Linux FTP服务器如何防止恶意攻击

整体安全策略与协议选择

• 优先采用加密传输：能用 SFTP/SSH 就不用明文 FTP；若必须使用 FTP，启用 FTPS（SSL/TLS） 对控制与数据传输加密。
• 禁用或严格限制匿名访问：默认禁止匿名；如确需开放，仅赋予最小权限（例如只允许上传到特定目录且不可读）。
• 隐藏服务指纹：修改 FTP 横幅，避免泄露版本信息，降低被针对性利用的风险。
• 选择安全实现：使用 vsftpd 等以安全为导向的 FTP 服务，并遵循最小权限原则。

加固 vsftpd 关键配置

• 身份与目录隔离：启用本地用户访问，使用 chroot_local_user=YES 将用户限制在其家目录；必要时设置 allow_writeable_chroot=YES（注意其安全权衡）。
• 精细权限控制：可禁用危险命令（如 DELE、RNFR、RNTO）降低破坏能力；为上传目录设置严格权限（如仅允许写入、禁止读取）。
• 加密与协议：启用 ssl_enable=YES，强制本地登录与数据传输使用 TLS（force_local_logins_ssl=YES、force_local_data_ssl=YES），禁用不安全协议（如 SSLv2/SSLv3），配置强加密套件与证书路径。
• 被动模式端口范围：设置 pasv_min_port 与 pasv_max_port（如 30000–31000），便于在防火墙放行固定端口段。
• 日志与横幅：开启传输与访问日志（xferlog_enable=YES、xferlog_std_format=YES），自定义 ftpd_banner/banner_file 隐藏版本信息。

网络与访问控制

• 防火墙精细化：仅开放必要端口与控制通道；对 FTP 被动模式需放行配置的端口区间（如 20/tcp、21/tcp、30000–31000/tcp）。
• IP 白名单：通过 iptables/firewalld 或云安全组限制来源 IP，仅允许受信任网段访问 21 端口。
• 系统加固：关闭不必要的服务与端口，遵循最小权限原则，避免使用 root 运行 FTP 服务。

认证、权限与系统防护

• 强认证：实施强密码策略，禁用默认/弱口令；优先使用 SSH 公钥认证（SFTP 场景），必要时禁用密码登录。
• 虚拟用户与最小权限：使用虚拟用户代替系统账号，按用户/目录分配权限，遵循最小权限原则。
• 安全模块：启用 SELinux/AppArmor，为 vsftpd 等进程施加域与权限约束。
• 审计与监控：定期用 Lynis 等工具做安全审计；集中监控 auth.log/ftp 日志，对大量失败登录等异常设置告警。

监控、备份与应急响应

• 持续监控与告警：启用详细日志，结合 IDS/IPS 检测暴力破解、异常流量与命令滥用。
• 高可用与恢复：定期备份数据与配置，发生入侵或勒索时可快速恢复；保持系统与 FTP 软件 及时更新与打补丁。