117笔记问答优化 CentOS 上的 vsftpd(Very Secure FTP Daemon)可以从多个方面进行,包括配置调整、安全增强和性能优化。以下是一些常见的优化步骤:
1. 安装 vsftpd
首先,确保你已经安装了 vsftpd。如果没有安装,可以使用以下命令进行安装:
sudo yum install vsftpd
2. 配置 vsftpd
编辑 vsftpd 的主配置文件 /etc/vsftpd/vsftpd.conf:
sudo vi /etc/vsftpd/vsftpd.conf
基本配置
- 匿名访问:如果你不需要匿名访问,可以禁用它:
anonymous_enable=NO
- 本地用户登录:允许本地用户登录:
local_enable=YES
- 写权限:允许本地用户上传文件:
write_enable=YES
- 被动模式:使用被动模式以提高防火墙的兼容性:
pasv_enable=YES pasv_min_port=1024 pasv_max_port=1048
安全配置
- 禁止用户登录 shell:防止用户通过 FTP 登录到 shell:
chroot_local_user=YES allow_writeable_chroot=YES
- SSL/TLS 加密:启用 SSL/TLS 加密以提高安全性:
ssl_enable=YES force_local_data_ssl=YES force_local_logins_ssl=YES ssl_tlsv1=YES ssl_sslv2=NO ssl_sslv3=NO rsa_cert_file=/etc/pki/tls/certs/your_certificate.crt rsa_private_key_file=/etc/pki/tls/private/your_private_key.key
性能优化
- 连接数限制:增加最大连接数:
max_clients=100 max_per_ip=5
- 数据连接超时:设置数据连接的超时时间:
data_connection_timeout=300
3. 重启 vsftpd 服务
保存配置文件后,重启 vsftpd 服务以应用更改:
sudo systemctl restart vsftpd
4. 防火墙配置
确保防火墙允许 FTP 相关的端口。例如,使用 firewalld:
sudo firewall-cmd --permanent --add-port=21/tcp sudo firewall-cmd --permanent --add-port=1024-1048/tcp sudo firewall-cmd --reload
5. SELinux 配置
如果启用了 SELinux,可能需要调整相关策略以允许 vsftpd 正常运行:
sudo setsebool -P ftp_home_dir on sudo chcon -Rt svirt_sandbox_file_t /home/*
6. 日志监控
定期检查 vsftpd 的日志文件 /var/log/vsftpd.log 以监控连接和潜在的安全问题。
通过以上步骤,你可以显著提高 CentOS 上 vsftpd 的性能和安全性。根据具体需求,可能还需要进行进一步的调整和优化。