vsftpd服务的安全设置
时间:2014-02-22 02:08 来源:www.it.net.cn 作者:IT网
在搭建vsftp的过程中对服务的安全是致关重要的,查看日志是否有黑客入侵,是否避免下次黑客的破解,现在我写出ftp觉的安全管理,希望大家有帮助.
1.开启vsftp的日志功能,默认是关闭的
xferlog_enable=YES
xferlog_file=/var/log/xferlog
2.关于匿名用户的权限匿名用户上传
anonymous_enable=YES --匿名用户的启用
anon_upload_enable=YES --匿名用户的上传
anon_mkdir_write_enable=YES --匿名用户是否创建文件夹
anon_other_write_enable=YES --匿名用户是重命名和删除
anon_umask=070 --匿名用户上传文件的权限707(777-070=707)
3.关于本地用户的权限
local_enable=YES --是否启用本地用户
write_enable=YES --本地用户是否有写入删除重命名权限
local_umask=022 --本地用户上传文件的权限755(777-022=755)
4.指定上传文件的所有者
chown_uploads=YES --启用上传改变所有者
chown_username=tong --上传的文件所属主是tong
5.不允许本地用户切换到其它目录(将用户锁定在ftp根目录)
chroot_local_user=YES --开户本地用户验证功能
chroot_list_file=/etc/vsftpd/chroot_list--将用户写入文件
6.允许本地用户任意切换目录
chroot_local_user=YES
chroot_list_enable=YES
chroot_list_file=/etc/vsftpd/chroot_list--允许文件中的用户切换目录
7.禁止本地用户不能登陆ftp服务
[root@centos2 ~]# ll /etc/vsftpd/
total 24
-rw-r--r--. 1 root root 5 Jan 9 22:30 chroot_list
-rw-------. 1 root root 125 Jan 9 22:50 ftpusers --将用户写入文件就不能登陆了,还会提示输入密码
-rw-------. 1 root root 361 Jan 9 22:53 user_list --将用户写入文件用户就不能登陆了,不提示输入密码直接拒绝
-rw-------. 1 root root 4649 Jan 12 18:00 vsftpd.conf
-rwxr--r--. 1 root root 338 Feb 19 2013 vsftpd_conf_migrate.sh
[root@centos2 ~]#
8.允许哪些本地用户登陆ftp服务
[root@centos2 ~]# vim /etc/vsftpd/vsftpd.conf
userlist_deny=NO --添加这一行
[root@centos2 ~]# ll /etc/vsftpd/
total 24
-rw-r--r--. 1 root root 5 Jan 9 22:30 chroot_list
-rw-------. 1 root root 125 Jan 9 22:50 ftpusers
-rw-------. 1 root root 361 Jan 9 22:53 user_list --只允许文件里面的用户可以登陆ftp服务
-rw-------. 1 root root 4666 Jan 12 18:13 vsftpd.conf
-rwxr--r--. 1 root root 338 Feb 19 2013 vsftpd_conf_migrate.sh
[root@centos2 ~]#
9.禁止哪些IP不能登陆ftp服务
[root@centos2 ~]# vim /etc/hosts.deny --禁止IP不能ftp
vftpd: 119.97.184.208 :deny
10.用防火墙开放包过滤
[root@centos ~]# iptables -I INPUT -p tcp --dport 21 -j ACCEPT
11.用Selinux安全上下文控制ftp的目录权限
[root@centos ~]# getsebool -a |grep ftp
allow_ftpd_anon_write --> off
allow_ftpd_full_access --> off
allow_ftpd_use_cifs --> off
allow_ftpd_use_nfs --> off
allow_tftp_anon_write --> off
ftp_home_dir --> off
ftpd_connect_db --> off
ftpd_disable_trans --> off
ftpd_is_daemon --> on
httpd_enable_ftp_server --> off
tftpd_disable_trans --> off
[root@centos ~]# setsebool ftp_home_dir on --具体参数自己因情况设置
(责任编辑:IT)
| 在搭建vsftp的过程中对服务的安全是致关重要的,查看日志是否有黑客入侵,是否避免下次黑客的破解,现在我写出ftp觉的安全管理,希望大家有帮助. 1.开启vsftp的日志功能,默认是关闭的 xferlog_enable=YES xferlog_file=/var/log/xferlog 2.关于匿名用户的权限匿名用户上传 anonymous_enable=YES --匿名用户的启用 anon_upload_enable=YES --匿名用户的上传 anon_mkdir_write_enable=YES --匿名用户是否创建文件夹 anon_other_write_enable=YES --匿名用户是重命名和删除 anon_umask=070 --匿名用户上传文件的权限707(777-070=707) 3.关于本地用户的权限 local_enable=YES --是否启用本地用户 write_enable=YES --本地用户是否有写入删除重命名权限 local_umask=022 --本地用户上传文件的权限755(777-022=755) 4.指定上传文件的所有者 chown_uploads=YES --启用上传改变所有者 chown_username=tong --上传的文件所属主是tong 5.不允许本地用户切换到其它目录(将用户锁定在ftp根目录) chroot_local_user=YES --开户本地用户验证功能 chroot_list_file=/etc/vsftpd/chroot_list--将用户写入文件 6.允许本地用户任意切换目录 chroot_local_user=YES chroot_list_enable=YES chroot_list_file=/etc/vsftpd/chroot_list--允许文件中的用户切换目录 7.禁止本地用户不能登陆ftp服务 [root@centos2 ~]# ll /etc/vsftpd/ total 24 -rw-r--r--. 1 root root 5 Jan 9 22:30 chroot_list -rw-------. 1 root root 125 Jan 9 22:50 ftpusers --将用户写入文件就不能登陆了,还会提示输入密码 -rw-------. 1 root root 361 Jan 9 22:53 user_list --将用户写入文件用户就不能登陆了,不提示输入密码直接拒绝 -rw-------. 1 root root 4649 Jan 12 18:00 vsftpd.conf -rwxr--r--. 1 root root 338 Feb 19 2013 vsftpd_conf_migrate.sh [root@centos2 ~]# 8.允许哪些本地用户登陆ftp服务 [root@centos2 ~]# vim /etc/vsftpd/vsftpd.conf userlist_deny=NO --添加这一行 [root@centos2 ~]# ll /etc/vsftpd/ total 24 -rw-r--r--. 1 root root 5 Jan 9 22:30 chroot_list -rw-------. 1 root root 125 Jan 9 22:50 ftpusers -rw-------. 1 root root 361 Jan 9 22:53 user_list --只允许文件里面的用户可以登陆ftp服务 -rw-------. 1 root root 4666 Jan 12 18:13 vsftpd.conf -rwxr--r--. 1 root root 338 Feb 19 2013 vsftpd_conf_migrate.sh [root@centos2 ~]# 9.禁止哪些IP不能登陆ftp服务 [root@centos2 ~]# vim /etc/hosts.deny --禁止IP不能ftp vftpd: 119.97.184.208 :deny 10.用防火墙开放包过滤 [root@centos ~]# iptables -I INPUT -p tcp --dport 21 -j ACCEPT 11.用Selinux安全上下文控制ftp的目录权限 [root@centos ~]# getsebool -a |grep ftp allow_ftpd_anon_write --> off allow_ftpd_full_access --> off allow_ftpd_use_cifs --> off allow_ftpd_use_nfs --> off allow_tftp_anon_write --> off ftp_home_dir --> off ftpd_connect_db --> off ftpd_disable_trans --> off ftpd_is_daemon --> on httpd_enable_ftp_server --> off tftpd_disable_trans --> off [root@centos ~]# setsebool ftp_home_dir on --具体参数自己因情况设置 (责任编辑:IT) |