一、禁用FTP匿名登录
在主流FTP服务(如VSFTPD、ProFTPD)中,需修改配置文件以禁用匿名访问:
- 打开VSFTPD配置文件:
/etc/vsftpd.conf,将anonymous_enable=YES改为NO。 - 对于ProFTPD,编辑
/etc/proftpd.conf,删除或注释AnonymousEnable on相关配置。 - 重启服务:执行
systemctl restart vsftpd或service proftpd restart生效。
建议同时将匿名用户从白名单(如user_list)中移除,并限制仅授权用户访问。
二、限制FTP写入权限
通过文件系统权限和FTP配置双重限制写入操作:
- 使用
chmod命令设置目录权限为750,文件权限为640,例如:chmod -R 750 /var/ftp。 - 在VSFTPD中启用
write_enable=NO全局禁用写入,或通过allow_writeable_chroot=NO限制特定目录。 - 设置
local_umask=077,使新上传文件默认仅所有者可读写。
三、使用SFTP替代方案
FTP协议存在明文传输风险,建议改用基于SSH的SFTP:
| 协议 | 加密支持 | 默认端口 |
|---|---|---|
| FTP | 否 | 21 |
| SFTP | 是 | 22 |
启用SFTP后,可通过SSH密钥认证替代密码登录,并通过/etc/ssh/sshd_config限制用户目录访问。
四、配置防火墙与日志监控
强化VPS安全需结合网络层防护:
- 使用iptables限制FTP端口(21)仅允许可信IP访问。
- 启用VSFTPD日志功能:
xferlog_enable=YES,定期分析/var/log/vsftpd.log。 - 设置连接超时参数:
idle_session_timeout=600防止资源占用。
通过禁用匿名登录、限制写入权限、启用SFTP协议及配置防火墙规则,可有效提升VPS中FTP服务的安全性。建议定期审查配置文件和系统日志,及时更新服务版本以应对潜在威胁。
本文由阿里云优惠网发布。发布者:编辑员。禁止采集与转载行为,违者必究。出处:https://aliyunyh.com/477920.html
其原创性以及文中表达的观点和判断不代表本网站。如有问题,请联系客服处理。
