本文共 1872 字,大约阅读时间需要 6 分钟。
Vsftpd的安全性
企业基本要求:
安装一块40G的新硬盘,并挂在到/ftp下。匿名用户只能下载,本地用户可以下载和上传,匿名的用户主目录为/ftp/public
将本地FTP用户的目录改为为/ftp/home/下,每个本地用户的最大空间为100M,本地用户的最大速率为10MB/S 匿名用户的最大速率为1M/S, 最大连接数位1000
每个ip最大连接3次。
安全要求
通过tcp_wrapper来禁止一些恶意的ip来访问
本地用户必须使用FTPS 来加密传输,
使用iptables来限制只有在工作时间才能访问FTP服务器(搁浅)
写的不是很详细,不懂的哪可以留言
1、添加一块40G的硬盘并分区、格式化。
格式化后
查看分区表
如果没识别,可以用 partprobe /dev/sdb 命令
挂载
mkdir /ftp
mount /dev/sdb1 /ftp
Vim /etc/fstab
mount -o remount /dev/sdb1 或 mount -a 重新挂载
如下图所示,已经可以磁盘配额了。。。
2、转移用户家目录
mkdir /ftp/public 匿名的根目录
mkdir /ftp/home 用户的家目录
默认的本地新建的用户的家目录在/home 下;
可以用useradd -D -b /ftp/home 更改默认值。
新建用户user1和user2
[root@localhost /]# useradd user1
[root@localhost /]# echo "123" |passwd --stdin user1
3、对用户user1和user2作磁盘配额
quotacheck -auvg
quotaon /dev/sdb1 开启磁盘配额
edquota -u user1 编辑user1为100M 如下:
edquota -p user1 user2 user2和user1相同
4、安装vsftpd服务,并启动
rpm -ivh vsftpd-2.0.5-10.el5.i386.rpm
service vsftpd start
chkconfig vsftpd on
5、编辑vsftpd.conf 如下:
开启 ftpd_banner=Welcome to wsm FTP service.
chroot_list_enable=YES
chroot_list_file=/etc/vsftpd/chroot_list
vim chroot_list 并且添加 user1和user2 (一行一个账号)
再添加如下设置:
重启vsftpd服务
A 利用tcp_wrapper (简易防火墙)来禁止ip地址为192.168.101.251的主机访问vsftpd服务
tcp_wrappers=YES 确保开启
/etc/hosts.allow 允许的来源ip
/erc/hosts.deny 拒绝的来源 (默认先看hosts.allow文件在看hosts.deny文件,默认允许)
vim /etc/hosts.allow 添加如下:
Vsftpd:192.168.101.251:deny
禁止2.0网段的来源ip登录
Vsftpd: 192.168.2.0/255.255.255.0 :deny (服务:来源:动作)
Vsftpd: all :allow (可以不写。默认allow all)
B FTPS的实现数据的加密
首先,搭建CA认证中心
(关于CA 搭建可以参考http://abc16810.blog.51cto.com/3177586/1034802)
其次:创建自己的私钥,请求,最后颁发自己的证书
mkdir /etc/vsftpd/certs
openssl genrsa 1024 > vsftpd.key
openssl req -new -key vsftpd.key -out vsftpd.crq
openssl ca -in vsftpd.crq -out vsftpd.cert
chmod 600 vsftpd.key
编辑vsftpd.conf 添加如下内容
重启 vsftpd服务
用第三方软件 (如:cuteftp 进行 SSL — FTP连接)并用wireshark 进行抓包如下:
已经基本符合要求了。。
本文转自 abc16810 51CTO博客,原文链接:http://blog.51cto.com/abc16810/1092521
转载地址:http://dkbzx.baihongyu.com/