centos上vsftp安全设置

以下是CentOS上vsftpd的安全设置要点：

1. 基础安全配置

   • 禁用匿名登录：anonymous_enable=NO。
   • 启用本地用户登录并限制主目录：local_enable=YES+chroot_local_user=YES。
   • 关闭危险功能：ls_recurse_enable=NO、ascii_download_enable=NO。

2. 访问控制

   • 通过user_list文件限制登录用户。
   • 配置防火墙放行FTP端口（默认21）及被动模式端口范围（如40000-50000）。
   • 限制IP访问：编辑/etc/hosts.deny或使用防火墙规则。

3. 加密传输

   • 启用SSL/TLS：ssl_enable=YES，配置证书路径rsa_cert_file/rsa_private_key_file。
   • 强制使用SSL：force_local_data_ssl=YES+force_local_logins_ssl=YES。

4. 权限与日志

   • 设置合理的用户权限：write_enable=YES+local_umask=022（控制上传文件权限）。
   • 启用日志记录：xferlog_enable=YES，定期分析/var/log/xferlog。

5. 系统级安全

   • 配置SELinux：setsebool -P ftp_home_dir=1，限制FTP访问范围。
   • 定期更新软件：yum update vsftpd，修复漏洞。

关键命令参考：

• 重启服务：sudo systemctl restart vsftpd。
• 生成自签名证书：openssl req -x509 -nodes -days 365 -newkey rsa:2048 -keyout /etc/ssl/private/vsftpd.pem -out /etc/ssl/certs/vsftpd.pem。

详细配置可参考官方文档或根据实际需求调整。