一、vsftp安全概述
vsftp(Very Secure FTP Daemon)是Linux系统中最安全的FTP服务器之一。然而,仅依靠vsftp自身的安全机制是不够的,合理配置防火墙是保护服务器免受攻击的关键措施。
1.1 vsftp安全优势
| 特性 | 说明 | 安全效果 |
|---|---|---|
| 权限分离 | 非特权进程处理连接 | 减少提权风险 |
| chroot限制 | 用户锁定在主目录 | 防止目录穿越 |
| SSL/TLS支持 | 加密数据传输 | 防止数据窃听 |
| 速率限制 | 控制连接速度 | 防止DoS攻击 |
| 访问控制 | 基于IP/用户限制 | 精细化权限管理 |
1.2 防火墙在FTP安全中的作用
┌─────────────────────────────────────────────────────┐
│ 攻击流量 │
│ ┌─────────┐ ┌─────────┐ ┌─────────┐ │
│ │ 暴力破解 │ │ DoS攻击 │ │ 端口扫描 │ │
│ └────┬────┘ └────┬────┘ └────┬────┘ │
└───────┼──────────┼──────────┼─────────────────────┘
│ │ │
▼ ▼ ▼
┌─────────────────────────────────────────────────────┐
│ 防火墙层 │
│ ┌──────────────────────────────────────────────┐ │
│ │ • IP白名单/黑名单过滤 │ │
│ │ • 端口访问控制 │ │
│ │ • 连接速率限制 │ │
│ │ • 状态检测(RELATED/ESTABLISHED) │ │
│ └──────────────────────────────────────────────┘ │
└───────┬──────────┬──────────┬─────────────────────┘
│ │ │
▼ ▼ ▼
┌─────────────────────────────────────────────────────┐
│ vsftp服务 │
│ ┌──────────────────────────────────────────────┐ │
│ │ • 用户认证 │ │
│ │ • 权限控制 │ │
│ │ • 文件传输 │ │
│ └──────────────────────────────────────────────┘ │
└─────────────────────────────────────────────────────┘
二、防火墙基础配置
2.1 FTP端口说明
FTP使用多个端口:
– 命令端口:21(默认)
– 数据端口:
– 主动模式:20(服务器主动连接客户端)
– 被动模式:随机端口(服务器等待客户端连接)
2.2 iptables基础规则
# 查看当前规则
sudo iptables -L -n -v
# 清空现有规则(谨慎使用)
sudo iptables -F
# 设置默认策略
sudo iptables -P INPUT DROP
sudo iptables -P FORWARD DROP
sudo iptables -P OUTPUT ACCEPT
# 允许本地回环
sudo iptables -A INPUT -i lo -j ACCEPT
sudo iptables -A OUTPUT -o lo -j ACCEPT
# 允许已建立的连接
sudo iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
# 允许SSH(防止锁死)
sudo iptables -A INPUT -p tcp --dport 22 -j ACCEPT
2.3 firewalld基础规则
# 查看当前区域
sudo firewall-cmd --get-active-zones
# 查看当前规则
sudo firewall-cmd --list-all
# 设置默认区域
sudo firewall-cmd --set-default-zone=public
# 允许SSH
sudo firewall-cmd --permanent --add-service=ssh
三、vsftp防火墙配置
3.1 主动模式配置
# iptables配置
# 允许FTP命令端口
sudo iptables -A INPUT -p tcp --dport 21 -j ACCEPT
# 允许FTP数据端口(主动模式)
sudo iptables -A INPUT -p tcp --dport 20 -j ACCEPT
# 保存规则
sudo iptables-save > /etc/iptables/rules.v4
3.2 被动模式配置(推荐)
步骤1:配置vsftp被动端口范围
编辑vsftp配置文件:
sudo nano /etc/vsftpd.conf
添加以下配置:
# 启用被动模式
pasv_enable=YES
# 被动模式端口范围(建议40000-50000)
pasv_min_port=40000
pasv_max_port=40100
# 被动模式地址(公网IP)
pasv_address=your_server_ip
# 如果在NAT后面,使用以下配置
# pasv_addr_resolve=NO
# pasv_address=公网IP
步骤2:配置防火墙
# iptables配置
# 允许FTP命令端口
sudo iptables -A INPUT -p tcp --dport 21 -j ACCEPT
# 允许被动模式端口范围
sudo iptables -A INPUT -p tcp --dport 40000:40100 -j ACCEPT
# 加载FTP连接跟踪模块
sudo modprobe ip_conntrack_ftp
sudo modprobe ip_nat_ftp
# 保存规则
sudo iptables-save > /etc/iptables/rules.v4
# firewalld配置
# 允许FTP服务
sudo firewall-cmd --permanent --add-service=ftp
# 允许被动端口范围
sudo firewall-cmd --permanent --add-port=40000-40100/tcp
# 加载FTP模块
sudo firewall-cmd --permanent --add-module=ip_conntrack_ftp
sudo firewall-cmd --permanent --add-module=ip_nat_ftp
# 重载防火墙
sudo firewall-cmd --reload
3.3 完整防火墙脚本
#!/bin/bash
# vsftp_firewall.sh - vsftp防火墙完整配置脚本
# 配置参数
FTP_PORT=21
FTP_DATA_PORT=20
PASSIVE_PORT_START=40000
PASSIVE_PORT_END=40100
SSH_PORT=22
# 日志函数
log() {
echo "[$(date '+%Y-%m-%d %H:%M:%S')] $1"
}
log "========== 开始配置vsftp防火墙 =========="
# 检查防火墙类型
if command -v firewall-cmd &> /dev/null; then
log "检测到firewalld,使用firewalld配置"
# 启用FTP服务
sudo firewall-cmd --permanent --add-service=ftp
sudo firewall-cmd --permanent --add-service=ssh
# 允许被动端口
sudo firewall-cmd --permanent --add-port=${PASSIVE_PORT_START}-${PASSIVE_PORT_END}/tcp
# 加载FTP模块
sudo firewall-cmd --permanent --add-module=ip_conntrack_ftp
sudo firewall-cmd --permanent --add-module=ip_nat_ftp
# 重载配置
sudo firewall-cmd --reload
log "firewalld配置完成"
elif command -v iptables &> /dev/null; then
log "检测到iptables,使用iptables配置"
# 加载FTP模块
sudo modprobe ip_conntrack_ftp
sudo modprobe ip_nat_ftp
# 允许SSH
sudo iptables -A INPUT -p tcp --dport $SSH_PORT -j ACCEPT
# 允许FTP命令端口
sudo iptables -A INPUT -p tcp --dport $FTP_PORT -j ACCEPT
# 允许FTP数据端口(主动模式)
sudo iptables -A INPUT -p tcp --dport $FTP_DATA_PORT -j ACCEPT
# 允许被动端口范围
sudo iptables -A INPUT -p tcp --dport ${PASSIVE_PORT_START}:${PASSIVE_PORT_END} -j ACCEPT
# 允许已建立的连接
sudo iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
# 保存规则
if [ -d /etc/iptables ]; then
sudo iptables-save > /etc/iptables/rules.v4
log "iptables规则已保存到/etc/iptables/rules.v4"
else
sudo iptables-save > /root/iptables.rules
log "iptables规则已保存到/root/iptables.rules"
fi
fi
log "========== vsftp防火墙配置完成 =========="
四、高级安全策略
4.1 IP白名单限制
# iptables:只允许特定IP访问FTP
# 允许192.168.1.0/24网段
sudo iptables -A INPUT -s 192.168.1.0/24 -p tcp --dport 21 -j ACCEPT
# 允许特定IP(如办公网络)
sudo iptables -A INPUT -s 203.0.113.100 -p tcp --dport 21 -j ACCEPT
# 拒绝其他IP访问FTP
sudo iptables -A INPUT -p tcp --dport 21 -j DROP
4.2 连接速率限制
# 防止暴力破解:限制每IP每分钟最多10个新连接
sudo iptables -A INPUT -p tcp --dport 21 -m state --state NEW -m recent --set
sudo iptables -A INPUT -p tcp --dport 21 -m state --state NEW -m recent --update --seconds 60 --hitcount 10 -j DROP
# 或者使用hashlimit模块
sudo iptables -A INPUT -p tcp --dport 21 -m hashlimit \
--hashlimit-upto 10/min --hashlimit-burst 5 \
--hashlimit-mode srcip --hashlimit-name ftp \
-j ACCEPT
# 限制被动端口连接速率
sudo iptables -A INPUT -p tcp --dport 40000:40100 -m hashlimit \
--hashlimit-upto 30/min --hashlimit-burst 10 \
--hashlimit-mode srcip --hashlimit-name ftp-data \
-j ACCEPT
4.3 攻击防护规则
#!/bin/bash
# ftp_attack_protection.sh - FTP攻击防护规则
# 1. 防止端口扫描
sudo iptables -A INPUT -p tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG NONE -j DROP
sudo iptables -A INPUT -p tcp --tcp-flags FIN,SYN FIN,SYN -j DROP
sudo iptables -A INPUT -p tcp --tcp-flags SYN,RST SYN,RST -j DROP
# 2. 防止SYN Flood攻击
sudo iptables -A INPUT -p tcp --syn -m limit --limit 1/s --limit-burst 3 -j ACCEPT
sudo iptables -A INPUT -p tcp --syn -j DROP
# 3. 防止Ping Flood
sudo iptables -A INPUT -p icmp --icmp-type echo-request -m limit --limit 1/s --limit-burst 2 -j ACCEPT
sudo iptables -A INPUT -p icmp --icmp-type echo-request -j DROP
# 4. 记录可疑连接
sudo iptables -A INPUT -p tcp --dport 21 -m state --state NEW -m recent --name ftpattack --set
sudo iptables -A INPUT -p tcp --dport 21 -m state --state NEW -m recent --name ftpattack --rcheck --seconds 60 --hitcount 5 -j LOG --log-prefix "FTP_ATTACK: "
# 5. 封禁恶意IP
for ip in $(grep "FTP_ATTACK" /var/log/syslog | awk '{print $11}' | sort -u); do
sudo iptables -A INPUT -s $ip -j DROP
done
echo "FTP攻击防护规则已应用"
4.4 地理位置限制(可选)
# 安装xtables-addons
sudo apt install xtables-addons-common
# 下载IP地理位置数据库
sudo /usr/lib/xtables-addons/xt_geoip_dl
# 只允许中国IP访问FTP
sudo iptables -A INPUT -p tcp --dport 21 -m geoip --src-cc CN -j ACCEPT
sudo iptables -A INPUT -p tcp --dport 21 -j DROP
# 拒绝特定国家
sudo iptables -A INPUT -p tcp --dport 21 -m geoip --src-cc RU,KP -j DROP
五、vsftp安全配置
5.1 核心安全配置
编辑vsftp配置文件:
sudo nano /etc/vsftpd.conf
添加以下安全配置:
# ========== 基础安全设置 ==========
# 禁止匿名用户
anonymous_enable=NO
# 允许本地用户
local_enable=YES
# 允许写入
write_enable=YES
# ========== 用户隔离 ==========
# 启用chroot
chroot_local_user=YES
chroot_list_enable=YES
chroot_list_file=/etc/vsftpd.chroot_list
# 允许chroot用户写入(需配合chroot)
allow_writeable_chroot=YES
# ========== 权限控制 ==========
# 设置本地用户权限掩码
local_umask=022
# 禁止用户上传文件具有执行权限
file_open_mode=0644
# ========== 连接控制 ==========
# 最大连接数
max_clients=100
# 每IP最大连接数
max_per_ip=5
# 连接超时(秒)
connect_timeout=60
data_connection_timeout=300
# ========== 日志记录 ==========
# 启用详细日志
xferlog_enable=YES
xferlog_std_format=YES
log_ftp_protocol=YES
# 日志文件路径
vsftpd_log_file=/var/log/vsftpd.log
# ========== SSL/TLS加密 ==========
# 启用SSL
ssl_enable=YES
# 强制SSL加密(推荐)
force_local_data_ssl=YES
force_local_logins_ssl=YES
# SSL证书配置
rsa_cert_file=/etc/ssl/certs/vsftpd.crt
rsa_private_key_file=/etc/ssl/private/vsftpd.key
# SSL协议版本
ssl_sslv2=NO
ssl_sslv3=NO
ssl_tlsv1=YES
ssl_tlsv1_1=YES
ssl_tlsv1_2=YES
# ========== 被动模式配置 ==========
pasv_enable=YES
pasv_min_port=40000
pasv_max_port=40100
pasv_address=your_server_ip
5.2 用户访问控制
# 创建用户列表文件
sudo touch /etc/vsftpd.user_list
sudo chmod 644 /etc/vsftpd.user_list
# 编辑用户列表(允许登录的用户)
sudo nano /etc/vsftpd.user_list
# 每行一个用户名
# 创建chroot例外列表(不chroot的用户)
sudo touch /etc/vsftpd.chroot_list
sudo chmod 644 /etc/vsftpd.chroot_list
# 在vsftpd.conf中添加
userlist_enable=YES
userlist_file=/etc/vsftpd.user_list
userlist_deny=NO # 只允许列表中的用户登录
5.3 SSL证书生成
# 生成自签名证书(测试用)
sudo openssl req -x509 -nodes -days 3650 -newkey rsa:2048 \
-keyout /etc/ssl/private/vsftpd.key \
-out /etc/ssl/certs/vsftpd.crt \
-subj "/C=CN/ST=Beijing/L=Beijing/O=YourCompany/CN=ftp.yourdomain.com"
# 设置权限
sudo chmod 600 /etc/ssl/private/vsftpd.key
sudo chmod 644 /etc/ssl/certs/vsftpd.crt
# 重启vsftp
sudo systemctl restart vsftpd
六、监控与日志
6.1 实时监控脚本
#!/bin/bash
# ftp_monitor.sh - FTP实时监控脚本
LOG_FILE="/var/log/vsftpd.log"
ALERT_THRESHOLD=10 # 每分钟失败登录阈值
log() {
echo "[$(date '+%Y-%m-%d %H:%M:%S')] $1"
}
log "========== FTP监控启动 =========="
# 监控失败登录
tail -f $LOG_FILE | while read line; do
# 检测失败登录
if echo "$line" | grep -q "FAIL LOGIN"; then
IP=$(echo "$line" | awk '{print $NF}')
log "检测到失败登录: $IP"
# 检查1分钟内失败次数
FAIL_COUNT=$(grep "$(date '+%b %d %H:%M')" $LOG_FILE | grep "FAIL LOGIN" | grep "$IP" | wc -l)
if [ $FAIL_COUNT -ge $ALERT_THRESHOLD ]; then
log "⚠️ 警告: IP $IP 在1分钟内失败登录 $FAIL_COUNT 次"
# 自动封禁
sudo iptables -A INPUT -s $IP -j DROP
log "已封禁IP: $IP"
fi
fi
# 检测异常连接
if echo "$line" | grep -q "ERROR"; then
log "错误: $line"
fi
done
6.2 日志分析脚本
#!/bin/bash
# ftp_log_analyzer.sh - FTP日志分析脚本
LOG_FILE="/var/log/vsftpd.log"
echo "========== FTP日志分析报告 =========="
echo "生成时间: $(date)"
echo ""
echo "=== 登录统计 ==="
echo "成功登录次数: $(grep 'OK LOGIN' $LOG_FILE | wc -l)"
echo "失败登录次数: $(grep 'FAIL LOGIN' $LOG_FILE | wc -l)"
echo ""
echo "=== 活跃IP(失败登录前10) ==="
grep "FAIL LOGIN" $LOG_FILE | awk '{print $NF}' | sort | uniq -c | sort -rn | head -10
echo ""
echo "=== 文件传输统计 ==="
echo "下载文件数: $(grep 'DOWNLOAD' $LOG_FILE | wc -l)"
echo "上传文件数: $(grep 'UPLOAD' $LOG_FILE | wc -l)"
echo ""
echo "=== 错误统计 ==="
grep "ERROR" $LOG_FILE | awk '{for(i=1;i<=NF;i++) if($i ~ /ERROR/) print $i}' | sort | uniq -c | sort -rn
echo ""
echo "=== 连接时段分布 ==="
grep 'OK LOGIN' $LOG_FILE | awk '{print substr($3,1,2)}' | sort | uniq -c | sort -rn | head -10
6.3 防火墙状态监控
#!/bin/bash
# firewall_status.sh - 防火墙状态监控
echo "========== 防火墙状态报告 =========="
echo "生成时间: $(date)"
echo ""
# 检测防火墙类型
if command -v firewall-cmd &> /dev/null; then
echo "=== Firewalld状态 ==="
sudo firewall-cmd --state
echo ""
echo "=== 当前区域 ==="
sudo firewall-cmd --get-active-zones
echo ""
echo "=== FTP相关规则 ==="
sudo firewall-cmd --list-all | grep -E '(ftp|21|40000)'
echo ""
elif command -v iptables &> /dev/null; then
echo "=== iptables状态 ==="
sudo iptables -L -n -v | grep -E '(Chain|21|40000|ftp)'
echo ""
echo "=== FTP相关规则计数 ==="
sudo iptables -L INPUT -n -v | grep -E '(21|40000)'
fi
echo "=== 当前连接状态 ==="
sudo netstat -anp | grep :21 | head -20
echo ""
echo "=== vsftp服务状态 ==="
sudo systemctl status vsftpd | head -10
七、故障排查
7.1 常见问题诊断流程
FTP连接失败
↓
检查防火墙规则
↓
┌─────────────────┬─────────────────┐
│ 规则正常 │ 规则异常 │
│ │ │
│ 检查vsftp服务 │ 修正防火墙规则 │
│ │ │
│ • 查看日志 │ • 添加缺失端口 │
│ • 检查配置 │ • 加载FTP模块 │
│ • 重启服务 │ • 保存规则 │
└─────────────────┴─────────────────┘
↓
验证连接
7.2 诊断命令
# 1. 检查端口监听
sudo netstat -tlnp | grep :21
# 2. 检查防火墙规则
sudo iptables -L INPUT -n -v | grep 21
# 3. 检查vsftp日志
sudo tail -f /var/log/vsftpd.log
# 4. 测试连接
ftp localhost
# 5. 检查SELinux(如启用)
getsebool -a | grep ftp
setsebool -P ftp_home_dir 1
# 6. 检查被动端口范围
sudo iptables -L -n | grep 40000
# 7. 测试被动模式
lftp -u username localhost
7.3 常见错误解决
| 错误信息 | 原因 | 解决方法 |
|---|---|---|
| 421 Service not available | 服务未启动 | sudo systemctl start vsftpd |
| 530 Login incorrect | 认证失败 | 检查用户列表、密码 |
| 500 OOPS: cannot change directory | chroot失败 | 设置allow_writeable_chroot=YES |
| 425 Failed to establish connection | 防火墙拦截 | 开放被动端口范围 |
| Connection timed out | 防火墙规则 | 检查iptables/firewalld规则 |
八、安全检查清单
8.1 防火墙安全检查
- [ ] FTP命令端口21已开放
- [ ] 被动端口范围已开放(40000-40100)
- [ ] 已加载FTP连接跟踪模块(ip_conntrack_ftp)
- [ ] 已设置连接速率限制
- [ ] 已配置IP白名单(如需要)
- [ ] 已启用状态检测(ESTABLISHED/RELATED)
- [ ] 防火墙规则已保存并持久化
8.2 vsftp安全检查
- [ ] 已禁用匿名用户(anonymous_enable=NO)
- [ ] 已启用chroot限制
- [ ] 已配置用户列表
- [ ] 已启用SSL/TLS加密
- [ ] 已设置最大连接数限制
- [ ] 已配置日志记录
- [ ] 已定期备份数据
8.3 监控与响应
- [ ] 已部署日志监控脚本
- [ ] 已配置失败登录告警
- [ ] 已设置自动封禁机制
- [ ] 已定期审计日志
- [ ] 已制定应急响应预案
九、常见问题解答
Q1: 被动模式下客户端无法连接?
A: 检查以下配置:
1. 防火墙是否开放被动端口范围(40000-40100)
2. vsftp配置中pasv_address是否为公网IP
3. 是否加载了ip_conntrack_ftp模块
4. 客户端是否设置为被动模式
Q2: 如何防止FTP暴力破解?
A: 多层防护策略:
1. 防火墙限制每IP连接速率
2. vsftp配置max_per_ip限制
3. 部署fail2ban自动封禁
4. 启用强密码策略
5. 定期审计登录日志
Q3: 是否需要开启主动模式?
A: 一般不需要。被动模式更适合现代网络环境:
– 主动模式:服务器主动连接客户端,常被客户端防火墙阻止
– 被动模式:客户端主动连接服务器,兼容性更好
Q4: 如何实现多用户隔离?
A: 使用chroot机制:
chroot_local_user=YES
chroot_list_enable=YES
chroot_list_file=/etc/vsftpd.chroot_list
每个用户只能访问自己的主目录。
Q5: 防火墙规则重启后失效怎么办?
A: 确保规则持久化:
# iptables
sudo apt install iptables-persistent
sudo netfilter-persistent save
# firewalld
sudo firewall-cmd --runtime-to-permanent
十、总结
保护Linux vsftp服务器免受攻击需要多层次防护:
- 防火墙层:端口控制、速率限制、IP过滤
- 服务层:chroot隔离、SSL加密、用户控制
- 监控层:实时监控、日志分析、自动响应
- 运维层:定期审计、规则更新、应急响应
通过合理配置防火墙和vsftp,可以有效防止暴力破解、DoS攻击、端口扫描等常见威胁,确保FTP服务的安全稳定运行。
注:本文基于vsftp 3.0.3和Linux系统(Ubuntu/CentOS)编写,具体配置请以实际环境为准。