117笔记问答在CentOS系统上配置FTPS(FTP Secure)服务器主要涉及安装和配置vsftpd软件包,并采取一系列安全措施来保护数据传输和用户账户的安全。以下是详细的配置步骤和安全建议:
安装vsftpd
首先,确保系统是最新的,然后安装vsftpd:
sudo yum update -y sudo yum install vsftpd -y
配置vsftpd
编辑vsftpd的配置文件 /etc/vsftpd/vsftpd.conf:
sudo vi /etc/vsftpd/vsftpd.conf
在配置文件中,可以设置一些基本选项,例如:
anonymous_enable=NO:禁止匿名用户登录。local_enable=YES:允许本地用户登录。write_enable=YES:允许用户写入文件。chroot_local_user=YES:将本地用户锁定在他们的主目录中。allow_writeable_chroot=NO:禁止chroot目录可写(这是为了安全考虑,通常设置为NO)。
配置端口
默认情况下,FTP使用端口21。你可以更改这个端口以增加安全性。例如,使用端口2121:
listen_port=2121
配置用户权限
创建一个新的系统用户来管理FTP服务器,而不是使用root用户。例如:
sudo useradd ftpuser sudo passwd ftpuser
然后在配置文件中添加这个用户:
local_root=/home/ftpuser
配置防火墙
确保你的防火墙允许FTP流量。使用firewalld配置规则:
sudo firewall-cmd --permanent --add-service=ftp sudo firewall-cmd --reload
启用SSL/TLS加密
为了增加安全性,可以配置vsftpd使用SSL/TLS。安装必要的软件包:
sudo yum install openssl -y
生成SSL证书和密钥:
sudo openssl req -x509 -nodes -days 365 -newkey rsa:2048 -keyout /etc/pki/tls/private/vsftpd.key -out /etc/pki/tls/certs/vsftpd.crt
编辑vsftpd配置文件,添加以下内容:
ssl_enable=YES ssl_cert_file=/etc/pki/tls/certs/vsftpd.crt ssl_key_file=/etc/pki/tls/private/vsftpd.key
重启vsftpd服务:
sudo systemctl restart vsftpd
其他安全建议
- 日志记录:启用FTP服务器的日志记录功能,记录所有FTP活动,以便于监控和审计。
- 定期更新和维护:定期更新FTP服务器软件和其依赖组件,以修复已知的安全漏洞。
- 使用强密码策略:要求用户使用包含大小写字母、数字和特殊字符的密码,并且定期更换密码。
- 限制登录尝试:设立失败登录次数限制,防止暴力破解攻击。
- 文件和目录权限:正确配置FTP服务器的文件和目录权限,只授权用户访问他们需要的文件和目录。