怎样防止Ubuntu FTP被攻击

1. 安装并配置vsftpd（Very Secure FTP Daemon）
vsftpd是Ubuntu上安全系数较高的FTP服务器软件，需优先安装并通过配置文件强化安全：

安装vsftpd：sudo apt update && sudo apt install vsftpd
禁用匿名登录（防止未授权访问）：编辑/etc/vsftpd.conf，设置anonymous_enable=NO
限制用户访问主目录（chroot jail）：添加chroot_local_user=YES（将用户锁定在自己的家目录），若需允许部分用户突破限制，可添加allow_writeable_chroot=YES（避免权限冲突）
控制写入权限：仅允许可信用户写入，设置write_enable=YES（默认开启），必要时可通过chroot_list_enable=YES指定允许写入的用户列表
启用日志记录（便于审计）：添加xferlog_enable=YES（记录传输日志）、log_ftp_protocol=YES（记录详细协议日志）

2. 启用SSL/TLS加密传输（FTPS）
FTP协议默认明文传输，易被窃听或篡改，需通过SSL/TLS加密：

生成自签名证书（生产环境建议使用Let’s Encrypt等CA签发的证书）：
sudo openssl req -x509 -nodes -days 365 -newkey rsa:2048 -keyout /etc/ssl/private/vsftpd.pem -out /etc/ssl/private/vsftpd.pem（按提示输入国家、组织等信息）
配置vsftpd使用证书：编辑/etc/vsftpd.conf，添加：
ssl_enable=YES（启用SSL）、rsa_cert_file=/etc/ssl/private/vsftpd.pem（证书路径）、rsa_private_key_file=/etc/ssl/private/vsftpd.pem（私钥路径）、force_local_data_ssl=YES（强制数据传输加密）、force_local_logins_ssl=YES（强制登录过程加密）、ssl_tlsv1=YES（仅允许TLSv1协议，禁用SSLv2/3）、ssl_ciphers=HIGH（使用高强度加密套件）
重启vsftpd服务：sudo systemctl restart vsftpd

3. 配置防火墙限制访问
使用ufw（Uncomplicated Firewall）控制FTP流量，仅允许必要端口：

允许FTP控制连接（默认端口21）：sudo ufw allow 21/tcp
允许FTP数据连接（被动模式端口范围，如50000-50100）：sudo ufw allow 50000:50100/tcp
启用ufw：sudo ufw enable
检查规则：sudo ufw status（确认规则生效）
若使用iptables，需额外保存规则（sudo apt install iptables-persistent && sudo netfilter-persistent save）

4. 使用被动模式（PASV）适配防火墙/NAT
主动模式（PORT）需服务器主动连接客户端，易被防火墙拦截，需启用被动模式：

编辑/etc/vsftpd.conf，添加：
pasv_enable=YES（启用被动模式）、pasv_min_port=50000（被动模式最小端口）、pasv_max_port=50100（被动模式最大端口）
确保防火墙开放上述端口范围

5. 强化用户权限与密码策略

创建专用FTP用户（避免使用root）：sudo adduser ftpuser（设置强密码）
限制用户访问范围：将用户主目录权限设为755（sudo chmod 755 /home/ftpuser），所有者设为用户自身（sudo chown ftpuser:ftpuser /home/ftpuser）
实施强密码策略：要求密码包含大小写字母、数字和特殊字符，长度不少于8位，定期更换（如每90天）

6. 安装fail2ban防止暴力破解
fail2ban可监控FTP登录日志，自动封禁多次尝试失败的IP：

配置FTP防护：编辑/etc/fail2ban/jail.local，添加：

[vsftpd]
enabled = true
port = ftp
filter = vsftpd
logpath = /var/log/vsftpd.log
bantime = 3600  # 封禁时间（秒）
maxretry = 5    # 最大尝试次数

7. 定期更新与维护

最新问答