Vsftpd的安全性

企业基本要求:

安装一块40G的新硬盘,并挂在到/ftp下。匿名用户只能下载,本地用户可以下载和上传,匿名的用户主目录为/ftp/public 

将本地FTP用户的目录改为为/ftp/home/下,每个本地用户的最大空间为100M,本地用户的最大速率为10MB/S   匿名用户的最大速率为1M/S, 最大连接数位1000

每个ip最大连接3次。

安全要求

通过tcp_wrapper来禁止一些恶意的ip来访问

本地用户必须使用FTPS 来加密传输,

使用iptables来限制只有在工作时间才能访问FTP服务器(搁浅)

写的不是很详细,不懂的哪可以留言

1、添加一块40G的硬盘并分区、格式化。

格式化后

查看分区表

Vsftpd的安全性_第1张图片

如果没识别,可以用 partprobe  /dev/sdb 命令

挂载

mkdir /ftp

mount /dev/sdb1 /ftp

Vim /etc/fstab

mount -o remount /dev/sdb1 或 mount -a  重新挂载

如下图所示,已经可以磁盘配额了。。。

Vsftpd的安全性_第2张图片

2、转移用户家目录

mkdir  /ftp/public 匿名的根目录

mkdir  /ftp/home  用户的家目录

Vsftpd的安全性_第3张图片

默认的本地新建的用户的家目录在/home 下;

可以用useradd -D -b /ftp/home  更改默认值。

新建用户user1user2

[root@localhost /]# useradd user1

[root@localhost /]# echo "123" |passwd --stdin user1

3、对用户user1user2作磁盘配额

quotacheck  -auvg  

quotaon /dev/sdb1   开启磁盘配额

edquota -u user1    编辑user1100M 如下:

edquota -p user1 user2   user2user1相同

4、安装vsftpd服务,并启动

rpm -ivh vsftpd-2.0.5-10.el5.i386.rpm

service vsftpd start

chkconfig vsftpd on

5、编辑vsftpd.conf 如下:

开启 ftpd_banner=Welcome to wsm  FTP service.

     chroot_list_enable=YES

     chroot_list_file=/etc/vsftpd/chroot_list

 vim chroot_list 并且添加 user1user2 (一行一个账号)

再添加如下设置:

Vsftpd的安全性_第4张图片

重启vsftpd服务

A  利用tcp_wrapper (简易防火墙)来禁止ip地址为192.168.101.251的主机访问vsftpd服务

tcp_wrappers=YES 确保开启

Vsftpd的安全性_第5张图片

/etc/hosts.allow  允许的来源ip

/erc/hosts.deny  拒绝的来源    (默认先看hosts.allow文件在看hosts.deny文件,默认允许)

vim  /etc/hosts.allow  添加如下:

Vsftpd:192.168.101.251:deny

禁止2.0网段的来源ip登录

Vsftpd: 192.168.2.0/255.255.255.0 :deny      (服务:来源:动作)

Vsftpd: all :allow  (可以不写。默认allow all

B FTPS的实现数据的加密

 

首先,搭建CA认证中心

(关于CA 搭建可以参考http://abc16810.blog.51cto.com/3177586/1034802

其次:创建自己的私钥,请求,最后颁发自己的证书

mkdir /etc/vsftpd/certs 

openssl  genrsa 1024 > vsftpd.key

openssl req -new -key vsftpd.key -out vsftpd.crq

openssl ca -in vsftpd.crq -out vsftpd.cert

chmod 600 vsftpd.key

 编辑vsftpd.conf 添加如下内容

Vsftpd的安全性_第6张图片

重启 vsftpd服务

用第三方软件 (如:cuteftp 进行 SSL — FTP连接)并用wireshark 进行抓包如下:

Vsftpd的安全性_第7张图片

Vsftpd的安全性_第8张图片

已经基本符合要求了。。