一、基础服务配置
选择FTP服务器软件时,建议优先考虑vsftpd(Linux)或FileZilla Server(Windows),两者均支持SSL/TLS加密协议。安装完成后需检查服务启动状态,并通过systemctl enable vsftpd命令设置开机自启。
核心配置项:
- 设置合理的根目录路径,避免使用系统敏感目录
- 禁用匿名登录(
anonymous_enable=NO) - 配置被动模式端口范围(
pasv_min_port和pasv_max_port)
二、权限与用户管理
通过useradd命令创建专用FTP用户,禁止使用root账户直接登录。建议采用虚拟用户机制,将系统用户与FTP账户分离,配置文件权限时应遵循最小权限原则:
- 限制用户只能访问指定目录(
chroot_local_user=YES) - 设置上传/下载速率限制(
local_max_rate) - 配置用户黑名单机制
三、安全加固措施
强制启用SSL/TLS加密连接,修改默认配置文件实现:
- 生成有效SSL证书并配置
ssl_enable=YES - 禁用普通FTP协议(
listen=NO) - 配置失败登录锁定策略(通过fail2ban工具)
四、防火墙与端口策略
需同时开放控制端口(默认21)和数据传输端口,建议配置策略:
- TCP 21(控制连接)
- TCP 50000-51000(被动模式端口段)
- 拒绝所有非信任源IP的访问请求
完善的FTP服务配置需兼顾功能性、安全性和可维护性,定期审查日志文件并更新SSL证书是保障服务持续安全运行的关键。建议每季度进行安全扫描和配置审计。
