在Debian上限制vsftpd的访问权限可以通过多种方式实现,包括配置vsftpd的配置文件、使用防火墙规则以及设置用户权限。以下是一些常见的方法:
编辑vsftpd的配置文件 /etc/vsftpd.conf 来限制访问权限。
sudo nano /etc/vsftpd.conf
listen=YES:启用独立模式。listen_ipv6=NO:禁用IPv6。anonymous_enable=NO:禁止匿名用户登录。local_enable=YES:允许本地用户登录。write_enable=YES:允许本地用户上传文件。chroot_local_user=YES:将本地用户限制在其主目录中。allow_writeable_chroot=YES:允许chroot目录可写。userlist_enable=YES:启用用户列表。tcp_wrappers=YES:使用TCP Wrappers进行访问控制。创建或编辑用户列表文件 /etc/vsftpd.user_list 和 /etc/vsftpd.user_list_deny。
sudo nano /etc/vsftpd.user_list
在 /etc/vsftpd.user_list 中添加允许访问的用户。
user1
user2
在 /etc/vsftpd.user_list_deny 中添加拒绝访问的用户(如果需要)。
deny_user1
deny_user2
在 /etc/vsftpd.conf 中添加以下行以启用用户列表:
userlist_enable=YES
userlist_file=/etc/vsftpd.user_list
userlist_deny=NO
使用 ufw 或 iptables 来限制FTP访问。
sudo ufw allow 21/tcp
sudo ufw allow 990/tcp # FTPS
sudo ufw allow 40000:50000/tcp # Passive mode ports
sudo ufw enable
sudo iptables -A INPUT -p tcp --dport 21 -j ACCEPT
sudo iptables -A INPUT -p tcp --dport 990 -j ACCEPT # FTPS
sudo iptables -A INPUT -p tcp --dport 40000:50000 -j ACCEPT # Passive mode ports
sudo iptables-save
确保FTP用户的主目录权限正确。
sudo chown ftpuser:ftpuser /home/ftpuser
sudo chmod 755 /home/ftpuser
完成配置后,重启vsftpd服务以应用更改。
sudo systemctl restart vsftpd
通过以上步骤,你可以有效地限制Debian上vsftpd的访问权限,确保只有授权用户可以访问FTP服务器。