简易的vsftpd服务器的架设
简易的vsftpd服务器的架设
简单的vsftpd.conf配置:
① 任何在/etc/vsftpd/ftpusers中的用户账号均无法使用vsftpd
② 开放anonymous和实体用户登陆vsftpd
③ 实体用户登陆主机时,可以进入任何具有登陆权限的目录中(没用chroot)
④ 使用端口20作为主动连接时的ftp-data传送端口
⑤ 利用/etc/host.allow(deny)来管理登陆权限
⑥ 当Client上传和下载文件时,该信息保存在/var/log/vsftpd.log中
⑦ 其它端口使用默认(如被动式端口号等)
在编辑之前备份一下
关于主机安全性的设置
user_localtime=YES
dirmessage_enable=YES
connect_from_port_20=YES
xferlog_enable=YES
xferlog_file=/var/log/xferlog
xferlog_std_format=YES
pam_service_name=vsftpd
tcp_wrappers=YES
关于anonymous的设置
anonymous_enable=YES
关于real user的设置
local_enable=YES
write_enable=YES
local_umask=022
use_localtime=YES
看上图红色部分可知,在/etc/vsftpd/vsftpd.conf/应该用userlist_deny (有的是userlist_enable),要注意
匿名登录 不能切换目录 不能下载、上传文件 符合要求
实体用户登录
针对仅开放实体用户登录的设置
因为开放anonymous不太安全,所以将anonymous的登录权关闭,仅以实体用户登录
1. 使用本地时间不是GMT时间
2.所有在/etc/passwd中出现的实体账号均能登录vsftpd主机
3.系统账号(如root等,uid小于500的账号)均不能使用vsftpd
4.把kiss这个账号用户限制在自己的主目录中
5.把数据的传输速率限制在100kb/s
6.当用户进入/home目录时,在Client端的屏幕上显示'"一般用户主目录"字样
7.用户可以进行上传、下载以及修改文件等
关于主机安全性的设置
user_localtime=YES
dirmessage_enable=YES
connect_from_port_20=YES
xferlog_enable=YES
xferlog_file=/var/log/xferlog
xferlog_std_format=YES
pam_service_name=vsftpd
tcp_wrappers=YES
关于anonymous的设置
anonymous_enable=NO
关于real user的设置
local_enable=YES
write_enable=YES
local_umask=022
userlist_enable=YES
use_localtime=YES
chroot_list_enable=YES
chroot_list_file=/etc/vsftpd/chroot_list (有的是vsftpd.chroot_list)
userlist_deny=YES
userlist_file=/etc/vsftpd/user_list (有的是vsftpd.user_list)
local_max_rate=100000
限制实体用户在自己的主目录里的配置文件
写入kiss
未写入的可以进入其它目录
以PAM模块限制某些账号无法登录主机设置
“file=.......”后面接的文件就是PAM模块过滤的账号内容
以user_list阻挡某些账号的登录,该功能与PAM模块相似,只不过PAM是外挂的,而这个设置是vsftpd默认提供的 两这一般相同 比较安全
设置进入目录时显示的信息
写入
最后重启xinetd 3种方式
测试符合要求
针对仅开放匿名用户登录设置
a. 使用本地时间不是GMT时间
b. 仅对anonymous开放
c. 允许anonymous将文件上传到/var/ftp/upload目录中,并允许anonymous建立目录
d. 数据连接的过程(不是命令通道!)中只要超过60秒没有响应,就强制Client断线
e. 只要anonymous超过10分钟没有动作,就予以断线
f. 被动式连接的端口为65400·65420这几个端口号即可
g. 最大同时上线人数限制在50人,且同一个IP来源最大连接数为5
h. 不允许使用ASCII格式上传或下载
i. 把数据的传输速率限制在30kb/s
j. 不允许www.123.com网址作为email address的密码输入
1. 基本配置文件
user_localtime=YES
write_enable=YES
dirmessage_enable=YES
xferlog_enable=YES
xferlog_file=/var/log/xferlog
connect_from_port_20=YES
data_connection_timeout=60
idle_session_timeout=600
nopriv_user=ftpsecure
ascii_upload_enable=NO
ascii_download_enable=NO
max_clients=50
max_per_ip=5
pasv_max_port=65420
pasv_min_port=65400
deny_email_enable=YES
banned_email_file=/etc/vsftpd/banned_emails
关于anonymous的设置
anonymous_enable=YES
anon_upload_enable=YES
anon_mkdir_write_enable=YES
anon_other_write_enable=YES
anon_max_rate=30000
关于real user的设置
local_enable=NO
2. 建立拒绝不当邮件地址文件
写入一个网址
3. 建立可以上传的目录
因为我们的nopriv_user设置为ftp ,所以上传的目录所用者为ftp
符合要求
相关安全设置
1. 设置防火墙 要启用vsftpd就要开放防火墙! 如果你(ˇˍˇ) 想~对Internet 开放FTP服务器,就必须在你的规则中加这一条iptables防火墙规则:
/sbin/iptables -A INPUT -p tcp -i eth0 --dport 21 j ACCEPT
你也可以设置的更严密,这里就不设置了
你的TCP Wrapper如果想要拒绝愿ip地址为192.168.1.2 可以设置如下
写入
Super daemon的管理
在server_arg后写入你的vsftpd的配置文件的完整文件名路径即可 换行加入一下内容:
per_source = 5 与同一IP的连接数目有关
Instances = 200 同一时间最多的连接数目
No_access = 192.168.1.3
Banner_fail =/etc/vsftpd/busy.conf
421 很抱歉 服务器忙
然后重启即可
本文出自 “蜘蛛侠” 博客,转载请与作者联系!