先看真实案例：程序员小王用默认密码"admin123"登录服务器传文件，结果网站被挂马植入挖矿程序——这就是不重视FTP密码安全的代价！今天我用10年运维经验教你正确姿势修改VPS的FTP密码。（文末附赠3个必做的安全加固技巧）

---

一、为什么必须改默认FTP密码？（血的教训）

上周处理过一起服务器入侵事件：某电商平台使用`vsftpd`默认配置+弱口令"ftpuser"，黑客通过暴力破解上传webshell脚本后：

- 盗取客户数据库（损失200万）

- 植入DDoS攻击程序（导致IP被封）

- 服务器沦为肉鸡（每天发送5万封垃圾邮件）

关键数据：Shodan搜索引擎显示全网有87万台服务器仍在使用默认FTP配置！黑客批量扫描21端口已成常态操作。

二、不同环境下的改密实操（手把手教学）

▶️ 场景1：纯命令行操作（Linux系统通用）

以CentOS系统+vsftpd服务为例：

```bash

Step1 确认当前用户

whoami

显示例如ftpuser

Step2 使用passwd命令改密

sudo passwd ftpuser

输入两次新密码（建议16位含大小写+特殊符号）

Step3 重启服务生效

systemctl restart vsftpd

⚠️避坑点：若出现"530 Login incorrect"错误

chmod a-w /etc/vsftpd/user_list

解除文件写保护

vim /etc/vsftpd/user_list

确保用户名未被禁用

```

▶️ 场景2：宝塔面板可视化操作（新手友好）

1. 登录面板 →【文件】→【FTP管理】

2. 找到目标账号 →【重置密码】

3. 必做设置：

- √ SSL/TLS强制加密传输

- × 关闭匿名访问

- √ IP访问频率限制（建议<5次/分钟）

▶️ 场景3：Windows Server远程桌面版

1. 【计算机管理】→【本地用户和组】→【用户】

2. 右键目标账户 →【设置密码】

3. 关键配置：

- IIS管理器 → FTP身份验证 → 禁用匿名

- Windows防火墙 →添加入站规则放行21端口

三、90%新手会踩的4个大坑

❌ 错误1：只改系统账户不改FTP白名单

某客户修改了root密码但忘记更新`/etc/vsftpd/chroot_list`文件导致服务异常

✅ 正确做法：同时更新以下配置文件中的用户名：

```shell

/etc/vsftpd/userlist

/etc/vsftpd/chroot_list

/etc/pam.d/vsftpd

❌ 错误2：未检测被动模式端口

被动模式下会随机开放30000-40000端口导致防火墙拦截

✅ 解决方案：

```nginx

vsftpd.conf添加固定端口范围

pasv_min_port=61000

pasv_max_port=62000

然后在安全组放行61000-62000 TCP端口

❌ 错误3：使用不安全的明文传输

Wireshark抓包实验显示普通FTP协议下所有操作都可被中间人监听

✅ 强制加密方案：

```apacheconf

proftpd.conf配置SSL证书

TLSEngine on

TLSLog /var/log/proftpd/tls.log

TLSProtocol TLSv1.2

TLSCipherSuite HIGH:!aNULL:!MD5

TLSCertificateFile /etc/ssl/certs/proftpd.crt

TLSCertificateKeyFile /etc/ssl/private/proftpd.key

四、终极安全加固方案（企业级防护）

1. 二次验证：安装Google Authenticator实现动态口令

```bash

apt install libpam-google-authenticator

/etc/pam.d/vsftpd添加：

auth required pam_google_authenticator.so

```

2. IP白名单限制

```shell

/etc/hosts.allow添加：

vsftpd: 192.168.1.*,58.32.12.89 : ALLOW

vsftpd: ALL : DENY

3. 实时监控告警

部署Fail2Ban自动封锁暴力破解IP：

```ini

/etc/fail2ban/jail.local新增：

[vsftpd]

enabled = true

maxretry =3

bantime=86400

---

行动指南：立即执行以下检查清单：

□ 已更换默认21端口为50021等非常用端口

□ 已禁用root等特权账户登录

□ 已开启日志审计（/var/log/secure）

□ 已完成全盘病毒扫描

如果遇到"425 Security: Bad IP connecting"等报错问题欢迎评论区留言交流！关注我获取更多服务器防御实战技巧~

TAG:修改vps的ftp密码,更改vps密码,ftp用户自己修改密码,修改ftp用户密码