Ubuntu 上 FileZilla 的安全性
在 Ubuntu 上使用 FileZilla 可以满足大多数文件传输的安全需求,但安全性取决于你选择的协议、是否及时更新以及本地与服务器的配置。总体建议:避免使用明文 FTP;优先采用 SFTP 或 FTPS;保持客户端与服务器组件为最新版本;并启用证书校验与本地凭据保护。
已知风险与修复状态
- 影响范围:FileZilla 在 3.24.1–3.66.5 版本中存在与 ECDSA NIST P‑521 相关的随机数偏差问题(业内称为 CVE‑2024‑31497 的连带影响),可能导致长期使用的 P‑521 私钥被恢复。
- 修复版本:升级至 FileZilla ≥ 3.67.0 可修复该问题。
- 处置要点:若曾用 P‑521 ECDSA 密钥连接过不可信服务器,建议立即从所有服务器的 authorized_keys 及代码平台(如 GitHub/GitLab)撤销该公钥,并生成新密钥(优先 Ed25519 或 ECDSA P‑256)后重新分发。
- 说明:该问题并非 SSH 协议本身的漏洞,而是特定实现中的签名随机性缺陷,修复后需配合密钥轮换与更新才能彻底消除风险。
更安全的配置建议
- 协议与端口
- 优先使用 SFTP(端口 22) 或 FTPS(显式 FTP over TLS,端口 21/990);严禁在生产环境使用明文 FTP。
- 在站点管理器中为 FTPS 选择“要求显式 FTP over TLS”,并开启服务器证书校验。
- 身份与凭据
- SFTP 推荐使用 SSH 密钥认证,禁用口令登录;为私钥设置强口令并妥善保存。
- 启用 FileZilla 的“主密码”以加密本地保存的密码/私钥。
- 服务器侧(若使用 FileZilla Server)
- 启用 TLS/SSL 加密;为管理接口设置强密码并考虑修改默认管理端口 14147;通过 IP 过滤器 限制来源;按需创建用户与共享目录并遵循最小权限原则;定期更新与备份配置。
- 系统与网络
- 使用 ufw 等防火墙仅放行必要端口(如 22、990);仅在内网或受控网络中使用明文协议。
- 审计与运维
- 启用传输与消息日志,定期检查异常登录/传输行为;保持 FileZilla 客户端与服务器 组件及时更新。
快速自检清单
- 版本是否为 ≥ 3.67.0(规避 CVE‑2024‑31497 连带风险)。
- 是否仅使用 SFTP/FTPS,并已开启证书/指纹校验。
- 是否禁用明文 FTP,且防火墙仅放行 22/990 等必要端口。
- 是否启用“主密码”,SFTP 是否使用 SSH 密钥 而非口令。
- 若曾用 ECDSA P‑521 密钥,是否已撤销并更换为 Ed25519/P‑256。