FileZilla FTP Server 平安加固图文教程

FileZilla 是一款免费的跨平台 FTP 利用程序，由 FileZilla Client 和 FileZilla Server 组成。本文档根据 FileZilla Server 0.9.59 版本，向您供给一系列简捷有效的加固方案，帮忙您平安地运用 FileZilla。

注意：本文提到的大局部配置都是通过 FileZilla 服务器的 Edit > Settings > FileZilla Server Options 菜单来实现的。

设置治理密码

服务器的治理密码默许为空，倡议您设置一个较复杂的密码。例如，应至少包含大小写字母、数字、特别符号中的任意两种。

修改 Banner 信息

在访问 FTP 服务器时，默许会在 Banner 中显示服务器的版本信息，通过屏蔽版本信息显示，可以加大歹意袭击的工夫老本。操纵步骤如下：

前往 General settings > Welcome message。

从右边的 Custom welcome message 输入框中删除 %v 变量，或者直接将全部文本替代为自定义的文字。

倡议勾选下面的 Hide welcome message in log，以减少日志中的垃圾信息。

设置监听地址和端口

倡议只在一个地址上启用 FTP 服务。例如，若您只需要在内网运用 FTP 服务时，就无须在服务器绑定的公网地址上开启 FTP 服务。操纵步骤如下：

前往 General settings > IP Bindings。

在右边窗口中将默许的 * 号修改为指定的地址。

运用访问控制

设置全局 IP 过滤器，限定允许访问的 IP 地址。操纵步骤如下：

前往 General settings > IP Filters。

在右边上部窗口中填入要阻止访问的 IP 范畴，在右边下部窗口中填写允许访问的 IP 范畴。

注意：平常采纳阻止所有 IP（填写 *），然后仅允许局部 IP 的方式来进行有效的限定。例如，下图中仅允许 192.168.1.0/24 网段访问 FTP 服务。

另外，FileZilla 服务器也支撑会员级和会员组级的 IP 过滤器。前往 Edit > Users/Groups 打开对应设置页，在设置页中找到 IP Filters，然后选中需要设置的会员，设置允许和拒绝的 IP 即可。设置要领与全局 IP 过滤器雷同。

开启 FTP Bounce 袭击防护

FTP Bounce 袭击是一种应用 FXP 功能的袭击情势，默许状况下服务器未关闭相干功能，倡议将相干功能设置为阻止。

要是服务器需要在与某个特定 IP 的服务器之间运用该功能，倡议运用 IPs must match exactly 选项，然后通过 IP Filters（见 运用访问控制）来进行限定来访 IP。操纵步骤如下：

前往 General settings > Security settings。

如下图所示，默许选项已经启用了需要精准匹配连贯地址，倡议不要修改。

配置会员认证战略

默许状况下，当涌现屡次会员认证失败后，服务器会断开与客户端的连贯，但并没有严厉的限定战略。通过下面的设置，可以对陆续屡次尝试登录失败的客户端 IP 进行阻止，滋扰其陆续尝试行为。

前往 General settings > Autoban。

下图中的设置会对一小时内陆续 10 次登录失败的 IP 进行阻止，阻止时长为 1 个小时。

提高会员密码复杂度

FileZilla 服务器未供给限定密码复杂度的选项，且服务器会员是由治理员通过治理接口来增加的，会员也没法通过 FTP 下令来修改密码。因而，倡议治理员在增加会员时为会员配置复杂的密码。

最小化访问授权

FileZilla 支撑目录级别的访问权限设置，可对某个目录设置文件读 、写、删除、增加、目录创建、删除、列举等权限。倡议依据现实利用需要，联合会员权限最小化准则来分配文件夹的权限。

注意：该操纵需要提早增加账号和组后才能配置。

启用 TLS 加密认证

FileZilla 服务器支撑 TLS 加密功能，会员要是没有证书可以运用自带功能来创建。

也支撑针对单个会员强迫启用 TLS 加密访问。

启动日志记载

FileZilla 服务器默许未开启日志记载，为了利便对各种事件的追究，倡议开启日志记载功能，并将日志设置为天天一个日志文件，以免单文件过大。

默许状况下，日志已经设置不记载会员密码；但在加固的时候应检查此选项，确保其已启用，以免密码泄露。

下面的其它网友的补充很好

FileZilla Server 默许是以系统服务运转，运转账户为 SYSTEM ，这样非常惊险。需要降权并给
予恰当的读写权限。

1、创立一个运转 FileZilla Server 的系统账户
1）新增一个会员，名为 FileZilla_HWS ；
2）设置会员 FileZilla_HWS 只属于 Guests 组 ；

2、设置 FileZilla Server 目录的权限
1）找到FileZilla Server施行目录（在系统服务里面获取，服务名默许为FileZilla Server）
；
给FileZilla Server施行目录目录 Administrators、SYSTEM "完全控制" 权限；给
FileZilla_HWS "完全控制" 权限；
2）找到FTP文件寄存目录（FileZilla Server的治理控制台里面获取）；
给FTP文件寄存目录 Administrators、SYSTEM "完全控制" 权限；FileZilla_HWS "读取/写
入/删除" 权限；
(若有多个FTP文件寄存目录，需要都增加上FileZilla_HWS "读取/写入/删除" 权限；)

3、设置FileZilla Server服务
1）设置 FileZilla Server 服务启动帐户为 FileZilla_HWS ；
2）重启 FileZilla Server 服务；

4、测试效果
1）FileZilla Server 运转账户是 FileZilla_HWS ，成功降权；
2）FlashFXP连贯测试

“读/写/删除”均正常；

5、其他防护办法
要是您的FileZilla Server不能降权，但又要解决平安题目；可以运用护卫神·防篡改系统（专业版）来解决。
通过护卫神·防篡改系统（专业版）的“进程限定”模块，
设置FileZilla Server只能对FileZilla Server主目录和FTP目录有相干操纵权限。
这样黑客就没法通过FileZilla Server入侵服务器了。