Linux vsftp权限设置：如何确保文件安全

确保Linux vsftpd文件安全可从以下方面设置权限：

1. 限制用户访问范围

   • 禁止匿名登录：anonymous_enable=NO。
   • 启用chroot_local_user=YES，将用户锁定在主目录，避免访问系统关键路径。
   • 若需允许用户访问特定目录，可通过local_root指定主目录路径。

2. 控制文件操作权限

   • 允许上传/下载：write_enable=YES。
   • 设置目录权限：用户主目录设置为750（所有者可读写执行，其他用户无权限），子目录（如上传目录）设置为755或775（根据需求允许组内访问）。
   • 使用chown和chmod命令确保文件所有权和权限正确，例如：

     sudo chown ftpuser:ftpuser /home/ftpuser/ftp/files  
     sudo chmod 755 /home/ftpuser/ftp/files  
     ```。  
     
     

3. 增强传输安全

   • 启用SSL/TLS加密：ssl_enable=YES，并配置证书路径。
   • 限制被动模式端口范围（如pasv_min_port=40000，pasv_max_port=50000），减少被攻击风险。

4. 用户管理与认证

   • 创建专用FTP用户，禁止其登录SSH：usermod -s /sbin/nologin ftpuser。
   • 使用用户列表（userlist_enable=YES）限制仅允许特定用户访问。

5. 防火墙与日志

   • 配置防火墙开放FTP端口（21）及被动模式端口范围。
   • 启用日志记录：xferlog_enable=YES，便于追踪异常操作。

关键命令示例：

# 创建FTP用户并设置主目录  
sudo useradd -m -s /sbin/nologin ftpuser  
sudo mkdir -p /home/ftpuser/ftp/files  
sudo chown ftpuser:ftpuser /home/ftpuser/ftp/files  
sudo chmod 755 /home/ftpuser/ftp/files  

# 配置vsftpd.conf关键参数  
sudo nano /etc/vsftpd.conf  
# 添加/修改以下内容：  
local_enable=YES  
write_enable=YES  
chroot_local_user=YES  
allow_writeable_chroot=YES  
ssl_enable=YES  
pasv_min_port=40000  
pasv_max_port=50000  

# 重启服务  
sudo systemctl restart vsftpd  

通过以上设置，可有效限制用户权限、加密传输数据，降低文件泄露和未授权访问风险。