CentOS FTP Server如何进行安全加固

CentOS FTP Server 安全加固实操指南

一 基础安全配置

• 安装并启用服务：使用 vsftpd 作为示例，执行安装、启动与开机自启。
  • 命令：sudo yum install -y vsftpd && sudo systemctl start vsftpd && sudo systemctl enable vsftpd
• 禁用匿名访问：编辑 /etc/vsftpd/vsftpd.conf，设置 anonymous_enable=NO
• 仅允许本地用户：设置 local_enable=YES，并按需开启 write_enable=YES
• 限制用户访问范围：启用 chroot 将用户限制在其主目录，优先使用 chroot_local_user=YES 并配合用户列表；如需写入，建议通过专用可写子目录而非将主目录设为可写，避免 allow_writeable_chroot=YES 带来的风险
• 用户访问控制：启用用户白名单
  • 配置：userlist_enable=YES、userlist_file=/etc/vsftpd.userlist、userlist_deny=NO
  • 将允许登录的用户逐行写入 /etc/vsftpd.userlist
• 禁止 FTP 用户通过 SSH 登录：为 FTP 专用账户设置受限 shell，例如 usermod -s /sbin/nologin ftpuser
• 日志与审计：开启传输与登录日志
  • 配置：xferlog_enable=YES、xferlog_std_format=YES，并持续关注 /var/log/secure 与 /var/log/vsftpd.log 的异常行为

二 加密传输与端口规划

• 启用 FTPS（Explicit SSL/TLS）：在 /etc/vsftpd/vsftpd.conf 中配置
  • 核心参数：
    • ssl_enable=YES
    • allow_anon_ssl=NO
    • force_local_data_ssl=YES
    • force_local_logins_ssl=YES
    • 协议与套件：ssl_tlsv1=YES，并禁用不安全协议 ssl_sslv2=NO、ssl_sslv3=NO
  • 证书与密钥：使用受信任 CA 或 Let’s Encrypt 证书，示例路径
    • rsa_cert_file=/etc/letsencrypt/live/yourdomain.com/fullchain.pem
    • rsa_private_key_file=/etc/letsencrypt/live/yourdomain.com/privkey.pem
• 被动模式端口范围：为数据通道固定端口段，便于防火墙放行
  • 配置：pasv_min_port=30000、pasv_max_port=31000
• 防火墙放行：
  • 命令：sudo firewall-cmd --permanent --add-port=21/tcp
  • 命令：sudo firewall-cmd --permanent --add-port=990/tcp（FTPS 显式端口）
  • 命令：sudo firewall-cmd --permanent --add-port=30000-31000/tcp
  • 命令：sudo firewall-cmd --reload
• 连接验证：
  • 使用支持 SSL 的客户端（如 FileZilla）选择 FTP over TLS
  • 命令行验证：openssl s_client -connect yourdomain.com:21 -starttls ftp
• 可选替代方案：若无需 FTP 协议，建议优先采用 SFTP（基于 SSH），通过系统自带 OpenSSH 提供服务，减少明文与协议攻击面

三 身份鉴别与权限控制

• 强化口令策略：在 /etc/pam.d/system-auth 中使用 pam_pwquality.so 设置复杂度
  • 示例：password requisite pam_pwquality.so retry=5 minlen=8 dcredit=-1 ucredit=-1 lcredit=-1 ocredit=-1
• 专用 FTP 账户与目录：
  • 创建：sudo useradd -m ftpuser && sudo passwd ftpuser
  • 限制登录 Shell：usermod -s /sbin/nologin ftpuser
  • 目录与权限：为用户创建专用目录（如 /data/ftp），将可写目录与只读目录分离，例如仅对 /data/ftp/pub 赋予写权限，避免主目录可写
• 精细目录权限：对上传目录设置合适的属主与权限，避免跨用户访问
  • 示例：chown ftpuser:ftpuser /data/ftp/pub && chmod 755 /data/ftp && chmod 775 /data/ftp/pub
• SELinux 与布尔值：
  • 启用家目录访问：sudo setsebool -P ftp_home_dir on
  • 如需对特定目录设置上下文，可使用 semanage fcontext 与 restorecon 进行持久化标记

四 防火墙与系统加固

• 防火墙最小化放行：仅开放 21/tcp（控制）、990/tcp（FTPS 显式） 与被动端口段 30000–31000/tcp（数据）
  • 命令：sudo firewall-cmd --permanent --add-port=21/tcp、sudo firewall-cmd --permanent --add-port=990/tcp、sudo firewall-cmd --permanent --add-port=30000-31000/tcp、sudo firewall-cmd --reload
• 系统与服务更新：定期执行 sudo yum update 与安全补丁更新，降低漏洞利用风险
• 日志与监控：持续审计 /var/log/secure、/var/log/vsftpd.log，对失败登录、异常 IP、频繁连接等设置告警
• 备份与变更管理：对 /etc/vsftpd/ 配置与用户目录进行定期备份，变更前评估回滚方案

五 快速核查清单