置/状态
匿名访问	`anonymous_enable=NO`
本地用户	`local_enable=YES`，`write_enable` 按需
用户隔离	`chroot_local_user=YES`，配合 `/etc/vsftpd.userlist` 白名单
加密传输	`ssl_enable=YES`、`force_local_data_ssl=YES`、`force_local_logins_SSL=YES`，禁用 SSLv2/3
被动端口	`pasv_min_port=30000`、`pasv_max_port=31000` 且已放行
防火墙	已放行 21/tcp、990/tcp、30000–31000/tcp
日志	`xferlog_enable=YES`，审计 /var/log/secure 与 /var/log/vsftpd.log
账户安全	FTP 专用账户 `nologin` Shell，目录权限最小化
系统维护	定期 `yum update`，配置与数据定期备份

0 赞

0 踩