1. 系统级安全基础
Debian系统通过软件包签名验证(apt默认启用)、安全更新机制(定期推送漏洞补丁)及安全镜像源(官方或可信第三方源),确保FileZilla等软件的来源可信。建议开启unattended-upgrades自动安装安全更新,及时修复系统及软件漏洞。
2. 软件版本与漏洞修复
定期将FileZilla升级至最新稳定版(如Server端通过sudo dpkg -i FileZilla_Server_xxx.deb升级),重点修复已知高危漏洞(如2024年曝光的CVE-2024-31497,影响3.24.1-3.66.5版本,可导致ECDSA密钥泄露)。升级后替换所有不安全的ECDSA P-521密钥,优先使用Ed25519算法(安全性更高)。
3. 加密传输配置
优先使用SFTP(基于SSH加密,默认端口22)或FTPS(FTP over TLS/SSL),避免明文传输数据。配置步骤:
FileZilla Server Options→SSL/TLS Settings,启用“Require explicit FTP over TLS”(强制加密),选择自签名或CA签发证书(需包含私钥);4. 账户与权限管理
Edit→Users/Groups为用户分配仅必要的目录权限(如“读取”“写入”),避免过度授权(如禁止普通用户访问系统目录)。5. 服务器安全配置
General settings→Welcome message,删除%v(版本号变量),替换为自定义文字(如“FTP Server”),并勾选“Hide welcome message in log”(避免日志泄露版本);IP Bindings中将默认*(所有接口)改为服务器内网IP(如192.168.1.100),仅在需要时开放公网IP;General settings→IP Filters设置全局白名单(如仅允许192.168.1.0/24网段访问),或在用户级设置中进一步限制(如某用户仅能从10.0.0.5登录);General settings→Security settings,启用“Require exact connection address”(禁止FXP跨服务器传输),防止恶意反弹连接。6. 日志与监控
开启FileZilla Server日志记录(General settings→Logging),设置“Daily log files”(每日生成一个日志文件),避免单文件过大。定期检查日志中的异常行为(如频繁登录失败、非工作时间访问、大文件传输),及时响应潜在威胁(如封禁恶意IP)。
7. 客户端安全设置
Edit→Settings→Password,启用“Encrypt stored passwords”(加密存储密码),或使用主密码保护密码列表(需输入主密码才能访问站点信息);
