Linux vsftp防火墙设置：如何确保服务器安全

Linux vsftpd 防火墙与安全加固指南

一、基础安全原则

禁用匿名访问：设置 anonymous_enable=NO，仅允许受控的本地或虚拟用户登录。
限制用户根目录：启用 chroot_local_user=YES，必要时配合 allow_writeable_chroot=YES（注意某些发行版/版本对可写 chroot 有约束，需按实际调整）。
启用加密传输：开启 ssl_enable=YES，并强制本地登录与数据传输使用 TLS（见下文配置片段），避免明文凭据与数据泄露。
最小暴露面：只开放必要的端口（控制连接与被动端口范围），并限制来源 IP（见下文防火墙与 IP 白名单）。

二、防火墙放行与控制连接

主动模式要点：控制通道使用 21/TCP；数据通道通常由服务器主动连接到客户端高位端口，需要在服务器侧放行 20/TCP 出站（大多数云厂商安全组默认允许实例出站，若受限需显式放开）。
被动模式要点：控制通道仍为 21/TCP；数据通道由服务器在被动端口范围监听，需在防火墙中放行该范围。为减少攻击面，建议将范围收窄到较小区间（如 1024–1048、10000–10100、或 49152–65535 中的一段），并在 vsftpd 配置中与之保持一致。
加密端口：若使用 FTPS（FTP over SSL/TLS），需放行 990/TCP。
不同发行版常用放行方式如下（择一使用，不要混用）：

发行版/工具	放行示例	说明
Debian/Ubuntu（ufw）	ufw allow 21/tcp；ufw allow <PASV_MIN>-<PASV_MAX>/tcp；按需 ufw allow 990/tcp	简洁易用，适合快速配置
RHEL/CentOS（firewalld）	firewall-cmd --permanent --add-port=21/tcp；firewall-cmd --permanent --add-port=<PASV_MIN>-<PASV_MAX>/tcp；firewall-cmd --reload	生产常用，支持富规则与 zone
通用（iptables）	iptables -A INPUT -p tcp --dport 21 -j ACCEPT；iptables -A INPUT -p tcp --dport <PASV_MIN>-<PASV_MAX> -j ACCEPT	需自行持久化规则

提示：主动模式的 20/TCP 通常为“服务器出站”数据连接，一般无需在 INPUT 链显式放行；若客户端位于严格 NAT/防火墙后，被动模式更易穿透与排障。

三、vsftpd 关键配置片段

基本安全与登录
- anonymous_enable=NO
- local_enable=YES
- write_enable=YES
- chroot_local_user=YES
- allow_writeable_chroot=YES（如发行版支持；否则考虑使用不可写 chroot + 上传目录授权）
被动模式端口范围（与防火墙保持一致）
- pasv_enable=YES
- pasv_min_port=10000
- pasv_max_port=10100
- 可选：pasv_address=服务器公网IP（NAT/云环境建议显式指定）
SSL/TLS 加密
- ssl_enable=YES
- force_local_data_ssl=YES
- force_local_logins_ssl=YES
- ssl_tlsv1=YES；ssl_sslv2=NO；ssl_sslv3=NO
- rsa_cert_file=/etc/ssl/private/vsftpd.pem
- rsa_private_key_file=/etc/ssl/private/vsftpd.pem
用户访问控制
- userlist_enable=YES
- userlist_file=/etc/vsftpd.userlist
- userlist_deny=NO（白名单模式：仅列表内用户可登录）
日志与排障
- xferlog_enable=YES
- 建议启用日志轮转，并定期审计 /var/log/vsftpd.log。

四、访问控制与系统加固

来源 IP 白名单
- firewalld 富规则示例：firewall-cmd --permanent --zone=public --add-rich-rule=‘rule family=“ipv4” source address=“203.0.113.10” port port=“21” protocol=“tcp” accept’；firewall-cmd --reload
- 或按端口范围放行：firewall-cmd --permanent --add-rich-rule=‘rule family=“ipv4” source address=“203.0.113.0/24” port port=“10000-10100” protocol=“tcp” accept’；firewall-cmd --reload
- 也可使用 iptables 对 21/TCP 与被动端口范围按源 IP 精确放行，其余默认丢弃。
SELinux（RHEL/CentOS）
- 常见需求：setsebool -P ftp_home_dir on；setsebool -P allow_ftpd_full_access on（按需启用，避免过度授权）。
服务与端口变更
- 若自定义控制端口（如非 21/TCP），需同步修改防火墙与 vsftpd 的 listen_port，并重启服务生效。

五、快速验证与运维

连通性与被动端口
- 使用 lftp 或 FileZilla 连接，启用 TLS 显式加密；在客户端观察是否成功建立数据通道，服务器端用 ss -lntp | grep :21 与 ss -lntp | egrep ‘:<PASV_MIN>|:<PASV_MAX>’ 检查监听。
日志与告警
- 定期检查 /var/log/vsftpd.log，关注失败登录与异常 IP；结合 fail2ban 对 21/TCP 进行暴力破解封禁（可选）。
规则持久化与回滚
- ufw：修改后执行 ufw reload；iptables：iptables-save > /etc/iptables/rules.v4；firewalld：firewall-cmd --reload。变更前先备份现有规则，变更后在维护窗口内验证业务可用性。

最新问答