在RAKsmart服务器上配置安全FTP传输的详细教程，涵盖Linux（vsftpd）和Windows（IIS）两大平台，重点强化安全性与用户管理，主机推荐小编为您整理发布RAKsmart服务器上如何配置FTP远程传输系列教程：增强FTP安全性与用户管理。

一、禁用匿名FTP访问

Linux (vsftpd)

# 编辑配置文件
sudo nano /etc/vsftpd.conf

修改以下参数：

anonymous_enable=NO          # 禁用匿名登录
local_enable=YES             # 允许本地用户登录

重启服务：

sudo systemctl restart vsftpd

Windows (IIS)

1. 打开 IIS管理器 → 选择FTP站点 → FTP身份验证

2. 右键禁用 匿名身份验证

3. 启用 基本身份验证（需配合SSL加密）

二、强制使用强密码策略

Linux

# 安装密码策略模块
sudo apt install libpam-pwquality  # Debian/Ubuntu
sudo yum install pam_pwquality     # CentOS

# 编辑密码策略
sudo nano /etc/security/pwquality.conf

设置最低要求：

minlen = 12
minclass = 3  # 包含数字/大写/小写/符号中至少3类

Windows

1. 按 Win+R → 输入 secpol.msc

2. 进入 账户策略 → 密码策略：

   • 密码最小长度：12字符

   • 密码必须符合复杂性要求：启用

三、创建专用FTP用户（非管理员）

Linux

# 创建仅限FTP使用的用户
sudo useradd -m -d /home/ftpuser -s /bin/false ftpuser
sudo passwd ftpuser  # 设置强密码

# 禁止SSH登录（增强安全）
sudo usermod -s /usr/sbin/nologin ftpuser

Windows

1. 按 Win+R → 输入 compmgmt.msc

2. 进入 本地用户和组 → 用户 → 右键新建用户

3. 取消勾选 用户下次登录时必须更改密码

4. 将用户加入 Guests组（非管理员）

四、配置用户隔离（限制访问目录）

Linux (chroot Jail)

sudo nano /etc/vsftpd.conf

启用chroot隔离：

chroot_local_user=YES
allow_writeable_chroot=YES  # 允许在隔离目录内写入

创建用户专属目录：

sudo mkdir -p /home/ftpuser/files
sudo chown ftpuser:ftpuser /home/ftpuser/files

Windows (IIS用户隔离)

1. IIS管理器 → FTP站点 → FTP用户隔离

2. 选择 用户名目录（自动锁定用户到同名文件夹）

3. 在 C:\inetpub\ftproot 创建用户同名文件夹（如 ftpuser）

五、启用FTP over TLS/SSL (FTPS)

Linux (vsftpd)

1. 生成自签名证书：

   bash

   sudo openssl req -x509 -nodes -days 365 -newkey rsa:2048 \
   -keyout /etc/ssl/private/vsftpd.key \
   -out /etc/ssl/certs/vsftpd.crt

2. 配置vsftpd.conf：

   ini

   ssl_enable=YES
   rsa_cert_file=/etc/ssl/certs/vsftpd.crt
   rsa_private_key_file=/etc/ssl/private/vsftpd.key
   ssl_tlsv1=YES
   ssl_sslv2=NO
   ssl_sslv3=NO
   require_ssl_reuse=NO
   ssl_ciphers=HIGH

3. 重启服务：sudo systemctl restart vsftpd

Windows (IIS)

1. 绑定证书：

   • IIS管理器 → 服务器节点 → 服务器证书

   • 导入现有证书或创建自签名证书

2. 启用FTPS：

   • FTP站点 → FTP SSL设置

   • 选择 要求SSL连接

   • 指定导入的证书

六、防火墙配置

Linux

# 放行显式FTPS（端口990）和被动模式端口范围
sudo ufw allow 990/tcp
sudo ufw allow 30000:31000/tcp  # vsftpd.conf中需设置pasv_min_port/pasv_max_port

Windows

1. 控制面板 → Windows Defender 防火墙

2. 高级设置 → 添加入站规则：

   • 端口：990 (TCP) + 被动模式端口范围

安全增强建议

1. 日志监控：

   • Linux：/var/log/vsftpd.log

   • Windows：IIS管理器 → FTP站点 → 日志功能

2. 连接超时设置：

   ini

   # vsftpd.conf
   idle_session_timeout=300
   data_connection_timeout=60

3. IP访问限制（可选）：

   • IIS：FTP IPv4地址限制

   • vsftpd：tcp_wrappers=YES + /etc/hosts.allow配置

配置验证步骤

1. 使用FileZilla客户端连接，协议选择 FTPES (显式加密)

2. 测试上传/下载文件

3. 验证用户是否被限制在专属目录

4. 尝试匿名登录应被拒绝

通过以上配置，可显著提升FTP服务的安全性，有效防止未授权访问和数据泄露风险。

年中钜惠 全线福利价

热销VPS $1.99/月起，多款产品享年付半价还加赠时长!促销产品拼团购买，立享折上8折优惠。

1. 注册成为RAKsmart用户均可领取产品优惠券;

2. 产品折扣券为指定产品的专属折扣券，仅限指定产品下单使用;

3. 产品折扣券有效期与活动同步，在活动会场下单可直接使用;

4. 产品折扣券活动最终解释权为RAKsmart 所有。

爆款秒杀 续费同价 

1. 秒杀产品购买后，不支持退款;

2. 秒杀产品美国时间0点(北京时间16点)开放库存;

3. 秒杀产品每日限量20台，先到先得，售完即止;

4. 秒杀产品每个用户当月限购5台;

5. 新用户专享秒杀限30天内新注册用户购买，每个秒杀产品限购1台;

6. 秒杀活动注册成为RAKsmart用户均可参与，且最终解释权为RAKsmart所有。更多年中钜惠全线活动可查看详情页。

主机推荐小编温馨提示：以上是小编为您整理发布的RAKsmart服务器上如何配置FTP远程传输系列教程：增强FTP安全性与用户管理。更多知识分享可持续关注我们，raksmart机房更有多款云产品免费体验，助您开启全球上云之旅。