Ubuntu FTP服务器安全配置方法

Ubuntu FTP服务器安全配置方法

一 基础安全原则

• 优先选择加密传输：使用 FTPS（FTP over SSL/TLS） 或 SFTP（基于SSH），避免明文 FTP。
• 禁止匿名访问：生产环境建议设置 anonymous_enable=NO。
• 最小权限与隔离：将本地用户 chroot 到其主目录，按需开启写入；必要时为 FTP 专用账户禁用 SSH 登录。
• 强化认证与审计：启用日志、限制可登录用户、定期更新系统与应用。

二 以 vsftpd 为例的安全配置步骤

• 安装与启用
  • 安装：sudo apt update && sudo apt install vsftpd
  • 启动与开机自启：sudo systemctl start vsftpd && sudo systemctl enable vsftpd
• 核心配置 /etc/vsftpd.conf（示例为安全基线）
  • 身份与权限
    • anonymous_enable=NO
    • local_enable=YES
    • write_enable=YES
    • chroot_local_user=YES
    • allow_writeable_chroot=YES（若 chroot 目录需可写；也可改为不可写并通过子目录授权）
  • 日志与监控
    • xferlog_enable=YES
    • xferlog_std_format=YES
  • 用户访问控制
    • userlist_enable=YES
    • userlist_file=/etc/vsftpd.user_list
    • userlist_deny=NO（白名单模式，仅列表内用户可登录）
  • 说明：如系统启用 SELinux，可能需要 sudo setsebool -P ftp_home_dir 1 以允许 FTP 访问家目录。
• 启用 TLS/SSL 加密
  • 生成证书（合并证书与私钥，便于配置）
    • sudo openssl req -x509 -nodes -days 365 -newkey rsa:2048 -keyout /etc/ssl/private/vsftpd.pem -out /etc/ssl/private/vsftpd.pem
  • 配置 vsftpd
    • ssl_enable=YES
    • rsa_cert_file=/etc/ssl/private/vsftpd.pem
    • rsa_private_key_file=/etc/ssl/private/vsftpd.pem
    • force_local_data_ssl=YES
    • force_local_logins_ssl=YES
    • ssl_tlsv1=YES
    • ssl_sslv2=NO
    • ssl_sslv3=NO
  • 重启生效：sudo systemctl restart vsftpd
• 防火墙与被动模式端口
  • UFW（推荐）
    • sudo ufw allow 21/tcp
    • sudo ufw allow 20/tcp
    • 被动端口范围（示例）：sudo ufw allow 30000:31000/tcp
    • sudo ufw enable
  • 对应 vsftpd 被动端口（与防火墙保持一致）
    • pasv_min_port=30000
    • pasv_max_port=31000
• 用户与目录权限
  • 创建 FTP 专用用户（禁止 SSH 登录）
    • sudo useradd -d /home/ftpuser -s /usr/sbin/nologin ftpuser
    • sudo passwd ftpuser
  • 目录与权限
    • sudo chown -R ftpuser:ftpuser /home/ftpuser
    • sudo chmod 755 /home/ftpuser
  • 白名单
    • echo "ftpuser" | sudo tee -a /etc/vsftpd.user_list
• 可选：限制仅 FTPS（禁用明文）
  • ssl_enable=YES
  • allow_anon_ssl=NO
  • force_ssl=YES
• 客户端连接建议
  • 主机：服务器公网 IP 或域名
  • 端口：21（显式 FTPES/TLS）
  • 协议：选择 FTP over TLS/SSL（显式）
  • 验证：连接时确认证书有效并启用加密传输。

三 防火墙与被动模式要点

• 主动模式：控制通道 21/tcp，数据通道由服务器主动连接客户端 20/tcp；在 NAT/云环境中常受限，建议优先使用被动模式。
• 被动模式：控制通道 21/tcp，数据通道使用自定义端口范围（如 30000–31000/tcp），需在服务器与防火墙同时放行该范围。
• UFW 示例
  • sudo ufw allow 21/tcp
  • sudo ufw allow 20/tcp
  • sudo ufw allow 30000:31000/tcp
  • sudo ufw status verbose（核对规则）
• 如使用云厂商安全组，同样需放行上述端口范围。

四 用户管理与访问控制

• 白名单控制
  • userlist_enable=YES
  • userlist_file=/etc/vsftpd.user_list
  • userlist_deny=NO（仅允许列表内用户）
• 禁止 FTP 用户登录 SSH
  • 创建用户时指定 shell：sudo useradd -s /usr/sbin/nologin ftpuser
• 目录隔离与可写策略
  • chroot_local_user=YES 将用户锁定在其主目录
  • 若需在主目录写入，设置 allow_writeable_chroot=YES；更安全的做法是主目录不可写，仅对特定子目录授予写权限（如 upload/）。
• 权限最小化
  • 家目录建议 chmod 755，上传目录 chmod 775 并按需设置属主属组，避免全局可写。

五 日志审计与持续加固

• 启用日志
  • xferlog_enable=YES
  • xferlog_std_format=YES
  • 定期检查：sudo tail -f /var/log/vsftpd.log 或 sudo tail -f /var/log/xferlog
• 系统与安全维护
  • 定期更新：sudo apt update && sudo apt upgrade -y
  • 证书轮换：证书到期前重新生成并更新 rsa_cert_file 与 rsa_private_key_file 后重启服务
  • 安全基线复核：持续检查匿名访问、可登录用户列表、端口开放情况与被动端口范围一致性
• 更高安全需求
  • 若无需 FTP 协议特性，优先考虑 SFTP/SSH 替代，减少暴露面与协议攻击面。