CentOS系统中VSFTP的最佳实践

CentOS 系统中 VSFTP 最佳实践

一 安全基线配置

• 禁用匿名访问，仅允许本地系统用户登录，并限制用户在其家目录内（chroot）。示例关键参数：
  • anonymous_enable=NO
  • local_enable=YES
  • write_enable=YES
  • chroot_local_user=YES
  • allow_writeable_chroot=YES（避免 chroot 后无法写入）
  • userlist_enable=YES 与 userlist_deny=NO 组合为白名单（/etc/vsftpd/user_list 中列出的用户可登录）
  • 日志与审计：xferlog_enable=YES、xferlog_std_format=YES、xferlog_file=/var/log/xferlog
• 用户与目录
  • 创建专用 FTP 用户，禁止 shell 登录：useradd -d /var/ftp/ftpuser -s /sbin/nologin ftpuser
  • 按需设置目录权限，避免全局可写；必要时仅对特定目录授予上传权限。

二 传输加密与端口规划

• 启用 SSL/TLS 强制加密，禁用明文传输：
  • ssl_enable=YES
  • force_local_logins_ssl=YES、force_local_data_ssl=YES
  • ssl_tlsv1=YES；ssl_sslv2=NO；ssl_sslv3=NO
  • ssl_ciphers=HIGH
  • rsa_cert_file=/etc/ssl/certs/vsftpd.pem（证书路径需与配置一致）
  • 生成自签名证书示例：
    • openssl req -x509 -nodes -days 365 -newkey rsa:2048 -keyout /etc/ssl/certs/vsftpd.pem -out /etc/ssl/certs/vsftpd.pem
• 端口与模式
  • 主动模式：仅放行控制端口 21/TCP。
  • 被动模式（推荐在 NAT/云环境）：开启 pasv_enable=YES，并固定数据端口范围，例如 40000–40100/TCP，同时在防火墙放行该范围。
  • 如服务器位于 NAT 之后，设置 pasv_address=公网IP，确保数据通道回指正确地址。

三 防火墙与 SELinux 设置

• firewalld
  • 主动模式：firewall-cmd --permanent --add-port=21/tcp && firewall-cmd --reload
  • 被动模式（示例端口 40000–40100）：firewall-cmd --permanent --add-port=21/tcp && firewall-cmd --permanent --add-port=40000-40100/tcp && firewall-cmd --reload
• SELinux
  • 启用家目录访问：setsebool -P ftp_home_dir on
  • 如仍遇到写入/列目录受限，可启用：setsebool -P allow_ftpd_full_access on（仅在明确需要时开启，遵循最小权限原则）

四 性能与资源控制

• 并发与带宽
  • 限制总连接与单 IP 连接：max_clients、max_per_ip
  • 限制速率：local_max_rate、anon_max_rate（单位：字节/秒），保障关键业务带宽
• 文件句柄与系统
  • 提升系统文件句柄上限（/etc/security/limits.conf 与 systemd 配置），避免大量并发时“Too many open files”
• 运行与版本
  • 保持 vsftpd 为最新稳定版本，及时修补漏洞
  • 生产变更前备份配置，先在测试环境验证；持续监控与日志分析（如 Logwatch）

五 快速部署与验证清单

• 安装与启动
  • yum install -y vsftpd
  • systemctl enable --now vsftpd
  • ss -tlnp | grep ‘:21’ 或 ss -tlnp | grep vsftpd 验证监听
• 最小可用配置示例（/etc/vsftpd/vsftpd.conf 片段）
  • anonymous_enable=NO
  • local_enable=YES
  • write_enable=YES
  • chroot_local_user=YES
  • allow_writeable_chroot=YES
  • userlist_enable=YES
  • userlist_deny=NO
  • xferlog_enable=YES
  • xferlog_std_format=YES
  • xferlog_file=/var/log/xferlog
  • pasv_enable=YES
  • pasv_min_port=40000
  • pasv_max_port=40100
  • pasv_address=服务器公网IP
  • ssl_enable=YES
  • force_local_logins_ssl=YES
  • force_local_data_ssl=YES
  • ssl_tlsv1=YES
  • ssl_sslv2=NO
  • ssl_sslv3=NO
  • ssl_ciphers=HIGH
  • rsa_cert_file=/etc/ssl/certs/vsftpd.pem
• 防火墙与 SELinux
  • firewall-cmd --permanent --add-port=21/tcp --add-port=40000-40100/tcp && firewall-cmd --reload
  • setsebool -P ftp_home_dir on
• 验证
  • 使用 FileZilla/命令行连接，确认登录、目录列取、上传/下载正常；TLS 连接应显示“TLS 已建立”
  • 复查日志：tail -f /var/log/xferlog 与 journalctl -u vsftpd