Debian系统中vsftpd安全设置

以下是Debian系统中vsftpd的安全设置要点：

1. 基础安全配置

   • 禁用匿名访问：anonymous_enable=NO。
   • 启用本地用户登录：local_enable=YES，并限制用户主目录：chroot_local_user=YES，allow_writeable_chroot=YES。
   • 禁止匿名用户上传/创建目录：anon_upload_enable=NO，anon_mkdir_write_enable=NO。

2. 加密与认证

   • 启用SSL/TLS加密：ssl_enable=YES，配置证书路径（需提前生成证书）。
   • 强制数据传输加密：force_local_data_ssl=YES，force_local_logins_ssl=YES。
   • 使用PAM认证（推荐）：配置/etc/pam.d/vsftpd，限制登录用户。

3. 访问控制

   • 配置防火墙（如ufw）：允许FTP端口（20/21）及被动模式端口范围（如30000-31000）。
   • 限制用户IP访问（可选）：通过/etc/hosts.deny或TCP Wrappers限制特定IP。

4. 日志与监控

   • 启用传输日志：xferlog_enable=YES，xferlog_std_format=YES。
   • 定期检查日志文件（/var/log/vsftpd.log）以发现异常。

5. 其他安全措施

   • 禁用不必要功能：如ls_recurse_enable=NO防止递归目录遍历攻击。
   • 隐藏用户信息：hide_ids=YES避免暴露系统用户信息。
   • 定期更新软件：sudo apt update && sudo apt upgrade vsftpd。

注意：生产环境中建议使用SFTP（基于SSH）替代FTP，安全性更高。配置完成后需重启服务：sudo systemctl restart vsftpd。

参考来源：