vsftp在Debian的安全设置

Debian 上 vsftpd 的安全加固清单

一 基础安装与最小安全基线

• 安装与启用服务
  • 执行：sudo apt update && sudo apt install vsftpd -y
  • 启用：sudo systemctl enable --now vsftpd
• 最小安全基线 /etc/vsftpd.conf
  • 禁用匿名：anonymous_enable=NO
  • 仅本地用户：local_enable=YES
  • 按需写权限：write_enable=NO（上传/删除前再临时开启）
  • 日志审计：xferlog_enable=YES、xferlog_std_format=YES
  • 连接与时间：connect_from_port_20=YES、use_localtime=YES、dirmessage_enable=YES
  • 说明：以上为最小安全基线，后续按业务在“可写”与“隔离”之间做权衡。

二 身份隔离与访问控制

• 用户隔离
  • 推荐：chroot_local_user=YES（将本地用户锁在家目录）
  • 若需“可写 chroot”，使用：allow_writeable_chroot=YES（存在一定风险，见下文“注意事项”）
  • 或采用白名单方式：userlist_enable=YES、userlist_deny=NO、userlist_file=/etc/vsftpd.userlist
• 禁止 FTP 用户登录系统 Shell
  • 创建专用系统账号：sudo useradd -d /home/ftpuser -s /usr/sbin/nologin ftpuser
  • 确保 /usr/sbin/nologin 在 /etc/shells 中，避免 PAM 拒绝登录
• 认证方式扩展（按需）
  • 本地 PAM、虚拟用户（PAM + userdb）、LDAP、RADIUS 等均可与 vsftpd 集成，便于集中账号与审计。

三 加密传输与证书配置

• 启用 TLS/SSL（FTPS）
  • 生成自签名证书（测试/内网）：
    • sudo mkdir -p /etc/ssl/private && sudo chmod 700 /etc/ssl/private
    • sudo openssl req -x509 -nodes -days 365 -newkey rsa:2048 -keyout /etc/ssl/private/vsftpd.pem -out /etc/ssl/private/vsftpd.pem
  • 生产证书：可用 Let’s Encrypt 获取证书后，将证书与私钥路径配置到 vsftpd（证书链与私钥合并或分别指定）
• vsftpd.conf 关键项
  • ssl_enable=YES
  • allow_anon_ssl=NO
  • force_local_data_ssl=YES、force_local_logins_ssl=YES
  • 协议与套件：ssl_tlsv1_2=YES、ssl_tlsv1_3=YES、ssl_sslv2=NO、ssl_sslv3=NO、ssl_ciphers=HIGH
  • 证书路径：rsa_cert_file=/etc/ssl/private/vsftpd.pem、rsa_private_key_file=/etc/ssl/private/vsftpd.pem
• 客户端连接
  • 显式使用 FTPS（990/TCP） 或“显式 FTP over TLS”，避免明文传输。

四 被动模式端口与防火墙

• 配置被动端口范围（两端一致）
  • pasv_enable=YES
  • pasv_min_port=30000、pasv_max_port=31000
• 防火墙放行（示例 UFW）
  • 命令：sudo ufw allow 21/tcp、sudo ufw allow 990/tcp、sudo ufw allow 30000:31000/tcp
  • 说明：若使用云厂商安全组，同样需放行上述端口区间。

五 资源限制与运维审计

• 传输与连接限制
  • 带宽限制（字节/秒）：anon_max_rate=307200（约 300 KB/s）、local_max_rate=307200
  • 并发限制：max_clients=100、max_per_ip=5
• 日志与监控
  • 启用传输日志：xferlog_enable=YES、xferlog_std_format=YES
  • 定期检查：/var/log/vsftpd.log 或系统日志，关注异常登录与大量传输
• 安全注意事项
  • 避免使用明文 FTP；优先 FTPS 或 SFTP（基于 SSH，端口 22/TCP）
  • 谨慎开启 allow_writeable_chroot；更安全的做法是：chroot 后通过“不可写根 + 可写子目录（如 upload）”来授权，例如：
    • chown ftpuser:ftpuser /home/ftpuser/upload && chmod 755 /home/ftpuser && chmod 775 /home/ftpuser/upload
  • 定期更新系统与 vsftpd：sudo apt update && sudo apt upgrade vsftpd
  • 如需更高安全与免维护证书，可优先采用 SFTP 替代 FTP。