Vsftpd服务的安全策略

最新推荐文章于 2022-10-20 20:00:19 发布
最新推荐文章于 2022-10-20 20:00:19 发布
阅读量1.3k 收藏
点赞数
分类专栏: Linux 文章标签: ftp服务器 tcp 服务器 list wrapper 防火墙
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/gameboyx/article/details/5749705
版权

Linux下FTP服务器端软件三剑客Wu-ftpd、ProFTPD和Vsftpd。

      Vsftpd在安全性、高性能及稳定性三个方面有上佳的表现。它使用安全编码技术解决了缓冲溢出问题,并能有效避免“globbing”类型的拒绝服务攻击。
1.启用tcp_wrappers进行访问控制
  tcp_wrapper可以用来禁止(或者显式的允许)特定的主机对某些服务的访问。它的应用思路是“先阻止、后放行”,因此,策略是首先禁止所有主机访问FTP服务器(在/etc/hosts.deny文件中设定),然后在/etc/hosts.allow中加入允许访问的主机或IP地址列表。
  使用这项功能需要在安装编译之前构建包含tcp_wrappers的Vsftpd,可通过编辑“builddefs.h”文件将 “#undef VSF_BUILD_TCPWRAPPERS”修改为“#define VSF_BUILD _TCPWRAPPERS”,然后重新构建编译,生成可执行代码。其次,要开启在配置文件vsftpd.conf中的选项“tcp_wrappers=YES”,该功能依赖于对文件“/etc/hosts.allow”的配置。
  以下是一个例子:
  vsftpd: 192.168.1.3: setenv VSFTPD_LOAD_CONF /etc/vsftpd_tcp_wrap.conf
  vsftpd:192.168.1.4: DENY
  其中,第一行表示如果一个客户端从192.168.1.3连接,那么vsftpd将应用“/etc/vsftpd_tcp_wrap.conf”的vsftpd配置文件给该连接。这些设置被应用在默认的vsftpd.conf之前。这一点十分有用,可用它为一些IP应用不同的访问限制(例如上传的能力);还可以指定某些IP有能力来超越连接限制(max_clients=0);或者为某些IP增减带宽限制。第二行表示拒绝192.168.1.4连接的能力。tcp_wrappers对别有用心的连接者很有用。
2.修改Vsftpd服务器的默认端口
  基于安全考虑,将预设的21端口改为2123。修改配置文件 /etc/vsftpd/vsftpd.conf,在文件最后增加如下内容:
  listen_port=2123
  ftp_data_port=2020
  在实际应用中,为了增加安全性,会将FTP服务器置于防火墙之后。修改Vsftpd服务器的默认端口后要及时修改防火墙的端口设定。现在服务器FTP端口为2123,数据传输端口为2020。
  #iptables -A INPUT -p tcp -m multiport --dport 2123,2020 -j ACCEPT
  #iptables -A INPUT -p tcp -j REJECT --reject-with tcp-reset
3.取消匿名登录
  在vsftpd.conf文件中找到“anonymous_enable”选项,将其值改为“NO”:
  anonymous_enable=NO
4.限制普通用户可以访问的目录
  一般情况下,使用者的预设目录为/home/username。若是不希望使用者在登录后能够切换至上一层目录/home,则可通过以下设置来实现。在/etc/vsftpd/vsftpd.conf文件中找到以下三行内容:
  #chroot_list_enable=YES
  #(default follows)
  #chroot_list_file=/etc/vsftpd.chroot_list
  将一、三行前的“#”符号去除。新增一个文件/etc/vsftpd/chroot_list,文件内容是用户名称:
  caog
  user1
5.配置文件/etc/vsftpd/vsftpd.conf的其他安全设定
  从标准端口20触发连接:
  connect_from_port_20=YES
  设置用户会话的空闲中断时间,连接服务器的用户在10分钟时间内没有任何动作将被断开,默认为600:
  idle_session_timeout=600
  设置空闲的数据连接的中断时间,数据连接空闲2分钟将被断开,默认为120秒:
  data_connection_timeout=120
  关闭“ls -R”命令,该命令常被用于DoS攻击,非常浪费系统资源,但“mirror”镜像工具会用到它:
  ls_recurse_enable=NO
  关闭ASCII模式下载,防止被用于DoS攻击,ASCII下载很消耗CPU负担:
  ascii_download_enable=NO
6.使用BlockHosts对抗暴力破解
  Vsftpd服务器面临的另外一个威胁是攻击者采取暴力破解的方式获取用户密码而非法登录FTP服务器。  BlockHosts软件就是利用通过分析Vsftpd日志文件帮助tcp_wrappers实现工作自动化。例如在30秒钟内一个IP地址(192.168.1.23)连续20次登录Vsftpd服务器而且全部因为密码错误登录失败,那么这个IP地址无疑是非法或者恶意主机。这时,BlockHosts会自动将该IP地址写入/etc/hosts.deny文件。BlockHosts官方网站: http://www.aczoom.com/cms/blockhosts/,最新版本为2.4.0。

gameboyx
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
CentOS 7 安装vsftpd 服务器的具体操作步骤
09-15
本文将覆盖从卸载旧版本的 vsftpd 开始到完整配置的过程,包括如何安装、配置防火墙以及调整安全策略等关键步骤。 #### 二、卸载 vsftpd 服务 在安装新的 vsftpd 版本之前,确保服务器上没有已存在的 vsftpd 服务是...
linux下vsftpd服务器配置
12-10
* /etc/vsFTPd.ftpuser_list:这个文件既可以作黑名单也可作为白名单,主要看如何设置策略 * /etc/vsFTPd.Chroot_list:这个文件默认不存在,需要手动建立,用途是将一些用户的根目录锁定在默认目录下,无法进入...
系统安全加固
yifijhjh的博客
10-20 1242
关于Windows Server、Linux的系统安全加固
vsftpd安装与配置
08-19 2420
在网站的建设中,FTP是一项重要的服务,利用它可以更容易分享有限的软件资源。Linux下有代表性的FTP服务器软件是Wu-FTP、ProFTPvsftpd。Wu-FTP(Washington University FTP)是由美国华盛顿大学开发的、以效率和稳定性为参考量的FTP软件。它的功能大,配置较复杂,由于开发时间较早,应用十分广泛,也因此成为黑客们主要的攻击目标。Wu-FTP的早期各级版
vsftpd的安全设置
weixin_33970449的博客
12-18 167
vsftpd的安全设置 vsftpd原名是verysecureFTPdaemon的缩写,安全性是它的一个最大的优点,并且还可以对其进行带宽的限制,创建虚拟用户等许多的优点。这里就不再讲解它的简单的设置,主要说一下vsftpd的安全设置. vsftpd实现用户安全登录的方法主要...
关于vsftpd服务的安全设置
weixin_33736832的博客
11-23 246
在搭建vsftp的过程中对服务的安全是致关重要的,查看日志是否有黑客入侵,是否避免下次黑客的破解,现在我写出ftp觉的安全管理,希望大家有帮助. 1.开启vsftp的日志功能,默认是关闭的 1 2 xferlog_enable=YES xferlog_file=/var/log/xferlog 2.关于匿名用户的权限...
安全的FTP服务器 vsftpd介绍
weixin_34388207的博客
09-06 155
vsftpd 的名字代表"very secure FTP daemon", 安全是它的开发者 Chris Evans 考虑的首要问题之一。在这个 FTP 服务器设计开发的最开始的时候,高安全性就是一个目标。一个例子就是 vsftpd 是在 chroot 模式下工作的,chroot 模式就是为程序(这里就是 vsftpd 了)单独指定一个新的目录,它也就不能访问那个目录之外的程...
vsftpd-3.0.2
最新发布
06-20
vsftpd-3.0.2】是一个用于Linux系统的非常流行且安全的FTP服务器软件。这个版本号表明这是vsftpd的一个特定发行版,即...用户需要熟悉Linux命令行操作,理解FTP协议的工作原理,以及如何在Linux环境中实现安全策略
-第6季 Vsftpd服务全攻略之常规配置.docx
11-01
Vsftpd服务全攻略之常规配置】 Vsftpd(Very Secure FTP Daemon)是一款轻量级且安全的FTP服务器软件,常用于Linux系统中。...在实际应用中,务必根据具体环境和安全策略进行调整,确保服务既便捷又安全。
Vsftpd的安全性
weixin_33709364的博客
11-12 723
Vsftpd的安全性 企业基本要求: 安装一块40G的新硬盘,并挂在到/ftp下。匿名用户只能下载,本地用户可以下载和上传,匿名的用户主目录为/ftp/public 将本地FTP用户的目录改为为/ftp/home/下,每个本地用户的最大空间为100M,本地用户的最大速率为10MB/S匿名用户的最大速率为1M/S,最大连接数位1...
聊聊vsftpd安全性
weixin_34388207的博客
01-24 305
许多INTERNET爱好者最先接触的东西就是FTP,它带来的文件共享的便利(可以跨平台访问等),但是明文传输的ftp的安全性,成为一个很大的问题。本文主要从基本安全,tcp-wrapperftps,虚拟用户四个方面来聊聊ftp的安全性。1、基本安全a、限制匿名用户使用指定邮箱作为密码: #vim /etc/vsftpd/vsftpd.confdeny_email_enab...
vsftpd 安全配置
weixin_33744854的博客
03-02 259
为什么80%的码农都做不了架构师?>>> ...
Vsftpd完全攻略(三)基于系统用户支持ftp上传 访问和vsftp安全设置
weixin_34018202的博客
11-08 172
1.关闭匿名用户登录 ftp支持匿名登录是不安全,所以要禁止匿名ftp登录 在/etc/vsftpd/vsftpd.conf修改以下三项 anonymous_enable=NO #anon_upload_enable=YES #anon_mkdir_write_enable=YES [root@red-hat-5 ~]#...
CentOS下安装vsftpd及问题解决
Just Do It
03-29 629
之前有写过一篇ubuntu下源码安装vsftpd的博客,有兴趣的可以看下。最近想在CentOS的VPS上安装个vsftpd,便于来回传东西。网上找了下教程,结合自己的安装过程,再次回顾一下,也算做个笔记,方便后续使用。       安装其实很简单,一条命令即可。如下: yum install vsftpd       这个关键的步骤是配置,打开配置文件的命令为: vi /e
vsFtp上限定可访问的IP地址
wangunix
11-17 634
[1]修改vsftpd.conf文件,这是vsftp的配置文件   vi /etc/vsftpd/vsftpd.conf anonymous_enable=NO idle_session_timeout=600 data_connection_timeout=120 ascii_upload_enable=YES ascii_download_enable=YES   #这个是欢迎信息 ftp...
VSFTPD虚拟用户限制IP访问解决方案与Linux系统账户的完美结合
一把菜刀行江湖
12-04 916
在Windows上用Filezilla Server ftp程序,通过配置界面,可以很容易地实现FTP虚拟用户放号和限制虚拟用户访问IP,但是在Linux上部署vsftpd时却遇到了一些小麻烦,本来以为FTP在两个系统下,都有很好的对应解决方案的...... 我们知道在vsftpd中设置虚拟用户,网上大量的文章建议让用PAM机制中的pam_userdb模块;如果,继续想深入限制访问用户...
VSFTP基线安全
angaoux03775的博客
12-03 1272
在企业级的应用中,越来越多的企业应用开源的vsftpd软件来搭建自己的文件共享服务,优点是速度快且节省开支。然而,企业用户行为难以预料,配置稍有不当则会使该服务成为一个安全风险点,导致带宽恶意占用、用户FTP服务密码泄露等。本文将以实例为大家介绍vsftpd的安全设置方法。   1、vsftpd简介   vsftpd是一个基于GPL发布的类UNIX类操作系统上运行的服务器的名字...
Ubuntu下Vsftpd服务器配置详解与实践
本指南详细介绍了如何在Ubuntu系统上配置Vsftpd(Very Secure File Transfer Protocol Daemon)服务器,这是一个开源的轻量级FTP服务器,特别注重安全性和性能。Vsftpd遵循Creative Commons Attribution-...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值