centos环境下vsftp的安全漏洞防范

CentOS 环境下 vsftpd 的安全漏洞防范

一 基线加固与最小暴露

• 保持软件为最新稳定版：执行yum update -y vsftpd，及时修补已知漏洞；定期检查安全公告与 CVE。
• 禁用匿名访问与危险功能：设置anonymous_enable=NO；关闭ls_recurse_enable=NO、ascii_download_enable=NO，降低 DoS 与资源滥用风险。
• 限制本地用户权限并实施目录隔离：启用local_enable=YES、按需开启write_enable；使用chroot_local_user=YES将用户限制在其主目录；若主目录需写入，使用allow_writeable_chroot=YES（注意该设置的安全权衡）。
• 精细化用户访问控制：启用userlist_enable=YES与userlist_deny=NO，仅允许**/etc/vsftpd/user_list**中列出的用户登录。
• 启用传输与协议日志：开启xferlog_enable=YES、xferlog_file=/var/log/vsftpd.log、xferlog_std_format=YES，必要时开启log_ftp_protocol=YES以便审计。

二 传输加密与访问控制

• 启用 TLS/SSL 强制加密：生成证书（示例见下），在配置中启用ssl_enable=YES、force_local_data_ssl=YES、force_local_logins_ssl=YES，仅允许TLSv1.2+（禁用ssl_sslv2/ssl_sslv3），指定证书与私钥路径。
• 防火墙最小暴露：仅放行21/TCP（控制连接）与被动模式端口范围（如1024–1048/TCP）；可使用firewalld富规则仅允许受信任网段访问 FTP 服务。
• 连接数限制缓解 DoS：设置max_clients（服务器最大并发连接数）与max_per_ip（单 IP 最大连接数），抑制连接洪泛与资源耗尽。

三 认证与账户安全

• 强化口令策略与周期更换：要求包含大小写字母、数字、特殊字符，并通过chage设置最小长度与有效期。
• 基于 PAM 的登录失败锁定：在**/etc/pam.d/vsftpd增加pam_tally2.so**（如：deny=3 unlock_time=300），对暴力破解进行自动封禁；确保 PAM 配置与系统账户策略一致。
• 虚拟用户隔离（推荐）：使用db_load生成口令库，配置**/etc/pam.d/vsftp.vu调用pam_userdb.so**；创建专用系统账号（如**/sbin/nologin**），家目录权限700，仅映射 FTP 权限，避免系统登录风险。

四 已知漏洞处置与版本策略

• 历史高危漏洞修复：针对CVE-2011-0762（ls.c 远程 DoS），官方在2.3.4修复，建议直接升级至2.3.4或更高版本（如3.0.x）以获得 TLS 等增强特性。
• 历史绕过与后门风险：早期版本存在deny_file处理绕过（至3.0.2受影响）与2.3.4后门事件（CVE-2011-2523）；务必使用2.3.5+或3.0.x的安全版本，避免历史风险版本。
• 无法立即升级时的缓解：临时限制max_clients、max_per_ip，仅开放必要来源 IP，并加强日志审计与告警。

五 监控审计与 SELinux 配合

• 持续监控与审计：实时查看**/var/log/vsftpd.log与传输日志，使用logwatch**或集中式日志平台进行异常检测与报表；定期审计配置与权限变更。
• SELinux 最小化权限：启用setsebool -P ftp_home_dir 1允许 FTP 访问用户家目录；如启用匿名写入需谨慎设置allow_ftpd_anon_write；对关键系统文件（如**/etc/passwd**、/etc/shadow）使用chattr +i防止被篡改（变更前评估对系统管理的影响）。

附 关键配置示例

• 最小安全配置片段（/etc/vsftpd/vsftpd.conf）

anonymous_enable=NO
local_enable=YES
write_enable=YES
chroot_local_user=YES
allow_writeable_chroot=YES
userlist_enable=YES
userlist_deny=NO
ls_recurse_enable=NO
ascii_download_enable=NO
xferlog_enable=YES
xferlog_file=/var/log/vsftpd.log
xferlog_std_format=YES
log_ftp_protocol=YES
max_clients=50
max_per_ip=5

• 生成自签名证书并启用 TLS

sudo mkdir -p /etc/ssl/certs
sudo openssl req -x509 -nodes -days 365 -newkey rsa:2048 \
  -keyout /etc/ssl/certs/vsftpd.pem -out /etc/ssl/certs/vsftpd.pem

在 vsftpd.conf 中追加：

ssl_enable=YES
force_local_data_ssl=YES
force_local_logins_ssl=YES
ssl_tlsv1_2=YES
ssl_sslv2=NO
ssl_sslv3=NO
rsa_cert_file=/etc/ssl/certs/vsftpd.pem
rsa_private_key_file=/etc/ssl/certs/vsftpd.pem

• firewalld 放行示例

sudo firewall-cmd --permanent --add-port=21/tcp
sudo firewall-cmd --permanent --add-port=1024-1048/tcp
sudo firewall-cmd --reload
# 仅允许 192.168.1.0/24
sudo firewall-cmd --permanent --add-rich-rule='rule family="ipv4" source address="192.168.1.0/24" service name="ftp" accept'
sudo firewall-cmd --reload

• PAM 登录失败锁定（/etc/pam.d/vsftpd，追加一行）

auth required pam_tally2.so deny=3 unlock_time=300

• 虚拟用户 PAM 与目录（示例）

# 生成口令库
echo -e "ftpuser1\npassword1\nftpuser2\npassword2" > /etc/vsftpd/account.txt
db_load -T -t hash -f /etc/vsftpd/account.txt /etc/vsftpd/account.db
chmod 600 /etc/vsftpd/account.db
# /etc/pam.d/vsftp.vu
auth required pam_userdb.so db=/etc/vsftpd/account
account required pam_userdb.so db=/etc/vsftpd/account
# 专用系统账号
sudo useradd -d /ftpsite -s /sbin/nologin virtual_user
sudo mkdir -p /ftpsite
sudo chown virtual_user:virtual_user /ftpsite
sudo chmod 700 /ftpsite
# vsftpd.conf 启用虚拟用户
anonymous_enable=NO
local_enable=NO
guest_enable=YES
guest_username=virtual_user
pam_service_name=vsftp.vu