Debian上FileZilla的安全设置清单
一 基础与系统层面
- 保持软件与系统更新:定期执行sudo apt update && sudo apt upgrade,及时修补FileZilla客户端/服务器与Debian的安全漏洞。
- 启用防火墙并最小化放行:使用UFW仅开放必要端口(如SSH 22、以及后续配置的FTPS端口/被动端口范围),默认拒绝入站。
- 强化认证与访问控制:设置复杂管理密码;在服务器侧开启登录失败锁定/黑名单;必要时通过IP过滤器仅允许受信网段访问;对外隐藏版本/Banner信息,降低攻击面。
二 服务器 FileZilla Server 安全配置
- 监听与管理端口:在“General”中设置监听端口(默认示例:14147),并修改管理端口(默认示例:14148)与强密码;仅绑定必要的监听地址。
- 被动模式与端口范围:在“Passive Mode Settings”中配置自定义被动端口范围(如14140–14146),并在防火墙放行该范围,避免数据通道被拦截。
- 加密传输:在“Security/SSL/TLS”中启用FTP over SSL/TLS(FTPS),可生成自签证书;为提升安全性,建议启用显式TLS并考虑隐式TLS(端口990);同时勾选Force PROT P以加密数据通道,并可启用TLS会话恢复提升可靠性。
- 协议与攻击防护:禁用FXP与FTP Bounce相关功能;限制最大并发连接/传输数与速率,避免滥用;启用日志并采用按日分割,便于审计与追溯。
三 客户端 FileZilla Client 安全配置
- 优先使用加密协议:连接站点时选择SFTP(基于SSH)或FTPS(显式/隐式),避免使用明文FTP;在站点管理器中明确协议与端口。
- 显式/隐式TLS选择:FTPS可在“Transfer Settings”选择Explicit TLS/SSL;如使用990端口或“ftps://”则触发隐式TLS。
- 主机密钥与验证:首次连接SFTP时核对服务器指纹/主机密钥;尽量使用SSH密钥认证,必要时禁用密码登录。
- 传输与权限:按需开启传输压缩(MODE Z);遵循最小权限原则分配本地与远端目录权限,避免误写/越权。
四 防火墙与端口放行示例
- UFW示例(仅开放SSH与FTPS控制端口,被动端口范围示例为14140–14146):
- 安装与启用:sudo apt install ufw && sudo ufw enable
- 策略:sudo ufw default deny incoming && sudo ufw default allow outgoing
- 放行:sudo ufw allow ssh,sudo ufw allow 14147/tcp,sudo ufw allow 14140:14146/tcp
- 状态检查:sudo ufw status
- 云厂商/边界防火墙:除放行上述端口外,确保NAT/云安全组将被动端口范围映射到服务器内网IP。
五 合规与审计建议
- 证书与加密:为FTPS使用有效证书(生产环境建议使用受信任CA签发),并强制PROT P保护数据传输;必要时启用隐式TLS与TLS会话恢复。
- 认证与授权:对管理接口与用户账户实施强密码策略、失败锁定与IP白名单;SFTP优先密钥登录并禁用root远程登录。
- 日志与监控:开启访问/安全日志,按日滚动;定期更新与备份服务器配置与用户数据,结合系统日志进行入侵检测与审计。
