1. FTP服务器安装与环境准备
在Linux系统中,推荐使用vsftpd作为FTP服务端软件。通过包管理器执行yum install -y vsftpd完成安装后,需备份默认配置文件(/etc/vsftpd/vsftpd.conf),并启动服务。
关键步骤包括:
- 关闭或配置防火墙放行21端口(控制连接)和20端口(数据连接)
- 设置SELinux策略以允许FTP服务读写文件系统
- 验证服务状态:
systemctl status vsftpd
2. 用户添加与管理策略
FTP用户分为匿名用户和本地用户两类。匿名访问需设置anonymous_enable=YES,且默认根目录为/var/ftp/pub。
本地用户管理流程:
- 创建系统用户并指定主目录:
useradd -d /ftp/user1 -s /sbin/nologin user1 - 启用本地用户认证:配置文件中设置
local_enable=YES - 通过
userlist_file设置白名单/黑名单用户
3. 权限控制与目录管理
权限设置需结合文件系统权限和vsftpd配置参数:
- 使用
chroot_local_user=YES限制用户仅能访问主目录 - 通过
local_umask控制新建文件权限(默认022) - 配置上传/下载速率限制:
local_max_rate和anon_max_rate
| 场景 | 配置参数 |
|---|---|
| 只读访问 | write_enable=NO |
| 允许匿名上传 | anon_upload_enable=YES |
4. 安全加固与防火墙配置
安全措施应包括:
- 启用TLS加密:配置SSL证书并设置
ssl_enable=YES - 使用被动模式并限定端口范围:
pasv_min_port和pasv_max_port - 配置fail2ban防止暴力破解
防火墙需放行以下端口:
- TCP 21(控制通道)
- TCP 20(主动模式数据通道)
- 被动模式设定的高端口范围
合理的FTP服务器配置应遵循最小权限原则,结合用户隔离、传输加密和日志审计等多层防护机制。定期更新软件版本和审查访问日志是维持服务安全的关键。
