VSFTP服务器的登录控制

最新推荐文章于 2024-06-07 09:52:45 发布
最新推荐文章于 2024-06-07 09:52:45 发布
阅读量289 收藏
点赞数 7
分类专栏: linux 文章标签: 服务器 windows 运维
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/lopowh/article/details/134633295
版权

任务情景

兴汉科技有限公司利用虚拟机搭建的VSFTP服务器,在使用过程中,由于安全的考虑等特殊原因,有些主机或用户风险较大,对VSFTP服务器的运行产生影响,决定禁止这些用户登录,以提升FTP服务器的安全性,达到管理好VSFTP服务器的目的。

任务分析

为了保证VSFTP服务器运行的可靠与安全稳定,需要设置主机的访问控制,使得真正需要VSFTP资源的用户才能访问,其它的主机或用户拒绝登录。

知识链接

1、设置允许或不允许访问的主机

Centos 8系统不再支持使用tcp_wrappers方法来禁止IP访问。tcp_wrappers方法能通过编辑/etc/hosts.allow和/etc/hosts.deny配置文件对IP禁止访问。此时,需要使用firewall-cmd命令来设置对IP的禁止访问。

添加或删除rules,增加或解除对IP的禁止访问。

firewall-cmd --add-rich-rule='rule family="ipv4" source address="192.168.1.0/24" reject' --permanent

firewall-cmd --remove-rich-rule='rule family="ipv4" source address="192.168.1.0/24" reject' --permanent

firewall-cmd --reload

2、ftpusers文件的用途

ftpusers不受任何配置项的影响,它总是有效,就是一个黑名单!该文件存放的是一个禁止访问FTP的用户列表,通常为了安全考虑,管理员不希望一些拥有过大权限的帐号(比如root)登入FTP,以免通过该帐号从FTP上传或下载一些危险位置上的文件从而对系统造成损坏。

ftpusers和user_list没有任何关系,ftpusers文件总是生效。

3、user_list文件的用途

user_list文件是和userlist_enable和userlist_deny两个配置项紧密相关的,它可以有效,也可以无效,有效时它可以是一个黑名单,也可以是一个白名单,具体设置请往下看。

4、设置允许或不允许访问的用户

对用户的访问控制由/etc/vsftpd/user_list和/etc/vsftpd/ftpusers文件来实现。相关配置命令如下表7-3-1:

表7-3-1 登录和用户访问控制语句

语句

功能

userlist_enable=YES

是否使用控制用户登录的用户列表

userlist_file=/etc/vsftpd/user_list

设置控制用户登录的用户列表文件

userlist_deny=YES

禁止或允许user_list中的用户登录FTP服务器。只在userlist_enable设置为YES才生效

userlist_enable和userlist_deny两个选项联合起来针对的用户是:本地全体用户(除去ftpusers中的用户)、出现在user_list文件中的用户、不在user_list文件中的用户,这三类用户集合进行的设置。有三种方式的配置如下表7-3-2:

表7-3-2 白名单和黑名单的具体设置

方式

功能

userlist_enable=NO

无论userlist_deny为何值都是无效的,本地全体用户(ftpusers中用户除外)都可以登入FTP

userlist_enable=YES

userlist_deny=YES

userlist_file=/etc/vsftpd/user_list

user_list是一个黑名单,即:所有出现在名单中的用户都会被拒绝登入;

userlist_enable=YES

userlist_deny=NO

userlist_file=/etc/vsftpd/user_list

user_list是一个白名单,即:只有出现在名单中的用户才会被准许登入(user_list之外的用户都被拒绝登入);此时,匿名用户将无法登入!除非在user_list中加入一行:anonymous

任务实施

前期的安装步骤与任务7.1的步骤1-3相同,此处从略,我们从配置文件的修改开始。

步骤1:测试VSFTP服务器配置主目录/etc/vsftpd/中ftpusers文件的作用。新建用户:xhadmin和test,并设置密码。再将test用户加入到文件ftpusers中。

[root@localhost ~]# useradd xhadmin

[root@localhost ~]# passwd xhadmin

[root@localhost ~]# useradd test

[root@localhost ~]# passwd test

[root@localhost ~]# vi /etc/vsftpd/ftpusers

# Users that are not allowed to login via ftp

root

test

bin                           //保存退出           

步骤2:Linux客户端测试,用test、root和xhadmin登录VSFTP服务器。

[root@localhost ~]# ftp 192.168.1.10

Connected to 192.168.1.10 (192.168.1.10).

220 (vsFTPd 3.0.3)

Name (192.168.1.10:root): test

331 Please specify the password.

Password:

530 Login incorrect.

Login failed.                             //test用户登录失败

ftp> exit

221 Goodbye.

[root@localhost ~]# ftp 192.168.1.10

Connected to 192.168.1.10 (192.168.1.10).

220 (vsFTPd 3.0.3)

Name (192.168.1.10:root): root

530 Permission denied.

Login failed.                              //root用户被拒绝登录

ftp> exit

221 Goodbye.

[root@localhost ~]# ftp 192.168.1.10

Connected to 192.168.1.10 (192.168.1.10).

220 (vsFTPd 3.0.3)

Name (192.168.1.10:root): xhadmin

331 Please specify the password.

Password:

230 Login successful.                      //用户xhadmin成功登录

Remote system type is UNIX.

Using binary mode to transfer files.

ftp>

步骤3:控制主机的访问,因为Centos8系统不再支持使用tcp_wrappers方法来禁止IP访问。tcp_wrappers方法能通过编辑/etc/hosts.allow和/etc/hosts.deny配置文件对IP禁止访问。此时,需要使用firewall-cmd命令来设置对IP的禁止访问。

[root@localhost vsftpd]# systemctl start firewalld      //启用防火墙

[root@localhost vsftpd]# firewall-cmd --zone=public --add-service=ftp --permanent 

success                                      //防火墙允许ftp服务

[root@localhost vsftpd]# firewall-cmd --permanent --add-port=20-21/tcp

success                                      //防火墙开放20-21端口

[root@localhost vsftpd]# firewall-cmd --add-rich-rule="rule family='ipv4' source address='192.168.1.20' reject" --permanent

success                                    //防火墙拒绝192.168.1.20访问

[root@localhost vsftpd]# firewall-cmd –reload        //重新加载防火墙规则

success

[root@localhost vsftpd]# firewall-cmd --remove-rich-rule="rule family='ipv4' source address='192.168.1.20' drop" --permanent

success                             //防火墙删除拒绝192.168.1.20访问

[root@localhost vsftpd]# firewall-cmd --reload 

success

步骤4:在IP地址为192.168.1.20的Linux客户端测试:

[root@localhost ~]# ftp 192.168.1.10         //没有启用防火墙时能正常访问

Connected to 192.168.1.10 (192.168.1.10).

220 (vsFTPd 3.0.3)

Name (192.168.1.10:root): xhadmin

331 Please specify the password.

Password:

230 Login successful.

Remote system type is UNIX.

Using binary mode to transfer files.

ftp> dir

227 Entering Passive Mode (192,168,1,10,91,215).

150 Here comes the directory listing.

-rw-r--r--    1 1003     1003         2735 May 23 02:40 abc.txt

226 Directory send OK.

ftp> exit

221 Goodbye.

[root@localhost ~]# ftp 192.168.1.10            //启用防火墙后访问被拒绝

ftp: connect: Connection refused

ftp> exit

[root@localhost ~]# ftp 192.168.1.10           //删除拒绝规则后,能正常访问

Connected to 192.168.1.10 (192.168.1.10).

220 (vsFTPd 3.0.3)

Name (192.168.1.10:root): xhadmin

331 Please specify the password.

Password:

230 Login successful.

Remote system type is UNIX.

Using binary mode to transfer files.

ftp>

步骤5:vsftp服务器对用户的拒绝,除了一个永远的黑名单ftpusers文件外,还有一个可能的黑名单user_list文件,这取决于userlist_enable=YES和userlist_deny=YES,当这两项都是YES时, user_list文件就是一个黑名单:

[root@localhost ~]# systemctl stop firewalld

[root@localhost ~]# vi /etc/vsftpd/vsftpd.conf

local_enable=YES

local_root=/ftpdir

userlist_enable=yes

userlist_deny=yes

[root@localhost ~]# vi /etc/vsftpd/user_list   //此时,user_list文件就是一个黑名单

root

xhadmin

[root@localhost ~]# systemctl restart vsftpd

步骤6:客户端测试

[root@localhost ~]# ftp 192.168.1.10

Connected to 192.168.1.10 (192.168.1.10).

220 (vsFTPd 3.0.3)

Name (192.168.1.10:root): xhadmin       //xhadmin在黑名单中,被拒绝登录

530 Permission denied.

Login failed.

ftp>

步骤7:再修改vsftp服务器的主配置文件,对用户的拒绝,将userlist_enable=YES,而userlist_deny=NO,此时,user_list文件就是一个白名单。这时只有出现在白名单中的用户才会被准许登录 ,user_list之外的用户都被拒绝登入;此时,匿名用户也无法登入!除非在user_list中加入一行:anonymous。

[root@localhost ~]# vi /etc/vsftpd/vsftpd.conf

local_enable=YES

local_root=/ftpdir

userlist_enable=yes

userlist_deny=no

[root@localhost ~]# vi /etc/vsftpd/user_list   //此时,user_list文件就是一个白名单

root

xhadmin

[root@localhost ~]# systemctl restart vsftpd

步骤8:客户端测试

[root@localhost ~]# ftp 192.168.1.10

Connected to 192.168.1.10 (192.168.1.10).

220 (vsFTPd 3.0.3)

Name (192.168.1.10:root): xhadmin             //在白名单中,能登录

331 Please specify the password.

Password:

230 Login successful.

Remote system type is UNIX.

Using binary mode to transfer files.

ftp> dir

227 Entering Passive Mode (192,168,1,10,40,163).

150 Here comes the directory listing.

-rw-r--r--    1 1003     1003         2735 May 23 02:40 abc.txt

-rw-r--r--    1 1003     1003         2735 May 23 02:44 xy.txt

226 Directory send OK.

ftp> exit

221 Goodbye.

[root@localhost ~]# ftp 192.168.1.10

Connected to 192.168.1.10 (192.168.1.10).

220 (vsFTPd 3.0.3)

Name (192.168.1.10:root): test             //不在白名单中,登录失败

530 Permission denied.

Login failed.

ftp>

网络异常吗
关注
  • 7
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
Vsftpd ftp配置中关于黑白名单探讨
weixin_43952224的博客
10-09 383
参考:https://www.cnblogs.com/hello-kelly/p/4693448.html 基本认识 客户端—服务端 主动 (默认) 模式: 1. 客户端 ---------------->21port(收)服务端 2. 客户端 -大于1024----->20port(发)服务端 被动模式: 1. client连接--------------> server的21号端口,发送用户名密码及pasv命令给server,表明采用被动模式。 2. client连接(20po
SecureCRT v8.5.3.zip
07-17
SecureCRT是一款用于连接运行包括Windows、UNIX和VMS的理想工具。软件支持SSH,同时支持Telnet和rlogin协议,支持DES,3DES和RC4密码和密码与RSA鉴别。其它特点包括文本手稿、易于使用的工具条、用户的键位图编辑器、可定制的ANSI颜色等。如果您对目前的这方面还是不太理解如何实现,不妨尝试这款软件吧。 SecureCRT功能 广泛的终端仿真: VT100,VT102,VT220,ANSI,SCO ANSI,Xterm,Wyse 50/60, 和 Linux console 仿真(带有 ANSI 颜色)。 . 优秀的会话管理特性: 新的带标签的用户界面和 Activator 托盘工具,最小化桌面的杂乱。 会话设置可以保存在命名的会话中。 . 协议支持: 支持 SSH1,SSH2,Telnet,RLogin,Serial,和 TAPI 协议。 . Secure Shell: Secure Shell 加密登录和会话数据,包括以下支持: - 端口转发使 TCP/IP 数据更安全 - 口令,公钥,键盘交互和 Kerberos 验证 - AES,Twofish,Blowfish,3DES,RC4,和 DES 加密 - X11 转发 . 文件传输工具: VCP 和 VSFTP 命令行公用程序让使用 SFTP 的文件传输更安全。 . 脚本支持: 支持 VBScript 和 JScript 脚本语言。 SecureCRT截图
基础服务--FTP搭建及限制用户用指定IP登录
赤松子的博客
11-27 2790
本文主要讲ftp服务搭建,匿名登录,账号登录,以及各种权限等
Linux服务器---ftp限制ip
weixin_34197488的博客
12-07 1069
ftp限制IP1、通过vsftpd的配置文件以及“hosts.deny”和“hosts.allow”文件设置允许某个ip地址访问1)修改配置文件“/etc/vsftpd/vsftpd.conf”中的参数“tcp_wrapper”,确保这个参数是yes[root@localhostwj]#gedit/etc/vsftpd/vsftpd.c...
实战vsftp针对用户和IP访问控制
攻城狮JasonLong的博客
08-20 1120
实战 vsftp 访问控制
7.VSFTP
weixin_68725019的博客
07-18 633
VSFTP是一个基于GPL发布的类Unix系统上使用的FTP服务器软件,它的全称是Very Secure FTP,从名称定义上基本可以看出,这是为了解决ftp传输安全性问题的。
Vsftp安装配置(超详细版)
热门推荐
Mortalz7
10-15 1万+
VSFTP,全称为Very Secure FTP,是一种高度安全的FTP服务器软件。它是一款针对安全和性能进行优化的FTP服务器,拥有速度快、稳定、易用和安全性高的特点。VSFTP是在GPL许可证下发布的自由软件,可以在大多数类UNIX系统中使用。VSFTP支持IPv6、SSL/TLS加密传输,同时还提供了多种认证方式,包括本地用户、PAM、LDAP等等。同时,VSFTP也支持虚拟用户和虚拟目录,便于管理员进行用户管理。总之,VSFTP是一款功能强大且安全性高的FTP服务器软件,深受系统管理员和开发者的欢迎
VSFTPD虚拟用户限制IP访问解决方案与Linux系统账户的完美结合
一把菜刀行江湖
12-04 876
Windows上用Filezilla Server ftp程序,通过配置界面,可以很容易地实现FTP虚拟用户放号和限制虚拟用户访问IP,但是在Linux上部署vsftpd时却遇到了一些小麻烦,本来以为FTP在两个系统下,都有很好的对应解决方案的...... 我们知道在vsftpd中设置虚拟用户,网上大量的文章建议让用PAM机制中的pam_userdb模块;如果,继续想深入限制访问用户...
RedHat Linux 8 中 vsftp服务部署
01-20
ftp服务介绍 FTP是用来在两台计算机之间传输文件,是Internet中应用非常广泛的服务之一。它可根据实际需要设置各用户的使用权限...虽然现在通过HTTP协议下载的站点有很多,但是由于FTP协议可以很好地控制用户数量和宽带
linux服务器安全设置
10-08
linux系统安全方面的基本配置,1.禁止ping 2.对用户和口令文件进行权限控制 3.给下面文件加上不可更改属性 4.对vsftp进行访问控制 5.关闭无用端口,只开启常规端口(21、22、80、443) 等
Linux文件服务器实战详解(匿名用户)
01-10
二、vsftp服务器  1.文件传输协议(file transfer protocol,FTP)  基于该协议ftp客户端和服务端实现文件共享,上传下载文件  FTP基于TCP协议生成一个虚拟的连接,用于控制ftp连接信息。同时再生成一个TCP连接...
RHEL 5.2下vsftp配置全教程分享第1/2页
01-10
FTP文件传送协议(File Transfer Protocol,...控制连接用于在客户主机和服务器主机之间发送控制信息,例如用户名和口令、改变远程目录的命令、取来或放回文件的命令。数据连接用于真正发送文件。在整个会话期间,FTP服务
vsftpd操作——配置虚拟用户登录的详细步骤
owenxiaobai的博客
12-02 5618
配置虚拟用户,使用独立的用户帐号进行登录vsftp
vsftpd限制访问ip
sztsian
08-23 1561
挂在互联网上的一台服务器我们将ftp仅用作了内部使用。本以为在hosts.allow设置后就可以限制ip了,但是发现不起效。今天查了下,需要设置vsftpd。 sudo vi /etc/vsftpd.conf 添加tcp_wrappers=YES 然后在hosts.allo
vsftp配置虚拟用户登录
CSDN_19_Ly的博客
12-25 1128
1、使用yum安装vsftp [root@localhost ~]# yum -y install vsftpd 2、创建虚拟用户 [root@localhost ~]# cd /etc/vsftpd/ [root@localhost vsftpd]# vim vuser.list 3、设置虚拟用户及密码,行数为单数的为用户,奇数的为密码 4、创建数据库文件并提高虚拟用户的安全性 [root...
vsftpd服务的黑名单和白名单
weixin_43670105的博客
04-23 1658
/etc/vsftpd/目录下: 两个文件 ftpusers 黑名单,ftpusers不受任何配制项的影响,它总是有效,它是一个黑名单! 该文件存放的是一个禁止访问FTP的用户列表,通常为了安全考虑,管理员不希望一些拥有过大权限的帐号(比如root)登入FTP,以免通过该帐号从FTP上传或下载一些危险位置上的文件从而对系统造成损坏。 user_list 默认是也黑名单。在其中加入adm...
vsftpd配置只允许从某个主机访问
互联网-从零开始
11-22 3879
当我们往服务器上上传文件时,如果使用普通用户登录,就要提供用户名和密码,这在ftp上是明文传输的,显然不够安全,一旦被截获,就可能被利用而进入系统,虽然可以使用SSL加密传输,但是这样一来速度就下降了不少。所以我们就采用限制IP访问的方式,只允许从某个IP连接进来,然后使用匿名访问ftp,这样一来就不用输入用户名和密码了,系统中的用户名和密码就不会泄露了,而且也足够安全,不会被别人从其它主机登录
洛杉矶裸机云多IP服务器网线路测评
最新发布
RAKsmart123的博客
06-07 179
在当今日益数字化的世界中,服务器的网络线路质量对于企业的运营效率和用户体验具有至关重要的作用。特别是对于那些寻求在洛杉矶部署裸机云多IP服务器的企业来说,了解服务器的网络线路质量显得尤为重要。本文将对洛杉矶裸机云多IP服务器的网络线路进行测评,帮助企业更好地了解该地区的网络状况。
[MQTT]服务器EMQX搭建SSL/TLS连接过程(wss://)
Better than yesterday.
06-03 972
一、采用8084端口进行连接,是EMQX 默认提供了四个常用的监听器之一,如果需要添加其他类型的监听器,可参考官方文档 二、使用自签名CA,需要提前在Linux系统上安装OpenSSL,具体安装教程请自行搜索 三、采用SSL/TLS连接,需要提前在EMQX上启用,可参考链接如下
退出Vsftp服务器的命令
05-31
要退出 vsftpd 服务器,可以使用 `bye` 命令或 `quit` 命令。这两个命令的作用是相同的,都可以断开与服务器的连接并退出 FTP 客户端。 在 `ftp>` 提示符下输入 `bye` 或 `quit` 命令即可退出服务器,例如: ``` ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值