如何提高Debian FTPServer的安全性

加固思路总览

• 明确协议：FTPS 是“FTP over SSL/TLS”，与 SFTP（SSH 文件传输）不同。以下建议针对 vsftpd 的 FTPS 场景。
• 安全目标：加密传输、最小权限、可审计、可观测、可恢复。
• 基线动作：保持系统与安全组件及时更新，并启用日志与告警。

一 基础加固与访问控制

• 安装与最小配置
  • 安装 vsftpd：sudo apt update && sudo apt install vsftpd
  • 核心配置（/etc/vsftpd.conf）：
    • 禁用匿名：anonymous_enable=NO
    • 仅本地用户：local_enable=YES
    • 按需写入：write_enable=YES（上传/删除等敏感操作建议细化到目录/用户）
    • 隔离用户：chroot_local_user=YES
    • 允许可写 chroot（vsftpd ≥ 3.0.2 推荐）：allow_writeable_chroot=YES
    • 日志：xferlog_enable=YES、xferlog_std_format=YES
• 用户与系统边界
  • 创建专用 FTP 用户，家目录仅用于文件传输，禁止其登录系统 Shell（如设置为 /usr/sbin/nologin）。
  • 若启用 SELinux，放行家目录访问：sudo setsebool -P ftp_home_dir 1
  • 定期审计用户与权限，清理不再使用的账号与公钥。

二 加密与传输安全

• 启用 TLS/SSL
  • 安装工具：sudo apt-get install openssl
  • vsftpd 关键项（/etc/vsftpd.conf）：
    • ssl_enable=YES
    • 禁用不安全协议：ssl_sslv2=NO、ssl_sslv3=NO
    • 建议仅启用 TLSv1.2/1.3：ssl_tlsv1_2=YES、ssl_tlsv1_3=YES（按 OpenSSL 支持情况调整）
    • 证书与私钥：将证书链与私钥放置在安全路径（如 /etc/ssl/private/vsftpd.pem），并设置仅 root 可读：chmod 600 /etc/ssl/private/vsftpd.pem
• 客户端连接
  • 强制使用 FTPS（显式 AUTH TLS），禁止明文 FTP。
  • 测试：使用 FileZilla/命令行 lftp 验证证书与加密是否生效。

三 网络与防火墙配置

• 被动模式端口范围
  • 在 vsftpd.conf 中固定端口范围，便于防火墙放行：
    • pasv_min_port=30000
    • pasv_max_port=31000
• UFW 规则（示例）
  • 放行控制与数据端口：sudo ufw allow 21/tcp、sudo ufw allow 20/tcp
  • 放行被动端口范围：sudo ufw allow 30000:31000/tcp
  • 启用：sudo ufw enable && sudo ufw reload
• iptables 要点
  • 放行已建立/相关连接：iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
  • 放行控制与被动端口：iptables -A INPUT -p tcp --dport 21 -j ACCEPT、iptables -A INPUT -p tcp --dport 30000:31000 -j ACCEPT
  • 保存规则：iptables-save > /etc/iptables/rules.v4
• 安全提示
  • 避免开放过大的端口段（如 1024:65535），以减少攻击面。

四 认证与入侵防护

• 强认证与账户安全
  • 为管理员与运维账户启用 SSH 密钥认证，禁用密码登录：PasswordAuthentication no、PubkeyAuthentication yes
  • 禁止 root 远程登录：PermitRootLogin no
  • 强制用户使用强密码策略并定期更换。
• 暴力破解防护
  • 部署 Fail2ban 或 SSHGuard 监控 FTP/SSH 登录失败并自动封禁：
    • 示例：sudo apt install fail2ban 或 sudo apt install sshguard
    • 启用服务：sudo systemctl enable --now fail2ban 或 sudo systemctl enable --now sshguard
• 日志与审计
  • 启用 vsftpd 传输日志：xferlog_enable=YES、xferlog_std_format=YES
  • 使用 Logwatch 等工具进行日志汇总与异常告警。

五 运维与持续安全

• 持续更新与补丁
  • 定期执行：sudo apt update && sudo apt upgrade -y，及时修复漏洞。
• 最小化暴露面
  • 关闭不必要的服务与端口，仅开放 21/tcp、20/tcp、30000–31000/tcp 等必需端口。
• 备份与演练
  • 定期备份 /etc/vsftpd.conf、证书与用户数据，并进行恢复演练。
• 合规与检查
  • 进行安全审计与漏洞扫描，核查配置是否符合最小权限与加密要求。