限制Linux FTP服务器的访问权限是确保系统安全的重要步骤。以下是一些常见的方法来限制FTP服务器的访问权限:
vsftpd(Very Secure FTP Daemon)是一个流行的FTP服务器软件,提供了多种配置选项来限制访问权限。
编辑/etc/vsftpd/vsftpd.conf文件,进行以下配置:
# 只允许本地用户登录
local_enable=YES
write_enable=YES
chroot_local_user=YES
# 禁止匿名用户登录
anonymous_enable=NO
# 限制用户访问自己的主目录
chroot_list_enable=YES
chroot_list_file=/etc/vsftpd/chroot_list
在/etc/vsftpd/chroot_list文件中列出允许chroot的用户:
user1
user2
ProFTPD是另一个流行的FTP服务器软件,提供了灵活的访问控制选项。
编辑/etc/proftpd/proftpd.conf文件,进行以下配置:
# 只允许本地用户登录
<Directory /home/*>
AllowOverwrite off
<Limit ALL>
RequireUser user1 user2
</Limit>
</Directory>
# 禁止匿名用户登录
<Anonymous ~ftp>
User nobody
Group nogroup
UserAlias anonymous ftp
Directory /var/ftp/anonymous
<Limit WRITE>
DenyAll
</Limit>
</Anonymous>
使用iptables或firewalld来限制FTP服务器的访问。
# 允许FTP端口(默认21)
iptables -A INPUT -p tcp --dport 21 -m state --state NEW,ESTABLISHED -j ACCEPT
# 允许FTP数据端口(默认20)
iptables -A INPUT -p tcp --dport 20 -m state --state ESTABLISHED -j ACCEPT
# 限制IP访问
iptables -A INPUT -p tcp --dport 21 -s 192.168.1.1 -m state --state NEW,ESTABLISHED -j ACCEPT
iptables -A INPUT -p tcp --dport 21 -j DROP
# 允许FTP端口(默认21)
firewall-cmd --permanent --add-port=21/tcp
# 允许FTP数据端口(默认20)
firewall-cmd --permanent --add-port=20/tcp
# 重新加载防火墙配置
firewall-cmd --reload
# 限制IP访问
firewall-cmd --permanent --add-rich-rule='rule family="ipv4" source address="192.168.1.1" port protocol="tcp" port="21" accept'
firewall-cmd --reload
如果系统启用了SELinux,可以使用SELinux策略来进一步限制FTP服务器的访问权限。
编辑/etc/selinux/config文件,设置SELinux模式:
SELINUX=enforcing
然后使用semanage命令来管理SELinux策略:
# 允许FTP服务
semanage fcontext -a -t public_content_t "/home/user1(/.*)?"
restorecon -Rv /home/user1
# 允许FTP数据连接
semanage port -a -t ftp_port_t -p tcp 20
semanage port -a -t ftp_port_t -p tcp 21
通过以上方法,你可以有效地限制Linux FTP服务器的访问权限,提高系统的安全性。
