一、为什么需要加固FTP服务器
1.1 传统FTP的安全风险
| 风险类型 | 说明 | 风险级别 |
|---|---|---|
| 明文传输 | 用户名、密码、文件内容均为明文 | 高 |
| 无加密 | 数据可被嗅探和篡改 | 高 |
| 匿名访问 | 默认配置可能允许匿名登录 | 中 |
| 暴力破解 | 缺乏防护机制 | 中 |
1.2 安全替代方案对比
| 协议 | 加密 | 端口 | 推荐度 |
|---|---|---|---|
| FTP | 无 | 21 | 不推荐 |
| FTPS | TLS加密 | 21/990 | 推荐 |
| SFTP | SSH加密 | 22 | 强烈推荐 |
二、安装和配置vsftpd(FTPS)
2.1 安装vsftpd
# 更新软件包索引
sudo apt update
# 安装vsftpd
sudo apt install vsftpd -y
# 检查服务状态
sudo systemctl status vsftpd
# 开机自启
sudo systemctl enable vsftpd
2.2 基础安全配置
# 备份原始配置
sudo cp /etc/vsftpd.conf /etc/vsftpd.conf.orig
# 编辑配置文件
sudo vi /etc/vsftpd.conf
# 基础安全配置
anonymous_enable=NO
local_enable=YES
write_enable=YES
local_umask=022
dirmessage_enable=YES
xferlog_enable=YES
connect_from_port_20=YES
xferlog_std_format=YES
chroot_local_user=YES
secure_chroot_dir=/var/run/vsftpd/empty
pam_service_name=vsftpd
rsa_cert_file=/etc/ssl/certs/vsftpd.pem
rsa_private_key_file=/etc/ssl/private/vsftpd.key
ssl_enable=YES
三、配置FTPS(SSL/TLS加密)
3.1 生成SSL证书
# 创建证书目录
sudo mkdir -p /etc/ssl/private
# 生成自签名证书(生产环境应使用CA签发证书)
sudo openssl req -x509 -nodes -days 365 -newkey rsa:2048 \
-keyout /etc/ssl/private/vsftpd.key \
-out /etc/ssl/certs/vsftpd.pem
# 设置证书权限
sudo chmod 600 /etc/ssl/private/vsftpd.key
sudo chmod 644 /etc/ssl/certs/vsftpd.pem
3.2 配置vsftpd使用SSL
# 编辑/etc/vsftpd.conf
sudo vi /etc/vsftpd.conf
# 添加以下SSL配置
ssl_enable=YES
allow_anon_ssl=NO
force_local_data_ssl=YES
force_local_logins_ssl=YES
ssl_tlsv1=YES
ssl_sslv2=NO
ssl_sslv3=NO
rsa_cert_file=/etc/ssl/certs/vsftpd.pem
rsa_private_key_file=/etc/ssl/private/vsftpd.key
3.3 重启vsftpd并测试
# 重启服务
sudo systemctl restart vsftpd
# 检查监听端口
sudo ss -tulnp | grep vsftpd
# 使用lftp测试FTPS
sudo apt install lftp -y
lftp -u username,password localhost
set ftp:ssl-force true
ls
四、配置SFTP(推荐方案)
4.1 SFTP vs FTPS
SFTP(SSH File Transfer Protocol)比FTPS更安全、更易配置:
| 对比项 | FTPS | SFTP |
|---|---|---|
| 协议 | FTP over SSL/TLS | SSH子系统 |
| 端口 | 21+被动端口 | 22 |
| 防火墙 | 需要开放多个端口 | 只需22端口 |
| 加密 | 可选 | 强制 |
| 配置复杂度 | 高 | 低 |
4.2 安装和配置OpenSSH
# 安装OpenSSH
sudo apt install openssh-server -y
# 编辑SSH配置
sudo vi /etc/ssh/sshd_config
# 确保以下配置启用
Subsystem sftp /usr/lib/openssh/sftp-server
# 或使用内部SFTP子系统(推荐)
Subsystem sftp internal-sftp
4.3 配置SFTP-only用户
# 创建sftp用户组
sudo groupadd sftpusers
# 创建用户并设置密码
sudo useradd -m -G sftpusers -s /usr/sbin/nologin sftpuser
sudo passwd sftpuser
# 配置SSH限制sftpusers组只能使用SFTP
sudo vi /etc/ssh/sshd_config
# 在文件末尾添加
Match Group sftpusers
ChrootDirectory /home
ForceCommand internal-sftp
AllowTcpForwarding no
X11Forwarding no
# 重启SSH
sudo systemctl restart sshd
五、防火墙配置
5.1 使用UFW配置防火墙
# 启用UFW
sudo ufw enable
# 允许SSH(SFTP)
sudo ufw allow 22/tcp
# 允许FTPS控制端口
sudo ufw allow 21/tcp
# 允许FTPS被动模式端口范围
sudo vi /etc/vsftpd.conf
# 添加:
pasv_min_port=40000
pasv_max_port=50000
# 防火墙开放被动端口
sudo ufw allow 40000:50000/tcp
# 查看规则
sudo ufw status verbose
5.2 使用iptables配置防火墙
# 允许SFTP
sudo iptables -A INPUT -p tcp --dport 22 -j ACCEPT
# 允许FTPS
sudo iptables -A INPUT -p tcp --dport 21 -j ACCEPT
sudo iptables -A INPUT -p tcp --dport 40000:50000 -j ACCEPT
# 保存规则
sudo iptables-save > /etc/iptables/rules.v4
六、用户管理和chroot
6.1 限制用户只能访问家目录(chroot)
# 编辑vsftpd.conf
sudo vi /etc/vsftpd.conf
# 启用chroot
chroot_local_user=YES
chroot_list_enable=YES
chroot_list_file=/etc/vsftpd.chroot_list
# 创建chroot白名单(列在此文件的用户不受chroot限制)
sudo vi /etc/vsftpd.chroot_list
# 添加用户名(每行一个)
sudo systemctl restart vsftpd
注意:如果启用chroot_local_user=YES,则/etc/vsftpd.chroot_list中的用户是不受chroot限制的;如果chroot_local_user=NO,则该文件中的用户受chroot限制。
6.2 配置用户只能访问特定目录
# 创建专门的FTP目录
sudo mkdir -p /var/ftp/user1
sudo chown root:root /var/ftp/user1
sudo chmod 755 /var/ftp/user1
# 创建可写子目录
sudo mkdir /var/ftp/user1/uploads
sudo chown user1:user1 /var/ftp/user1/uploads
sudo chmod 755 /var/ftp/user1/uploads
# 在vsftpd.conf中指定用户目录
sudo vi /etc/vsftpd.conf
# 添加:
user_config_dir=/etc/vsftpd/user_conf
# 为用户创建独立配置
sudo mkdir -p /etc/vsftpd/user_conf
sudo vi /etc/vsftpd/user_conf/user1
# 添加:
local_root=/var/ftp/user1
七、日志和监控
7.1 启用vsftpd日志
# 编辑vsftpd.conf
sudo vi /etc/vsftpd.conf
# 启用日志
xferlog_enable=YES
xferlog_file=/var/log/vsftpd.log
log_ftp_protocol=YES # 调试用,生产环境应设为NO
# 重启vsftpd
sudo systemctl restart vsftpd
# 查看日志
sudo tail -f /var/log/vsftpd.log
7.2 监控异常登录
#!/bin/bash
# /usr/local/bin/monitor-ftp.sh
LOG_FILE="/var/log/vsftpd.log"
ALERT_EMAIL="admin@example.com"
THRESHOLD=10 # 10次失败登录触发告警
# 统计失败登录
fail_count=$(grep "FAIL LOGIN" $LOG_FILE | tail -n 100 | wc -l)
if [ $fail_count -ge $THRESHOLD ]; then
echo "$(date): FTP异常登录告警!失败次数: $fail_count" | \
mail -s "FTP安全告警" $ALERT_EMAIL
fi
# 检查异常IP
echo "异常登录IP统计:" >> /tmp/ftp_monitor.log
grep "FAIL LOGIN" $LOG_FILE | awk '{print $NF}' | sort | uniq -c | sort -rn >> /tmp/ftp_monitor.log
添加到crontab定期执行:
sudo crontab -e
# 每10分钟执行一次
*/10 * * * * /usr/local/bin/monitor-ftp.sh
八、安全加固清单
8.1 基础加固
# 1. 禁用匿名登录
anonymous_enable=NO
# 2. 限制用户列表
userlist_enable=YES
userlist_file=/etc/vsftpd.user_list
userlist_deny=NO # 仅允许列表中的用户
# 3. 启用TCP Wrappers
tcp_wrappers=YES
# 4. 限制连接速率
max_per_ip=2
max_login_fails=3
# 5. 设置超时
idle_session_timeout=300
data_connection_timeout=300
8.2 使用fail2ban防御暴力破解
# 安装fail2ban
sudo apt install fail2ban -y
# 创建vsftpd jail配置
sudo vi /etc/fail2ban/jail.local
# 添加以下内容
[vsftpd]
enabled = true
port = ftp,ftp-data,ftps,ftps-data
logpath = /var/log/vsftpd.log
maxretry = 3
bantime = 3600
# 重启fail2ban
sudo systemctl restart fail2ban
# 查看ban状态
sudo fail2ban-client status vsftpd
九、使用证书认证(无密码登录)
9.1 为SFTP配置SSH密钥认证
# 在客户端生成密钥对
ssh-keygen -t rsa -b 4096
# 将公钥上传到服务器
ssh-copy-id sftpuser@server_ip
# 在服务器上禁用密码认证(可选)
sudo vi /etc/ssh/sshd_config
# 修改以下配置
PasswordAuthentication no
PubkeyAuthentication yes
# 重启SSH
sudo systemctl restart sshd
9.2 为FTPS配置客户端证书
# 在vsftpd.conf中启用客户端证书验证
sudo vi /etc/vsftpd.conf
# 添加:
require_cert=YES
ca_certs_file=/etc/ssl/certs/ca-certificates.crt
# 重启vsftpd
sudo systemctl restart vsftpd
十、常见问题解答
Q1: 连接FTPS时出现”证书验证失败”?
A: 客户端需要信任服务器证书。对于自签名证书,需要手动导入:
# 客户端导入服务器证书(lftp示例)
lftp -u username,password localhost
set ssl:verify-certificate false # 不验证证书(仅测试用)
# 或导入CA证书
set ssl:ca-file /path/to/ca-cert.crt
Q2: SFTP用户如何限制只能访问特定目录?
A: 使用ChrootDirectory:
# 在sshd_config中
Match Group sftpusers
ChrootDirectory /var/sftp/%u
ForceCommand internal-sftp
# 设置目录权限(必须root拥有)
sudo mkdir -p /var/sftp/user1
sudo chown root:root /var/sftp/user1
sudo chmod 755 /var/sftp/user1
Q3: 如何启用FTPS的被动模式?
A: 在vsftpd.conf中配置:
pasv_enable=YES
pasv_min_port=40000
pasv_max_port=50000
pasv_address=your_server_ip # 服务器公网IP
十一、总结
Ubuntu上实现FTP服务器安全访问的关键步骤:
- 禁用传统FTP,使用FTPS或SFTP
- 配置SSL/TLS证书(FTPS)或使用SSH(SFTP)
- 启用chroot限制用户目录访问
- 配置防火墙仅开放必要端口
- 启用日志监控和fail2ban防御暴力破解
- 使用密钥认证替代密码认证
- 定期更新系统和FTP服务器软件
推荐方案:
– 对外服务:使用SFTP(端口22,配置简单、安全性高)
– 内部网络:可使用FTPS(如必须与旧客户端兼容)
注:本文基于Ubuntu 22.04 + vsftpd 3.0.5环境整理,适用于Ubuntu 20.04及以上版本。