一、FTP/SSH/MySQL弱口令的安全风险与现状分析

1.1 弱口令的普遍性与危害

弱口令问题长期存在于FTP、SSH、MySQL等基础服务中。据统计，超过60%的服务器暴露攻击面源于简单密码（如”123456”、”admin”）或默认密码未修改。攻击者可通过暴力破解、字典攻击等手段快速获取权限，导致数据泄露、服务篡改甚至系统沦陷。例如，某企业因MySQL默认root密码未修改，导致核心数据库被加密勒索，业务中断48小时。

1.2 多服务弱口令的连锁反应

FTP弱口令可能成为横向渗透的跳板：攻击者通过FTP上传恶意脚本，再利用SSH弱口令提权，最终篡改MySQL数据。这种”服务链式攻击”在混合云环境中尤为危险，需通过统一策略阻断风险传导。

二、FTP弱口令修改的完整流程

2.1 识别当前FTP服务类型

不同FTP服务（如vsftpd、ProFTPD、Pure-FTPd）的配置文件路径和密码修改方式存在差异：

# 常见FTP服务识别命令
ps aux | grep -E 'vsftpd|proftpd|pure-ftpd'
netstat -tulnp | grep :21

通过进程和端口确认服务类型后，需定位其配置文件（通常位于/etc/vsftpd.conf、/etc/proftpd.conf等）。

2.2 用户账户密码修改方法

2.2.1 系统用户模式（Linux）

若FTP使用系统账户（如vsftpd的local_enable=YES），需通过passwd命令修改：

sudo passwd ftpuser  # 修改指定用户密码
sudo chage -d 0 ftpuser  # 强制下次登录修改密码（可选）

关键点：密码需符合复杂性要求（至少8位，含大小写、数字、特殊字符）。

2.2.2 虚拟用户模式（数据库存储）

对于ProFTPD等使用数据库存储凭据的服务，需修改数据库记录：

-- MySQL示例（假设使用ftpusers表）
UPDATE ftpusers SET password=MD5('新密码') WHERE username='ftpuser';
-- 或使用加密函数（如SHA256）
UPDATE ftpusers SET password=SHA2('新密码', 256) WHERE username='ftpuser';

注意：部分FTP服务使用专有加密方式（如ProFTPD的mod_sql），需参考文档生成正确哈希值。

2.3 配置文件加固

修改密码后，需在配置文件中禁用匿名访问、限制IP访问等：

# vsftpd.conf 示例
anonymous_enable=NO
local_enable=YES
write_enable=YES
chroot_local_user=YES  # 限制用户在家目录
allow_writeable_chroot=YES

重启服务使配置生效：

sudo systemctl restart vsftpd

三、SSH与MySQL弱口令的协同防护

3.1 SSH密钥认证替代密码

彻底消除SSH弱口令风险的最佳实践是禁用密码认证，改用密钥对：

# 客户端生成密钥对
ssh-keygen -t ed25519 -C "admin@example.com"
# 上传公钥到服务器
ssh-copy-id -i ~/.ssh/id_ed25519.pub user@server

在/etc/ssh/sshd_config中禁用密码认证：

PasswordAuthentication no
ChallengeResponseAuthentication no

3.2 MySQL密码策略强化

修改MySQL密码需考虑版本差异（5.7+支持更严格的策略）：

-- 设置全局密码策略（MySQL 8.0+）
SET GLOBAL validate_password.policy=STRONG;
SET GLOBAL validate_password.length=12;
-- 修改root密码
ALTER USER 'root'@'localhost' IDENTIFIED BY '复杂密码@123';

定期轮换密码并限制访问源：

CREATE USER 'dbuser'@'192.168.1.%' IDENTIFIED BY '新密码';
REVOKE ALL PRIVILEGES, GRANT OPTION FROM 'olduser'@'%';

四、自动化防护工具推荐

4.1 密码复杂度检查工具

• John the Ripper：离线密码字典攻击测试

  john --wordlist=password.lst --rules vsftpd.hash

• Lynis：系统安全审计工具（含密码策略检查）

  lynis audit system --quick

4.2 集中式密码管理

推荐使用HashiCorp Vault或Bitwarden管理服务密码，通过API自动轮换FTP/MySQL凭据，避免人工管理漏洞。

五、企业级防护策略

5.1 多因素认证（MFA）集成

为FTP/SSH部署MFA（如Google Authenticator）：

# ProFTPD的mod_pam_google_authenticator配置示例
# 1. 用户端安装Google Authenticator并生成密钥
# 2. 在/etc/pam.d/proftpd中添加：
auth required pam_google_authenticator.so

5.2 日志监控与告警

通过Fail2Ban监控FTP登录失败日志，自动封禁恶意IP：

# /etc/fail2ban/jail.d/vsftpd.local
[vsftpd]
enabled = true
port = ftp,ftp-data,ftps,ftps-data
filter = vsftpd
logpath = /var/log/auth.log
maxretry = 3
bantime = 86400

5.3 定期安全审计

制定月度安全检查清单：

1. 验证所有服务密码是否符合策略
2. 检查配置文件是否恢复默认设置
3. 审查异常登录记录
4. 更新服务到最新稳定版本

六、总结与行动建议

FTP弱口令修改需结合服务类型、认证模式和安全策略进行系统性加固。建议开发者：

1. 立即行动：使用passwd或数据库命令修改所有已知FTP账户密码
2. 长期优化：部署SSH密钥认证、MySQL密码策略和MFA
3. 持续监控：通过自动化工具实现密码轮换和攻击检测

安全不是一次性任务，而是需要融入DevOps流程的持续实践。通过本文提供的步骤和工具，可有效降低FTP/SSH/MySQL服务因弱口令导致的安全风险，保障企业数据资产安全。