Vsftpd的安全性

Vsftpd的安全性

企业基本要求：

安装一块40G的新硬盘，并挂在到/ftp下。匿名用户只能下载，本地用户可以下载和上传，匿名的用户主目录为/ftp/public 

将本地FTP用户的目录改为为/ftp/home/下，每个本地用户的最大空间为100M，本地用户的最大速率为10MB/S   匿名用户的最大速率为1M/S, 最大连接数位1000

每个ip最大连接3次。

安全要求

通过tcp_wrapper来禁止一些恶意的ip来访问

本地用户必须使用FTPS 来加密传输，

使用iptables来限制只有在工作时间才能访问FTP服务器（搁浅）

写的不是很详细，不懂的哪可以留言

1、添加一块40G的硬盘并分区、格式化。

格式化后

查看分区表

如果没识别，可以用 partprobe  /dev/sdb 命令

挂载

mkdir /ftp

mount /dev/sdb1 /ftp

Vim /etc/fstab

mount -o remount /dev/sdb1 或 mount -a  重新挂载

如下图所示，已经可以磁盘配额了。。。

2、转移用户家目录

mkdir  /ftp/public 匿名的根目录

mkdir  /ftp/home  用户的家目录

默认的本地新建的用户的家目录在/home 下；

可以用useradd -D -b /ftp/home  更改默认值。

新建用户user1和user2

[root@localhost /]# useradd user1

[root@localhost /]# echo "123" |passwd --stdin user1

3、对用户user1和user2作磁盘配额

quotacheck  -auvg  

quotaon /dev/sdb1   开启磁盘配额

edquota -u user1    编辑user1为100M 如下：

edquota -p user1 user2   user2和user1相同

4、安装vsftpd服务，并启动

rpm -ivh vsftpd-2.0.5-10.el5.i386.rpm

service vsftpd start

chkconfig vsftpd on

5、编辑vsftpd.conf 如下：

开启 ftpd_banner=Welcome to wsm  FTP service.

     chroot_list_enable=YES

     chroot_list_file=/etc/vsftpd/chroot_list

 vim chroot_list 并且添加 user1和user2 （一行一个账号）

再添加如下设置：

重启vsftpd服务

A  利用tcp_wrapper (简易防火墙)来禁止ip地址为192.168.101.251的主机访问vsftpd服务

tcp_wrappers=YES 确保开启

/etc/hosts.allow  允许的来源ip

/erc/hosts.deny  拒绝的来源    （默认先看hosts.allow文件在看hosts.deny文件，默认允许）

vim  /etc/hosts.allow  添加如下:

Vsftpd:192.168.101.251:deny

禁止2.0网段的来源ip登录

Vsftpd: 192.168.2.0/255.255.255.0 :deny      （服务：来源：动作）

Vsftpd: all :allow  （可以不写。默认allow all）

B FTPS的实现数据的加密

 

首先，搭建CA认证中心

（关于CA 搭建可以参考http://abc16810.blog.51cto.com/3177586/1034802）

其次：创建自己的私钥，请求，最后颁发自己的证书

mkdir /etc/vsftpd/certs 

openssl  genrsa 1024 > vsftpd.key

openssl req -new -key vsftpd.key -out vsftpd.crq

openssl ca -in vsftpd.crq -out vsftpd.cert

chmod 600 vsftpd.key

 编辑vsftpd.conf 添加如下内容

重启 vsftpd服务

用第三方软件 （如：cuteftp 进行 SSL — FTP连接）并用wireshark 进行抓包如下：

已经基本符合要求了。。

本文转自 abc16810 51CTO博客，原文链接:http://blog.51cto.com/abc16810/1092521