博客
关于我
强烈建议你试试无所不能的chatGPT,快点击我
关于vsftpd服务的安全设置
阅读量:5873 次
发布时间:2019-06-19

本文共 2425 字,大约阅读时间需要 8 分钟。

    在搭建vsftp的过程中对服务的安全是致关重要的,查看日志是否有黑客入侵,是否避免下次黑客的破解,现在我写出ftp觉的安全管理,希望大家有帮助.

1.开启vsftp的日志功能,默认是关闭的

1
2
xferlog_enable=YES
xferlog_file=
/var/log/xferlog

2.关于匿名用户的权限匿名用户上传

1
2
3
4
5
anonymous_enable=YES      --匿名用户的启用
anon_upload_enable=YES    --匿名用户的上传
anon_mkdir_write_enable=YES   --匿名用户是否创建文件夹
anon_other_write_enable=YES   --匿名用户是重命名和删除
anon_umask=070      --匿名用户上传文件的权限707(777-070=707)

3.关于本地用户的权限

1
2
3
local_enable=YES    --是否启用本地用户
write_enable=YES    --本地用户是否有写入删除重命名权限
local_umask=022     --本地用户上传文件的权限755(777-022=755)

4.指定上传文件的所有者

1
2
chown_uploads=YES    --启用上传改变所有者
chown_username=tong    --上传的文件所属主是tong

5.不允许本地用户切换到其它目录(将用户锁定在ftp根目录)

1
2
chroot_local_user=YES     --开户本地用户验证功能
chroot_list_file=
/etc/vsftpd/chroot_list    
--将用户写入文件

6.允许本地用户任意切换目录

1
2
3
chroot_local_user=YES
chroot_list_enable=YES
chroot_list_file=
/etc/vsftpd/chroot_list    
--允许文件中的用户切换目录

 7.禁止本地用户不能登陆ftp服务

1
2
3
4
5
6
7
8
[root@centos2 ~]
# ll /etc/vsftpd/
total 24
-rw-r--r--. 1 root root    5 Jan  9 22:30 chroot_list
-rw-------. 1 root root  125 Jan  9 22:50 ftpusers      --将用户写入文件就不能登陆了,还会提示输入密码
-rw-------. 1 root root  361 Jan  9 22:53 user_list  --将用户写入文件用户就不能登陆了,不提示输入密码直接拒绝
-rw-------. 1 root root 4649 Jan 12 18:00 vsftpd.conf
-rwxr--r--. 1 root root  338 Feb 19  2013 vsftpd_conf_migrate.sh
[root@centos2 ~]
#

8.允许哪些本地用户登陆ftp服务

1
2
3
4
5
6
7
8
9
10
[root@centos2 ~]
# vim /etc/vsftpd/vsftpd.conf
userlist_deny=NO     --添加这一行
[root@centos2 ~]
# ll /etc/vsftpd/
total 24
-rw-r--r--. 1 root root    5 Jan  9 22:30 chroot_list
-rw-------. 1 root root  125 Jan  9 22:50 ftpusers
-rw-------. 1 root root  361 Jan  9 22:53 user_list    --只允许文件里面的用户可以登陆
ftp
服务
-rw-------. 1 root root 4666 Jan 12 18:13 vsftpd.conf
-rwxr--r--. 1 root root  338 Feb 19  2013 vsftpd_conf_migrate.sh
[root@centos2 ~]
#

9.禁止哪些IP不能登陆ftp服务

1
2
[root@centos2 ~]
# vim /etc/hosts.deny      --禁止IP不能ftp
vftpd:    119.97.184.208   :deny

10.用防火墙开放包过滤

1
[root@centos ~]
# iptables -I INPUT -p tcp --dport 21 -j ACCEPT

11.用Selinux安全上下文控制ftp的目录权限

1
2
3
4
5
6
7
8
9
10
11
12
13
[root@centos ~]
# getsebool  -a |grep ftp
allow_ftpd_anon_write --> off
allow_ftpd_full_access --> off
allow_ftpd_use_cifs --> off
allow_ftpd_use_nfs --> off
allow_tftp_anon_write --> off
ftp_home_dir --> off
ftpd_connect_db --> off
ftpd_disable_trans --> off
ftpd_is_daemon --> on
httpd_enable_ftp_server --> off
tftpd_disable_trans --> off
[root@centos ~]
# setsebool ftp_home_dir on    --具体参数自己因情况设置

 

本文转自 z597011036 51CTO博客,原文链接:http://blog.51cto.com/tongcheng/1351011,如需转载请自行联系原作者
你可能感兴趣的文章
关于存储过程实例
查看>>
配置错误定义了重复的“system.web.extensions/scripting/scriptResourceHandler” 解决办法...
查看>>
AIX 7.1 install python
查看>>
PHP盛宴——经常使用函数集锦
查看>>
重写 Ext.form.field 扩展功能
查看>>
Linux下的搜索查找命令的详解(locate)
查看>>
福利丨所有AI安全的讲座里,这可能是最实用的一场
查看>>
开发完第一版前端性能监控系统后的总结(无代码)
查看>>
Python多版本情况下四种快速进入交互式命令行的操作技巧
查看>>
MySQL查询优化
查看>>
【Redis源码分析】如何在Redis中查找大key
查看>>
关于链接文件的探讨
查看>>
android app启动过程(转)
查看>>
Linux—源码包安装
查看>>
JDK8中ArrayList的工作原理剖析
查看>>
安装gulp及相关插件
查看>>
如何在Linux用chmod来修改所有子目录中的文件属性?
查看>>
Applet
查看>>
高并发环境下,Redisson实现redis分布式锁
查看>>
乌克兰基辅一世遗修道院起火 现场火光照亮夜空
查看>>