FileZilla 是一款免費的跨平臺 FTP 應用程序，由 FileZilla Client 和 FileZilla Server 組成。本文檔依據 FileZilla Server 0.9.59 版本，向您提供一系列簡便有效的加固方案，幫助您安全地使用 FileZilla。

注意：本文提到的大部分配置都是通過 FileZilla 服務器的 Edit > Settings > FileZilla Server Options 菜單來實現的。

設置管理密碼

服務器的管理密碼默認為空，建議您設置一個較復雜的密碼。例如，應至少包含大小寫字母、數字、特殊符號中的任意兩種。

修改 Banner 信息

在訪問 FTP 服務器時，默認會在 Banner 中顯示服務器的版本信息，通過屏蔽版本信息顯示，可以加大惡意攻擊的時間成本。操作步驟如下：

1. 前往 General settings > Welcome message。

2. 從右側的 Custom welcome message 輸入框中刪除 %v 變量，或者直接將全部文本替換為自定義的文字。

1. 建議勾選下面的 Hide welcome message in log，以減少日志中的垃圾信息。

設置監(jiān)聽地址和端口

建議只在一個地址上啟用 FTP 服務。例如，若您只需要在內網使用 FTP 服務時，就不必在服務器綁定的公網地址上開啟 FTP 服務。操作步驟如下：

1. 前往 General settings > IP Bindings。

2. 在右側窗口中將默認的 * 號修改為指定的地址。

使用訪問控制

設置全局 IP 過濾器，限制允許訪問的 IP 地址。操作步驟如下：

1. 前往 General settings > IP Filters。

2. 在右側上部窗口中填入要阻止訪問的 IP 范圍，在右側下部窗口中填寫允許訪問的 IP 范圍。

   注意：通常采用阻止所有 IP（填寫 *），然后僅允許部分 IP 的方式來進行有效的限制。例如，下圖中僅允許 192.168.1.0/24 網段訪問 FTP 服務。

另外，FileZilla 服務器也支持用戶級和用戶組級的 IP 過濾器。前往 Edit > Users/Groups 打開對應設置頁，在設置頁中找到 IP Filters，然后選擇需要設置的用戶，設置允許和拒絕的 IP 即可。設置方法與全局 IP 過濾器相同。

開啟 FTP Bounce 攻擊防護

FTP Bounce 攻擊是一種利用 FXP 功能的攻擊形式，默認情況下服務器未關閉相關功能，建議將相關功能設置為阻止。

如果服務器需要在與某個特定 IP 的服務器之間使用該功能，建議使用 IPs must match exactly 選項，然后通過 IP Filters（見 使用訪問控制）來進行限制來訪 IP。操作步驟如下：

1. 前往 General settings > Security settings。

2. 如下圖所示，默認選項已經啟用了需要精確匹配連接地址，建議不要修改。

配置用戶認證策略

默認情況下，當出現多次用戶認證失敗后，服務器會斷開與客戶端的連接，但并沒有嚴格的限制策略。通過下面的設置，可以對連續(xù)多次嘗試登錄失敗的客戶端 IP 進行阻止，干擾其連續(xù)嘗試行為。

1. 前往 General settings > Autoban。

2. 下圖中的設置會對一小時內連續(xù) 10 次登錄失敗的 IP 進行阻止，阻止時長為 1 個小時。

提高用戶密碼復雜度

FileZilla 服務器未提供限制密碼復雜度的選項，且服務器用戶是由管理員通過管理接口來添加的，用戶也無法通過 FTP 命令來修改密碼。因此，建議管理員在添加用戶時為用戶配置復雜的密碼。

最小化訪問授權

FileZilla 支持目錄級別的訪問權限設置，可對某個目錄設置文件讀 、寫、刪除、添加、目錄創(chuàng)建、刪除、列舉等權限。建議根據實際應用需要，結合用戶權限最小化原則來分配文件夾的權限。

注意：該操作需要提前添加賬號和組后才能配置。

啟用 TLS 加密認證

FileZilla 服務器支持 TLS 加密功能，用戶如果沒有證書可以使用自帶功能來創(chuàng)建。

也支持針對單個用戶強制啟用 TLS 加密訪問。

啟動日志記錄

FileZilla 服務器默認未開啟日志記錄，為了方便對各種事件的追查，建議開啟日志記錄功能，并將日志設置為每天一個日志文件，避免單文件過大。

默認情況下，日志已經設置不記錄用戶密碼；但在加固的時候應檢查此選項，確保其已啟用，避免密碼泄露。