关于vsftpd服务的安全设置-优快云博客

本文详细介绍VSFTP服务的安全管理配置步骤，包括开启日志记录、控制匿名及本地用户的权限、指定文件所有者、限制用户目录切换、禁止特定用户或IP登录等关键措施。

摘要生成于 C知道，由 DeepSeek-R1 满血版支持，前往体验 >

在搭建vsftp的过程中对服务的安全是致关重要的,查看日志是否有黑客入侵,是否避免下次黑客的破解,现在我写出ftp觉的安全管理,希望大家有帮助.

1.开启vsftp的日志功能,默认是关闭的

 
          xferlog_enable=YES 
         
          xferlog_file= 
          /var/log/xferlog

2.关于匿名用户的权限匿名用户上传

 
          anonymous_enable=YES      --匿名用户的启用 
         
          anon_upload_enable=YES    --匿名用户的上传 
         
          anon_mkdir_write_enable=YES   --匿名用户是否创建文件夹 
         
          anon_other_write_enable=YES   --匿名用户是重命名和删除 
         
          anon_umask=070      --匿名用户上传文件的权限707(777-070=707)

3.关于本地用户的权限

 
          local_enable=YES    --是否启用本地用户 
         
          write_enable=YES    --本地用户是否有写入删除重命名权限 
         
          local_umask=022     --本地用户上传文件的权限755(777-022=755)

4.指定上传文件的所有者

 
          chown_uploads=YES    --启用上传改变所有者 
         
          chown_username=tong    --上传的文件所属主是tong

5.不允许本地用户切换到其它目录(将用户锁定在ftp根目录)

 
          chroot_local_user=YES     --开户本地用户验证功能 
         
          chroot_list_file= 
          /etc/vsftpd/chroot_list     
          --将用户写入文件

6.允许本地用户任意切换目录

 
          chroot_local_user=YES 
         
          chroot_list_enable=YES 
         
          chroot_list_file= 
          /etc/vsftpd/chroot_list     
          --允许文件中的用户切换目录

7.禁止本地用户不能登陆ftp服务

 
          [root@centos2 ~] 
          # ll /etc/vsftpd/ 
         
          total 24 
         
          -rw-r--r--. 1 root root    5 Jan  9 22:30 chroot_list 
         
          -rw-------. 1 root root  125 Jan  9 22:50 ftpusers      --将用户写入文件就不能登陆了,还会提示输入密码 
         
          -rw-------. 1 root root  361 Jan  9 22:53 user_list  --将用户写入文件用户就不能登陆了,不提示输入密码直接拒绝 
         
          -rw-------. 1 root root 4649 Jan 12 18:00 vsftpd.conf 
         
          -rwxr--r--. 1 root root  338 Feb 19  2013 vsftpd_conf_migrate.sh 
         
          [root@centos2 ~] 
          #

8.允许哪些本地用户登陆ftp服务

 
          [root@centos2 ~] 
          # vim /etc/vsftpd/vsftpd.conf 
         
          userlist_deny=NO     --添加这一行 
         
          [root@centos2 ~] 
          # ll /etc/vsftpd/ 
         
          total 24 
         
          -rw-r--r--. 1 root root    5 Jan  9 22:30 chroot_list 
         
          -rw-------. 1 root root  125 Jan  9 22:50 ftpusers 
         
          -rw-------. 1 root root  361 Jan  9 22:53 user_list    --只允许文件里面的用户可以登陆 
          ftp 
          服务 
         
          -rw-------. 1 root root 4666 Jan 12 18:13 vsftpd.conf 
         
          -rwxr--r--. 1 root root  338 Feb 19  2013 vsftpd_conf_migrate.sh 
         
          [root@centos2 ~] 
          #

9.禁止哪些IP不能登陆ftp服务

 
          [root@centos2 ~] 
          # vim /etc/hosts.deny      --禁止IP不能ftp 
         
          vftpd:    119.97.184.208   ：deny

10.用防火墙开放包过滤

 
          [root@centos ~] 
          # iptables -I INPUT -p tcp --dport 21 -j ACCEPT

11.用Selinux安全上下文控制ftp的目录权限

 
          [root@centos ~] 
          # getsebool  -a |grep ftp 
         
          allow_ftpd_anon_write --> off 
         
          allow_ftpd_full_access --> off 
         
          allow_ftpd_use_cifs --> off 
         
          allow_ftpd_use_nfs --> off 
         
          allow_tftp_anon_write --> off 
         
          ftp_home_dir --> off 
         
          ftpd_connect_db --> off 
         
          ftpd_disable_trans --> off 
         
          ftpd_is_daemon --> on 
         
          httpd_enable_ftp_server --> off 
         
          tftpd_disable_trans --> off 
         
          [root@centos ~] 
          # setsebool ftp_home_dir on    --具体参数自己因情况设置