最近关于Proftpd的一些修改

 最近关于Proftpd的一些修改

之前就发现ftp配置上暴露了很多问题，之前一直没有时间来修改，现在服务器负载降下来了，备份也正常了，打算抽时间来做些安全方面的改善，因此ftp的安全被提到了首位。

从日志上来看，每天都有大量的IP试图连接服务器，本想在防火墙上做些配置，限制非公司网段IP登陆ftp,结果在服务器上应用防火墙后，网站上的一个用PHP写的后台管理程序不能正常访问，最终只好取消防火墙，暂时安装了fail2ban软件来防止暴力破解。在另一台服务器上应用防火墙后，web各项应用都没问题，也屏蔽了非公司网段地址的ftp连接，可是公司地址每次连接ftp时，都要等十几秒才能成功连接，一时也没找到解决的方法。另外，ftp账号不属于相同的组，经常出现某个用户的ftp上传的文件权限对其他ftp用户不足的情况，而且有的ftp用户竟然拥有服务器整个目录的权限，一些ftp账号的用户名跟网站名称有类型之处，很容易被非法人员猜到。

首先新建ftp用户和组，新建一个ftp用户组，再建立属于改组的用户，因为这些ftp用户都需要修改web目录下文件的权限，所以修改proftpd配置文件umask为002。然后是限制非ftp组用户登陆，在proftpd的配置文件中，用limit字段俩限制：

<Limit LOGIN>

  Order allow,deny

  DenyGroup !ftpusers

</Limit>

这里只允许ftpusers组的用户登陆。

公司的网段地址可能是117.64.0.0/16，也可能是183.160.0.0/16，这里只允许公司网段地址登陆;

<Limit LOGIN>

  Order allow,deny

  Allow from 117.64.

  Deny from all

</Limit>

这样就可以只允许117.64.0.0/16的地址登陆，在也是我在网上看到其他人分享的配置，但我还要允许183.160.0.0/16网段的地址，在网上也一时没找到允许两段的地址配置的，没办法只好在虚拟机下慢慢试了。开始我在上面的<Limit>字段后面又写了个允许183.160的，经测试，允许183.160的无效，后来在Allow from 117.64. 后面添加一句:

 <Limit LOGIN>

  Order allow,deny

  Allow from 117.64.

  Allow from 183.160.

  Deny from all

</Limit>

当时公司地址在117.64网段，是可以登录ftp的，然后我把Allow from 117.64.放在Allow from 183.160.后面，还是可以登录ftp的，所以初步判断这样可以的，就应用了配置，然后再观察一段时间。

新用户建立并分配好了，就要删除原来的ftp账户，开始在虚拟机下测试的，并没有太多问题，只是有些文件会导致权限不够，于是我就先改了权限，然后删除用户，最后修改ftp端口号，这样两台服务器ftp的一些修改就结束了。

                                                               2012-10-16