RockyLinux FTP安全配置指南（手把手教你加固vsftpd服务器）

一、安装 vsftpd 服务

首先，确保你的 RockyLinux 系统已更新，并安装 vsftpd：

sudo dnf update -ysudo dnf install vsftpd -ysudo systemctl start vsftpdsudo systemctl enable vsftpd  

二、基础安全配置

编辑 vsftpd 的主配置文件 /etc/vsftpd/vsftpd.conf，进行以下关键设置：

sudo nano /etc/vsftpd/vsftpd.conf  

在配置文件中，确保包含以下安全相关的参数（如有重复，请修改；如无，请添加）：

# 禁止匿名登录anonymous_enable=NO# 允许本地用户登录local_enable=YES# 限制用户只能访问自己的家目录（chroot）chroot_local_user=YES# 启用写权限（根据需求开启）write_enable=YES# 限制 chroot 目录可写时的安全策略（必须启用，否则可能启动失败）allow_writeable_chroot=YES# 使用本地时间use_localtime=YES# 启用日志记录xferlog_enable=YESxferlog_file=/var/log/vsftpd.log# 限制端口范围（用于被动模式）pasv_min_port=60000pasv_max_port=60100# 仅监听 IPv4（可选）listen=YESlisten_ipv6=NO  

三、创建专用FTP用户（推荐）

为避免使用 root 或高权限账户，建议创建一个专用的低权限用户：

# 创建用户 ftpuser，指定家目录为 /srv/ftpsudo useradd -d /srv/ftp -s /sbin/nologin ftpuser# 设置密码sudo passwd ftpuser# 设置目录权限sudo mkdir -p /srv/ftpsudo chown ftpuser:ftpuser /srv/ftpsudo chmod 755 /srv/ftp  

注意：/sbin/nologin 可防止该用户通过 SSH 登录系统，提升安全性。

四、配置防火墙与 SELinux

RockyLinux 默认启用 firewalld 和 SELinux，需做相应调整：

1. 防火墙设置：

sudo firewall-cmd --permanent --add-service=ftpsudo firewall-cmd --permanent --add-port=60000-60100/tcpsudo firewall-cmd --reload  

2. SELinux 设置（如启用）：

sudo setsebool -P ftpd_full_access on  

如果你不需要 SELinux 对 FTP 的严格控制，也可临时关闭（不推荐生产环境）。

五、重启服务并测试

sudo systemctl restart vsftpd  

使用 FTP 客户端（如 FileZilla）连接测试，确保能正常登录且无法跳出家目录。

六、定期维护与监控

完成 RockyLinux FTP安全配置后，还需定期检查日志（/var/log/vsftpd.log），及时更新系统补丁，并遵循最小权限原则管理 FTP用户权限管理。此外，建议结合 Fail2ban 等工具防止暴力破解。

通过以上步骤，你已经成功完成了 vsftpd安全设置，大幅提升了 RockyLinux FTP服务器加固 水平。安全无小事，细节决定成败！