在 Debian 上部署 vsftpd(Very Secure FTP Daemon) 时,防止入侵的核心是:最小权限 + 禁止匿名 + 强认证 + 访问控制 + 日志审计 + 配合防火墙。下面按“必做 → 推荐 → 进阶”给你一套实用方案。
编辑配置文件:
sudo nano /etc/vsftpd.conf
确保:
anonymous_enable=NO
匿名 FTP 是最常见入侵入口。
local_enable=YES
write_enable=YES
如果你只想让特定用户登录(强烈推荐):
userlist_enable=YES
userlist_file=/etc/vsftpd.userlist
userlist_deny=NO
然后编辑名单:
sudo nano /etc/vsftpd.userlist
只放允许登录的用户名,例如:
ftpuser
Debian 默认 /etc/ftpusers 已禁止 root
检查:
cat /etc/ftpusers
确保包含:
root
chroot_local_user=YES
allow_writeable_chroot=YES
⚠ 注意:
sudo chmod a-w /home/ftpuser
chroot_local_user=NO
chroot_list_enable=YES
chroot_list_file=/etc/vsftpd.chroot_list
sudo apt install libpam-pwquality
编辑:
sudo nano /etc/security/pwquality.conf
示例:
minlen = 12
dcredit = -1
ucredit = -1
ocredit = -1
lcredit = -1
sudo apt install fail2ban
创建 vsftpd 规则:
sudo nano /etc/fail2ban/jail.local
示例:
[vsftpd]
enabled = true
port = ftp
filter = vsftpd
logpath = /var/log/vsftpd.log
maxretry = 5
bantime = 3600
重启:
sudo systemctl restart fail2ban
只允许信任 IP:
tcp_wrappers=YES
编辑:
sudo nano /etc/hosts.allow
vsftpd: 192.168.1.0/24
sudo nano /etc/hosts.deny
vsftpd: ALL
sudo ufw allow from 192.168.1.0/24 to any port 21
sudo ufw enable
ssl_enable=YES
allow_anon_ssl=NO
force_local_data_ssl=YES
force_local_logins_ssl=YES
rsa_cert_file=/etc/ssl/certs/vsftpd.pem
rsa_private_key_file=/etc/ssl/private/vsftpd.key
生成证书:
sudo openssl req -x509 -nodes -days 365 -newkey rsa:2048 \
-keyout /etc/ssl/private/vsftpd.key \
-out /etc/ssl/certs/vsftpd.pem
cmds_allowed=USER,PASS,QUIT,SYST,TYPE,PASV,LIST,STOR,RETR
xferlog_enable=YES
log_ftp_protocol=YES
查看日志:
sudo tail -f /var/log/vsftpd.log
✅ 不要用 FTP
✅ 用 SFTP(OpenSSH)代替 FTP
如果只是上传文件:
sudo apt install openssh-server
只允许 SFTP:
Subsystem sftp internal-sftp
Match Group sftpusers
ChrootDirectory /home/%u
ForceCommand internal-sftp
| 项目 | 建议 |
|---|---|
| 匿名登录 | ❌ 禁止 |
| root 登录 | ❌ 禁止 |
| chroot | ✅ 开启 |
| 密码策略 | ✅ 强密码 |
| 暴力破解 | ✅ fail2ban |
| 加密 | ✅ FTPS / SFTP |
| 防火墙 | ✅ 限制 IP |
如果你愿意,我可以:
直接把你的 vsftpd.conf 贴出来即可。