117笔记问答在CentOS上使用FileZilla进行安全设置,可以参考以下步骤:
-
生成SSL/TLS证书和密钥:
- 在/etc/ssl目录下创建用于保存SSL/TLS证书和密钥文件的子目录:
mkdir /etc/ssl/private
- 为vsftpd创建证书和密钥并保存到一个文件中:
openssl req -x509 -nodes -keyout /etc/ssl/private/vsftpd.pem -out /etc/ssl/private/vsftpd.pem -days 365 -newkey rsa:2048
- 上述命令会让你回答一些问题,记住使用你自己的情况值。
- 在/etc/ssl目录下创建用于保存SSL/TLS证书和密钥文件的子目录:
-
配置VSFTPD使用SSL/TLS:
- 开放990和40000-50000端口:
firewall-cmd --zone=public --permanent --add-port=990/tcp firewall-cmd --zone=public --permanent --add-port=40000-50000/tcp firewall-cmd --reload
- 打开vsftpd配置文件并在文件中指定SSL的详细信息:
vi /etc/vsftpd/vsftpd.conf
找到并设置以下选项:ssl_enable=YES ssl_tlsv1_2=YES ssl_sslv2=NO ssl_sslv3=NO rsa_cert_file=/etc/ssl/private/vsftpd.pem rsa_private_key_file=/etc/ssl/private/vsftpd.pem
- 阻止匿名用户使用SSL,并强制所有非匿名用户登录使用安全的SSL连接进行数据传输和登录过程中的密码发送。
- 开放990和40000-50000端口:
-
FileZilla Server配置:
- 安装完成后,在FileZilla Server Interface中进行以下配置:
- 常规设置:修改FTP控制通道默认端口,启用SSL/TLS,设置管理密码等。
- 用户设置:添加用户,设置用户权限和主目录。
- 被动模式设置:配置被动模式端口范围,确保端口在防火墙中开放。
- IP过滤:设置IP白名单和黑名单,限制访问。
- 安装完成后,在FileZilla Server Interface中进行以下配置:
-
加固FileZilla安全:
- 设置复杂的管理密码,启用FTP Bounce攻击防护,配置用户认证策略,启用TLS加密认证,定期更新和打补丁。
通过上述步骤,可以显著提高FileZilla在CentOS上的安全性。