怎样防止Ubuntu FTP被攻击
导读:1. 安装并配置vsftpd(Very Secure FTP Daemon) vsftpd是Ubuntu上安全系数较高的FTP服务器软件,需优先安装并通过配置文件强化安全: 安装vsftpd:sudo apt update &&a...
1. 安装并配置vsftpd(Very Secure FTP Daemon)
vsftpd是Ubuntu上安全系数较高的FTP服务器软件,需优先安装并通过配置文件强化安全:
- 安装vsftpd:
sudo apt update & & sudo apt install vsftpd - 禁用匿名登录(防止未授权访问):编辑
/etc/vsftpd.conf,设置anonymous_enable=NO - 限制用户访问主目录(chroot jail):添加
chroot_local_user=YES(将用户锁定在自己的家目录),若需允许部分用户突破限制,可添加allow_writeable_chroot=YES(避免权限冲突) - 控制写入权限:仅允许可信用户写入,设置
write_enable=YES(默认开启),必要时可通过chroot_list_enable=YES指定允许写入的用户列表 - 启用日志记录(便于审计):添加
xferlog_enable=YES(记录传输日志)、log_ftp_protocol=YES(记录详细协议日志)
2. 启用SSL/TLS加密传输(FTPS)
FTP协议默认明文传输,易被窃听或篡改,需通过SSL/TLS加密:
- 生成自签名证书(生产环境建议使用Let’s Encrypt等CA签发的证书):
sudo openssl req -x509 -nodes -days 365 -newkey rsa:2048 -keyout /etc/ssl/private/vsftpd.pem -out /etc/ssl/private/vsftpd.pem(按提示输入国家、组织等信息) - 配置vsftpd使用证书:编辑
/etc/vsftpd.conf,添加:
ssl_enable=YES(启用SSL)、rsa_cert_file=/etc/ssl/private/vsftpd.pem(证书路径)、rsa_private_key_file=/etc/ssl/private/vsftpd.pem(私钥路径)、force_local_data_ssl=YES(强制数据传输加密)、force_local_logins_ssl=YES(强制登录过程加密)、ssl_tlsv1=YES(仅允许TLSv1协议,禁用SSLv2/3)、ssl_ciphers=HIGH(使用高强度加密套件) - 重启vsftpd服务:
sudo systemctl restart vsftpd
3. 配置防火墙限制访问
使用ufw(Uncomplicated Firewall)控制FTP流量,仅允许必要端口:
- 允许FTP控制连接(默认端口21):
sudo ufw allow 21/tcp - 允许FTP数据连接(被动模式端口范围,如50000-50100):
sudo ufw allow 50000:50100/tcp - 启用ufw:
sudo ufw enable - 检查规则:
sudo ufw status(确认规则生效) - 若使用iptables,需额外保存规则(
sudo apt install iptables-persistent & & sudo netfilter-persistent save)
4. 使用被动模式(PASV)适配防火墙/NAT
主动模式(PORT)需服务器主动连接客户端,易被防火墙拦截,需启用被动模式:
- 编辑
/etc/vsftpd.conf,添加:
pasv_enable=YES(启用被动模式)、pasv_min_port=50000(被动模式最小端口)、pasv_max_port=50100(被动模式最大端口) - 确保防火墙开放上述端口范围
5. 强化用户权限与密码策略
- 创建专用FTP用户(避免使用root):
sudo adduser ftpuser(设置强密码) - 限制用户访问范围:将用户主目录权限设为755(
sudo chmod 755 /home/ftpuser),所有者设为用户自身(sudo chown ftpuser:ftpuser /home/ftpuser) - 实施强密码策略:要求密码包含大小写字母、数字和特殊字符,长度不少于8位,定期更换(如每90天)
6. 安装fail2ban防止暴力破解
fail2ban可监控FTP登录日志,自动封禁多次尝试失败的IP:
- 安装fail2ban:
sudo apt install fail2ban - 配置FTP防护:编辑
/etc/fail2ban/jail.local,添加:[vsftpd] enabled = true port = ftp filter = vsftpd logpath = /var/log/vsftpd.log bantime = 3600 # 封禁时间(秒) maxretry = 5 # 最大尝试次数 - 重启fail2ban:
sudo systemctl restart fail2ban
7. 定期更新与维护
- 更新系统和软件包:
sudo apt update & & sudo apt upgrade -y(修复已知漏洞) - 定期检查日志:查看
/var/log/vsftpd.log(或xferlog),监控异常登录、大量失败尝试等行为 - 备份配置文件:定期备份
/etc/vsftpd.conf和用户数据,防止配置丢失
声明:本文内容由网友自发贡献,本站不承担相应法律责任。对本内容有异议或投诉,请联系2913721942#qq.com核实处理,我们将尽快回复您,谢谢合作!
若转载请注明出处: 怎样防止Ubuntu FTP被攻击
本文地址: https://pptw.com/jishu/745637.html