vsftpd(very security)
ftp服务存在的安全问题
- 远程的多线程用户
- 被用户跳转到了上级非授权的目录(如/root)
- ftp账号没有去掉执行权限,导致恶意用户在服务器上执行了恶意程序
- 被Sniffer恶意嗅探密码
使用vsftp构建安全的ftp服务器
-
安装vsftp
-
创建用户
真实用户:
useradd -s /sbin/nologin xiaowang
vsftp的用户默认可以使用本地的系统账号,如果ftp的账号信息被窃取,可以远程ssh登录用户造成较大的安全隐患,因此在新建ftp用户时用nologin—这时的FTP账号只能传输文件,无法本地登录。
虚拟用户: (书-213) -
配置vsftp.conf:
#是否允许匿名用户登陆
# Allow anonymous FTP? (Beware - allowed by default if you comment this out).
anonymous_enable=NO #不允许匿名用户登录
#chroot_local_user=YES
local_root=/ftproot/wang/ #设置默认登录的目录
chroot_list_enable=YES #限制用户在特定的目录
# (default follows)
chroot_list_file=/etc/vsftpd/chroot_list #限制用户的列表
vsftp的高级用法:
- 限制恶意占有带宽的用户
匿名用户和本地用户是分开的
anon_max_rate 与local_max_rate,单位都是byte - 防止密码被恶意嗅探使用SSL加密(书215)