Linux下配置FTP服務(wù)器

它可運(yùn)行在Linux、Solaris等系統(tǒng)中，支持很多其他的FTP 服務(wù)器不支持的特征：

站在用戶的角度思考問題，與客戶深入溝通，找到巢湖網(wǎng)站設(shè)計(jì)與巢湖網(wǎng)站推廣的解決方案，憑借多年的經(jīng)驗(yàn)，讓設(shè)計(jì)與互聯(lián)網(wǎng)技術(shù)結(jié)合，創(chuàng)造個(gè)性化、用戶體驗(yàn)好的作品，建站類型包括：成都網(wǎng)站設(shè)計(jì)、做網(wǎng)站、企業(yè)官網(wǎng)、英文網(wǎng)站、手機(jī)端網(wǎng)站、網(wǎng)站推廣、域名注冊(cè)、網(wǎng)頁空間、企業(yè)郵箱。業(yè)務(wù)覆蓋巢湖地區(qū)。

非常高的安全性需求

帶寬限制

良好的可伸縮性

創(chuàng)建虛擬用戶的可能性

分配虛擬IP地址的可能性

一、vsftpd的啟動(dòng)

#service vsftpd start

如果允許用戶匿名訪問，需創(chuàng)建用戶ftp和目錄/var/ftp

# mkdir /var/ftp

# useradd –d /var/ftp ftp

　 　二、vsftpd的配置

Vsftpd的配置文件存放在/etc/vsftpd/vsftpd.conf 我們可根據(jù)實(shí)際數(shù)要對(duì)如下信息進(jìn)行配置：

1. 連接選項(xiàng)

☆監(jiān)聽地址和控制端口

(1) listen_address=ip address

定義主機(jī)在哪個(gè)IP 地址上監(jiān)聽FTP請(qǐng)求。即在哪個(gè)IP地址上提供FTP服務(wù)。

(2) listen_port=port_value

指定FTP服務(wù)器監(jiān)聽的端口號(hào)。默認(rèn)值為21。

　 　2. 性能與負(fù)載控制

☆超時(shí)選項(xiàng)

(1) idle_session_timeout=

空閑用戶會(huì)話的超時(shí)時(shí)間，若是超過這段時(shí)間沒有數(shù)據(jù)的傳送或是指令的輸入，則會(huì)被迫斷線。默認(rèn)值是300s

(2) accept_timeout=numerical value

接受建立聯(lián)機(jī)的超時(shí)設(shè)定。默認(rèn)值為60s

☆負(fù)載選項(xiàng)

(1) max_clients= numerical value

定義FTP服務(wù)器最大的兵法連接數(shù)。當(dāng)超過此連接數(shù)時(shí)，服務(wù)器拒絕客戶端連接。默認(rèn)值為0，表示不限最大連接數(shù)。

(2) max_per_ip= numerical value

定義每個(gè)IP地址最大的并發(fā)連接數(shù)目。超過這個(gè)數(shù)目將會(huì)拒絕連接。此選項(xiàng)的設(shè)置將會(huì)影響到網(wǎng)際快車、迅雷之類的多線程下載軟件。默認(rèn)值為0，表示不限制。

(3) anon_max_rate=value

設(shè)定匿名用戶的最大數(shù)據(jù)傳輸速度，以B/s為單位。默認(rèn)無。

(4) local_max_rate=value

設(shè)定用戶的最大數(shù)據(jù)傳輸速度。以B/s為單位。默認(rèn)無。此選項(xiàng)對(duì)所有的用戶都生效。

3. 用戶選項(xiàng)

vsftpd的用戶分為3類：匿名用戶、本地用戶(local user)及虛擬用戶(guest)

☆ 匿名用戶

(1) anonymous_enable=YES|NO

控制是否允許匿名用戶登錄

(2) ftp_username=

匿名用戶使用的系統(tǒng)用戶名。默認(rèn)情況下，值為ftp

(3) no_anon_password= YES|NO

控制匿名用戶登錄時(shí)是否需要密碼。

(4) anon_root=

設(shè)定匿名用戶的根目錄，即匿名用戶登錄后，被定位到此目錄下。主配置文件中默認(rèn)無此項(xiàng)，默認(rèn)值為/var/ftp/

(5) anon_world_readable_only= YES|NO

控制是否只允許匿名用戶下載可閱讀的文檔。YES，只允許匿名用戶下載可閱讀的文件。NO，允許匿名用戶瀏覽整個(gè)服務(wù)器的文件系統(tǒng)。

(6) anon_upload_enable= YES|NO

控制是否允許匿名用戶上傳文件。除了這個(gè)參數(shù)外，匿名用戶要能上傳文件，還需要兩個(gè)條件，write_enable參數(shù)為YES;在文件系統(tǒng)上，F(xiàn)TP匿名用戶對(duì)某個(gè)目錄有寫權(quán)限。

(7) anon_mkdir_wirte_enable= YES|NO

控制是否允許匿名用戶創(chuàng)建新目錄。在文件系統(tǒng)上，F(xiàn)TP匿名用戶必須對(duì)新目錄的上層目錄擁有寫權(quán)限。

(8) anon_other_write_enbale= YES|NO

控制匿名用戶是否擁有除了上傳和新建目錄之外的`其他權(quán)限。如刪除、更名等。

(9) chown_uploads= YES|NO

是否修改匿名用戶所上傳文件的所有權(quán)。YES，匿名用戶上傳得文件所有權(quán)改為另一個(gè)不同的用戶所有，用戶由chown_username參數(shù)指定。

(10) chown_username=whoever

指定擁有匿名用戶上傳文件所有權(quán)的用戶。

☆本地用戶

(1) local_enable= YES|NO

控制vsftpd所在的系統(tǒng)的用戶是否可以登錄vsftpd。

(2) local_root=

定義本地用戶的根目錄。當(dāng)本地用戶登錄時(shí)，將被更換到此目錄下。

☆虛擬用戶

(1) guest_enable= YES|NO

啟動(dòng)此功能將所有匿名登入者都視為guest

(2) guest_username=

定義vsftpd的guest用戶在系統(tǒng)中的用戶名。

　 　4. 安全措施

☆用戶登錄控制

(1) /etc/vsftpd.ftpusers

Vsftpd禁止列在此文件中的用戶登錄FTP服務(wù)器。此機(jī)制是默認(rèn)設(shè)置的。

(2) userlist_enable= YES|NO

此選項(xiàng)激活后，vsftpd將讀取userlist_file參數(shù)所指定的文件中的用戶列表。

(3) userlist_file=/etc/vsftpd.user_list

指出userlist_enable選項(xiàng)生效后，被讀取的包含用戶列表的文件。默認(rèn)值是/etc/vsftpd.user_list

(4) userlist_deny= YES|NO

決定禁止還是只允許由userlist_file指定文件中的用戶登錄FTP服務(wù)器。userlist_enable選項(xiàng)啟動(dòng)后才能生效。默認(rèn)值為YES，禁止文中的用戶登錄，同時(shí)不向這些用戶發(fā)出輸入口令的指令。NO，只允許在文中的用戶登錄FTP服務(wù)器。

☆目錄訪問控制

(1) chroot_list_enable= YES|NO

鎖定某些用戶在自己的目錄中，而不可以轉(zhuǎn)到系統(tǒng)的其他目錄。

(2) chroot_list_file=/etc/vsftpd/chroot_list

指定被鎖定在主目錄的用戶的列表文件。

(3) chroot_local_users= YES|NO

將本地用戶鎖定在主目中。

如何做好Linux服務(wù)器安全維護(hù)

一、強(qiáng)化密碼強(qiáng)度

凡是涉及到登錄，就需要用到密碼，如果密碼設(shè)定不恰當(dāng)，很容易被黑客破解，如果是超級(jí)管理員用戶，如果沒有設(shè)立良好的密碼機(jī)制，可能給系統(tǒng)造成無法挽回的成果。

很多用戶喜歡用自己的生日、姓名、英文名等信息來設(shè)定，這些方式可以通過字典或社會(huì)工程的手段去破解，因此建議用戶在設(shè)定密碼時(shí)，盡量使用非字典中出現(xiàn)的組合字符，且采用數(shù)字與字符、大小寫相結(jié)合的密碼，增加密碼被破譯的難度。

二、登錄用戶管理

進(jìn)入Linux系統(tǒng)前，都是需要登錄的，只有通過系統(tǒng)驗(yàn)證后，才能進(jìn)入Linux操作系統(tǒng)，而Linux一般將密碼加密后，存放在/etc/passwd文件中，那么所有用戶都可以讀取此文件，雖然其中保存的密碼已加密，但安全系數(shù)仍不高，因此可以設(shè)定影子文件/etc/shadow，只允許有特殊權(quán)限的用戶操作。

三、賬戶安全等級(jí)管理

在Linux操作系統(tǒng)上，每個(gè)賬戶可以被賦予不同的權(quán)限，因此在建立一個(gè)新用戶ID時(shí)，系統(tǒng)管理員應(yīng)根據(jù)需要賦予該賬號(hào)不同的權(quán)限，且歸并到不同的用戶組中。每個(gè)賬號(hào)ID應(yīng)有專人負(fù)責(zé)，在企業(yè)中，如果負(fù)責(zé)某個(gè)ID的員工離職，該立即從系統(tǒng)中刪除該賬號(hào)。

四、謹(jǐn)慎使用r系列遠(yuǎn)程程序管理

在Linux系統(tǒng)中，有一系列r開頭的公用程序，如rlogin、rcp等，非常容易被不法分子用來攻擊我們的系統(tǒng)，因此千萬不要將root賬號(hào)開放給這些公用程序，現(xiàn)如今很多安全工具都是針對(duì)此漏洞而設(shè)計(jì)的，比如PAM工具，就可以將其有效地禁止掉。

五、root用戶權(quán)限管理

root可謂是Linux重點(diǎn)保護(hù)對(duì)象，因?yàn)槠錂?quán)利是最高的，因此千萬不要將它授權(quán)出去，但有些程序的安裝、維護(hù)必須要求是超級(jí)用戶權(quán)限，在此情況下，可以利用其他工具讓這類用戶有部分超級(jí)用戶的權(quán)限。sudo就是這樣的工具。

六、綜合防御管理

防火墻、IDS等防護(hù)技術(shù)已成功應(yīng)用到網(wǎng)絡(luò)安全的各個(gè)領(lǐng)域，且都有非常成熟的產(chǎn)品，需要注意的是：在大多數(shù)情況下，需要綜合使用這兩項(xiàng)技術(shù)，因?yàn)榉阑饓ο喈?dāng)于安全防護(hù)的第一層，它僅僅通過簡(jiǎn)單地比較IP地址/端口來過濾網(wǎng)絡(luò)流量，而IDS更加具體，它需要通過具體的數(shù)據(jù)包來過濾網(wǎng)絡(luò)流量，是安全防護(hù)的第二層。綜合使用它們，能夠做到互補(bǔ)，并且發(fā)揮各自的優(yōu)勢(shì)，最終實(shí)現(xiàn)綜合防御。

七、保持更新，補(bǔ)丁管理

Linux作為一種優(yōu)秀的開源軟件，其穩(wěn)定性、安全性和可用性有極為可靠的保證，世界上的Linux高手共同維護(hù)著個(gè)優(yōu)秀的產(chǎn)品，因而起流通渠道很多，而且經(jīng)常有更新的程序和系統(tǒng)補(bǔ)丁出現(xiàn)，因此，為了加強(qiáng)系統(tǒng)安全，一定要經(jīng)常更新系統(tǒng)內(nèi)核。

服務(wù)器安全加固 - Linux

查看 /etc/passwd 文件查看是否有無用的賬號(hào)，如果存在則刪除，降低安全風(fēng)險(xiǎn)。

操作步驟：

操作步驟：

操作步驟

操作步驟

使用命令 vim /etc/pam.d/su 修改配置文件，在配置文件中添加行。

例如，只允許admin組用戶su到root，則添加 auth required pam_wheel.so group=admin 。

【可選】為了方便操作，可配置admin支持免密sudo：在 /etc/sudoers 文件中添加 admin ALL=(ALL) NOPASSWD:ALL

為了防止使用"su"命令將當(dāng)前用戶環(huán)境變量帶入其它用戶，修改/etc/login.defs添加ALWAYS_SET_PATH=yes并保存。

操作步驟

操作步驟：

查看所有服務(wù)列表 systemctl list-units --type=service

操作步驟

使用命令 vim /etc/ssh/sshd_config 編輯配置文件。

配置文件修改完成后，重啟sshd服務(wù)生效（systemctl restart sshd）。

操作步驟

修改/etc/profile 配置文件，添加行 umask 027 ， 即新創(chuàng)建的文件屬主擁有讀寫執(zhí)行權(quán)限，同組用戶擁有讀和執(zhí)行權(quán)限，其他用戶無權(quán)限。

操作步驟

修改 /etc/profile 配置文件，設(shè)置為 TMOUT=600， 表示超時(shí)10分鐘無操作自動(dòng)退出登錄。

操作步驟

Linux系統(tǒng)默認(rèn)啟用以下類型日志，配置文件為 /etc/rsyslog.conf：

通過上述步驟，可以在 /var/log/history 目錄下以每個(gè)用戶為名新建一個(gè)文件夾，每次用戶退出后都會(huì)產(chǎn)生以用戶名、登錄IP、時(shí)間的日志文件，包含此用戶本次的所有操作（root用戶除外）

服務(wù)器安全加固 - Linux - wubolive - 博客園

網(wǎng)站標(biāo)題：linux服務(wù)器安全配置 linux服務(wù)器安全配置賬戶管理
地址分享：http://www.chinadenli.net/article36/ddopcpg.html

成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián)，為您提供網(wǎng)站建設(shè)、網(wǎng)站導(dǎo)航、響應(yīng)式網(wǎng)站、做網(wǎng)站、App開發(fā)、

廣告

聲明：本網(wǎng)站發(fā)布的內(nèi)容（圖片、視頻和文字）以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主，如果涉及侵權(quán)請(qǐng)盡快告知，我們將會(huì)在第一時(shí)間刪除。文章觀點(diǎn)不代表本網(wǎng)站立場(chǎng)，如需處理請(qǐng)聯(lián)系客服。電話：028-86922220；郵箱：631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載，或轉(zhuǎn)載時(shí)需注明來源： 創(chuàng)新互聯(lián)