禁用匿名登錄

創建 FTP 帳戶。

在?開始?>?管理工具?>?計算機管理?>?本地用戶和組?中，創建用戶，設置強密碼（密碼建議八位以上，包括大小寫字母、特殊字符、數字等混合體，不要使用生日、姓名拼音等常見字符串），并設置該用戶屬于 GUESTS 用戶組。

禁用匿名登錄。

• Windows 2008 系統 FTP 禁用匿名登錄服務

• Windows 2012系統 FTP 禁用匿名登錄服務

啟用強密碼安全策略

在 Windows 系統中，強密碼策略是通過組策略控制的。您可以打開本地組策略編輯器（gpedit.msc），計算機配置?>?Windows 設置?>?安全設置?>?賬戶策略?>?密碼策略，啟用密碼復雜策略。

啟用?密碼必須符合復雜性要求?策略后，在更改或創建用戶密碼時會執行復雜性策略檢測，密碼必須符合以下最低要求:

• 密碼不能包含賬戶名
• 密碼不能包含用戶名中超過兩個連續字符的部分
• 密碼至少有六個字符長度

• 密碼必須包含以下四類字符中的至少三類字符類型：英文大寫字母(A-Z)、英文小寫字母(a-z)、10個基本數字(0-9)、特殊字符（例如：!、￥、#、%）

  注意： 推薦 Windows 所有需要進行用戶認證的服務都采用上述復雜密碼策略。

啟用賬戶登錄失敗處理機制

該機制對登錄失敗的賬戶實施強處理，可有效防止暴力破解攻擊事件。

啟用 FTP 目錄隔離機制

FTP 目錄隔離功能可以防止用戶查看其它用戶目錄的文件，防止數據泄露。

指定訪問源 IP

啟用授權機制

您可以根據業務需求配置授權規則，限制用戶訪問的權限。

啟用 SSL 加密傳輸功能

啟用 SSL 加密傳輸功能，需要先創建服務器證書：

在 FTP SSL 設置中，選定已創建的服務器證書即可。

啟用日志功能

IIS 中的 FTP 日志是默認啟用的，您可以根據磁盤空間情況配置日志空間大小和其他策略。

及時安裝更新補丁

在安裝更新補丁前，備份您的 vsftp 應用配置。從?VSFTPD官方網站?獲取最新版本的 vsftp 軟件安裝包，完成升級安裝。或者，您可以下載最新版 vsftp 源碼包，自行編譯后安裝更新。您也可以執行yum update vsftpd命令通過 yum 源進行更新。

禁用匿名登錄服務

添加一個新用戶（test），并配置強密碼。例如，執行useradd -d /home -s /sbin/nologin test命令。

• 其中，/sbin/nologin參數表示該用戶不能登錄 Linux shell 環境。
• test為用戶名。
• 通過passwd test命令，為該用戶配置強密碼。密碼長度建議八位以上，且密碼應包括大小寫字母、特殊字符、數字混合體，且不要使用生日、姓名拼音等常見字符串作為密碼。

修改配置文件 vsftpd.conf，執行#vim /etc/vsftpd/vsftpd.conf命令。

anonymous_enable=NO，將該參數配置為 NO 表示禁止匿名登錄，必須要創建用戶認證后才能登錄 FTP 服務。

禁止顯示 banner 信息

修改 VSFTP 配置文件 vsftpd.conf，設置ftpd_banner=Welcome。重啟 vsftp 服務后，即不顯示 banner 信息。

限制 FTP 登錄用戶

在 ftpusers 和 user_list 文件中列舉的用戶都是不允許訪問 FTP 服務的用戶（例如 root、bin、daemon 等用戶）。除了需要登錄 FTP 的用戶外，其余用戶都應該添加至此拒絕列表中。

限制 FTP 用戶目錄

修改 VSFTP 配置文件 vsftpd.conf。

新建 /etc/vsftpd/chroot_list 文件，并添加用戶名。例如，將 user1 添加至該文件，則 user1 登錄 FTP 服務后，只允許在 user1 用戶的 home 目錄中活動。

修改監聽地址和默認端口

例如，修改 VSFTP 配置文件 vsftpd.conf，設置監聽 1.1.1.1 地址的 8888 端口。

啟用日志記錄

修改 VSFTP 配置文件 vsftpd.conf，啟用日志記錄。

其他安全配置

修改 VSFTP 配置文件 vsftpd.conf。