Linux下配置FTP服務(wù)器

它可運行在Linux、Solaris等系統(tǒng)中，支持很多其他的FTP 服務(wù)器不支持的特征：

站在用戶的角度思考問題，與客戶深入溝通，找到巢湖網(wǎng)站設(shè)計與巢湖網(wǎng)站推廣的解決方案，憑借多年的經(jīng)驗，讓設(shè)計與互聯(lián)網(wǎng)技術(shù)結(jié)合，創(chuàng)造個性化、用戶體驗好的作品，建站類型包括：成都網(wǎng)站設(shè)計、做網(wǎng)站、企業(yè)官網(wǎng)、英文網(wǎng)站、手機端網(wǎng)站、網(wǎng)站推廣、域名注冊、網(wǎng)頁空間、企業(yè)郵箱。業(yè)務(wù)覆蓋巢湖地區(qū)。

非常高的安全性需求

帶寬限制

良好的可伸縮性

創(chuàng)建虛擬用戶的可能性

分配虛擬IP地址的可能性

一、vsftpd的啟動

#service vsftpd start

如果允許用戶匿名訪問，需創(chuàng)建用戶ftp和目錄/var/ftp

# mkdir /var/ftp

# useradd –d /var/ftp ftp

　 　二、vsftpd的配置

Vsftpd的配置文件存放在/etc/vsftpd/vsftpd.conf 我們可根據(jù)實際數(shù)要對如下信息進行配置：

1. 連接選項

☆監(jiān)聽地址和控制端口

(1) listen_address=ip address

定義主機在哪個IP 地址上監(jiān)聽FTP請求。即在哪個IP地址上提供FTP服務(wù)。

(2) listen_port=port_value

指定FTP服務(wù)器監(jiān)聽的端口號。默認值為21。

　 　2. 性能與負載控制

☆超時選項

(1) idle_session_timeout=

空閑用戶會話的超時時間，若是超過這段時間沒有數(shù)據(jù)的傳送或是指令的輸入，則會被迫斷線。默認值是300s

(2) accept_timeout=numerical value

接受建立聯(lián)機的超時設(shè)定。默認值為60s

☆負載選項

(1) max_clients= numerical value

定義FTP服務(wù)器最大的兵法連接數(shù)。當超過此連接數(shù)時，服務(wù)器拒絕客戶端連接。默認值為0，表示不限最大連接數(shù)。

(2) max_per_ip= numerical value

定義每個IP地址最大的并發(fā)連接數(shù)目。超過這個數(shù)目將會拒絕連接。此選項的設(shè)置將會影響到網(wǎng)際快車、迅雷之類的多線程下載軟件。默認值為0，表示不限制。

(3) anon_max_rate=value

設(shè)定匿名用戶的最大數(shù)據(jù)傳輸速度，以B/s為單位。默認無。

(4) local_max_rate=value

設(shè)定用戶的最大數(shù)據(jù)傳輸速度。以B/s為單位。默認無。此選項對所有的用戶都生效。

3. 用戶選項

vsftpd的用戶分為3類：匿名用戶、本地用戶(local user)及虛擬用戶(guest)

☆ 匿名用戶

(1) anonymous_enable=YES|NO

控制是否允許匿名用戶登錄

(2) ftp_username=

匿名用戶使用的系統(tǒng)用戶名。默認情況下，值為ftp

(3) no_anon_password= YES|NO

控制匿名用戶登錄時是否需要密碼。

(4) anon_root=

設(shè)定匿名用戶的根目錄，即匿名用戶登錄后，被定位到此目錄下。主配置文件中默認無此項，默認值為/var/ftp/

(5) anon_world_readable_only= YES|NO

控制是否只允許匿名用戶下載可閱讀的文檔。YES，只允許匿名用戶下載可閱讀的文件。NO，允許匿名用戶瀏覽整個服務(wù)器的文件系統(tǒng)。

(6) anon_upload_enable= YES|NO

控制是否允許匿名用戶上傳文件。除了這個參數(shù)外，匿名用戶要能上傳文件，還需要兩個條件，write_enable參數(shù)為YES;在文件系統(tǒng)上，F(xiàn)TP匿名用戶對某個目錄有寫權(quán)限。

(7) anon_mkdir_wirte_enable= YES|NO

控制是否允許匿名用戶創(chuàng)建新目錄。在文件系統(tǒng)上，F(xiàn)TP匿名用戶必須對新目錄的上層目錄擁有寫權(quán)限。

(8) anon_other_write_enbale= YES|NO

控制匿名用戶是否擁有除了上傳和新建目錄之外的`其他權(quán)限。如刪除、更名等。

(9) chown_uploads= YES|NO

是否修改匿名用戶所上傳文件的所有權(quán)。YES，匿名用戶上傳得文件所有權(quán)改為另一個不同的用戶所有，用戶由chown_username參數(shù)指定。

(10) chown_username=whoever

指定擁有匿名用戶上傳文件所有權(quán)的用戶。

☆本地用戶

(1) local_enable= YES|NO

控制vsftpd所在的系統(tǒng)的用戶是否可以登錄vsftpd。

(2) local_root=

定義本地用戶的根目錄。當本地用戶登錄時，將被更換到此目錄下。

☆虛擬用戶

(1) guest_enable= YES|NO

啟動此功能將所有匿名登入者都視為guest

(2) guest_username=

定義vsftpd的guest用戶在系統(tǒng)中的用戶名。

　 　4. 安全措施

☆用戶登錄控制

(1) /etc/vsftpd.ftpusers

Vsftpd禁止列在此文件中的用戶登錄FTP服務(wù)器。此機制是默認設(shè)置的。

(2) userlist_enable= YES|NO

此選項激活后，vsftpd將讀取userlist_file參數(shù)所指定的文件中的用戶列表。

(3) userlist_file=/etc/vsftpd.user_list

指出userlist_enable選項生效后，被讀取的包含用戶列表的文件。默認值是/etc/vsftpd.user_list

(4) userlist_deny= YES|NO

決定禁止還是只允許由userlist_file指定文件中的用戶登錄FTP服務(wù)器。userlist_enable選項啟動后才能生效。默認值為YES，禁止文中的用戶登錄，同時不向這些用戶發(fā)出輸入口令的指令。NO，只允許在文中的用戶登錄FTP服務(wù)器。

☆目錄訪問控制

(1) chroot_list_enable= YES|NO

鎖定某些用戶在自己的目錄中，而不可以轉(zhuǎn)到系統(tǒng)的其他目錄。

(2) chroot_list_file=/etc/vsftpd/chroot_list

指定被鎖定在主目錄的用戶的列表文件。

(3) chroot_local_users= YES|NO

將本地用戶鎖定在主目中。

如何做好Linux服務(wù)器安全維護

一、強化密碼強度

凡是涉及到登錄，就需要用到密碼，如果密碼設(shè)定不恰當，很容易被黑客破解，如果是超級管理員用戶，如果沒有設(shè)立良好的密碼機制，可能給系統(tǒng)造成無法挽回的成果。

很多用戶喜歡用自己的生日、姓名、英文名等信息來設(shè)定，這些方式可以通過字典或社會工程的手段去破解，因此建議用戶在設(shè)定密碼時，盡量使用非字典中出現(xiàn)的組合字符，且采用數(shù)字與字符、大小寫相結(jié)合的密碼，增加密碼被破譯的難度。

二、登錄用戶管理

進入Linux系統(tǒng)前，都是需要登錄的，只有通過系統(tǒng)驗證后，才能進入Linux操作系統(tǒng)，而Linux一般將密碼加密后，存放在/etc/passwd文件中，那么所有用戶都可以讀取此文件，雖然其中保存的密碼已加密，但安全系數(shù)仍不高，因此可以設(shè)定影子文件/etc/shadow，只允許有特殊權(quán)限的用戶操作。

三、賬戶安全等級管理

在Linux操作系統(tǒng)上，每個賬戶可以被賦予不同的權(quán)限，因此在建立一個新用戶ID時，系統(tǒng)管理員應(yīng)根據(jù)需要賦予該賬號不同的權(quán)限，且歸并到不同的用戶組中。每個賬號ID應(yīng)有專人負責，在企業(yè)中，如果負責某個ID的員工離職，該立即從系統(tǒng)中刪除該賬號。

四、謹慎使用r系列遠程程序管理

在Linux系統(tǒng)中，有一系列r開頭的公用程序，如rlogin、rcp等，非常容易被不法分子用來攻擊我們的系統(tǒng)，因此千萬不要將root賬號開放給這些公用程序，現(xiàn)如今很多安全工具都是針對此漏洞而設(shè)計的，比如PAM工具，就可以將其有效地禁止掉。

五、root用戶權(quán)限管理

root可謂是Linux重點保護對象，因為其權(quán)利是最高的，因此千萬不要將它授權(quán)出去，但有些程序的安裝、維護必須要求是超級用戶權(quán)限，在此情況下，可以利用其他工具讓這類用戶有部分超級用戶的權(quán)限。sudo就是這樣的工具。

六、綜合防御管理

防火墻、IDS等防護技術(shù)已成功應(yīng)用到網(wǎng)絡(luò)安全的各個領(lǐng)域，且都有非常成熟的產(chǎn)品，需要注意的是：在大多數(shù)情況下，需要綜合使用這兩項技術(shù)，因為防火墻相當于安全防護的第一層，它僅僅通過簡單地比較IP地址/端口來過濾網(wǎng)絡(luò)流量，而IDS更加具體，它需要通過具體的數(shù)據(jù)包來過濾網(wǎng)絡(luò)流量，是安全防護的第二層。綜合使用它們，能夠做到互補，并且發(fā)揮各自的優(yōu)勢，最終實現(xiàn)綜合防御。

七、保持更新，補丁管理

Linux作為一種優(yōu)秀的開源軟件，其穩(wěn)定性、安全性和可用性有極為可靠的保證，世界上的Linux高手共同維護著個優(yōu)秀的產(chǎn)品，因而起流通渠道很多，而且經(jīng)常有更新的程序和系統(tǒng)補丁出現(xiàn)，因此，為了加強系統(tǒng)安全，一定要經(jīng)常更新系統(tǒng)內(nèi)核。

服務(wù)器安全加固 - Linux

查看 /etc/passwd 文件查看是否有無用的賬號，如果存在則刪除，降低安全風險。

操作步驟：

操作步驟：

操作步驟

操作步驟

使用命令 vim /etc/pam.d/su 修改配置文件，在配置文件中添加行。

例如，只允許admin組用戶su到root，則添加 auth required pam_wheel.so group=admin 。

【可選】為了方便操作，可配置admin支持免密sudo：在 /etc/sudoers 文件中添加 admin ALL=(ALL) NOPASSWD:ALL

為了防止使用"su"命令將當前用戶環(huán)境變量帶入其它用戶，修改/etc/login.defs添加ALWAYS_SET_PATH=yes并保存。

操作步驟

操作步驟：

查看所有服務(wù)列表 systemctl list-units --type=service

操作步驟

使用命令 vim /etc/ssh/sshd_config 編輯配置文件。

配置文件修改完成后，重啟sshd服務(wù)生效（systemctl restart sshd）。

操作步驟

修改/etc/profile 配置文件，添加行 umask 027 ， 即新創(chuàng)建的文件屬主擁有讀寫執(zhí)行權(quán)限，同組用戶擁有讀和執(zhí)行權(quán)限，其他用戶無權(quán)限。

操作步驟

修改 /etc/profile 配置文件，設(shè)置為 TMOUT=600， 表示超時10分鐘無操作自動退出登錄。

操作步驟

Linux系統(tǒng)默認啟用以下類型日志，配置文件為 /etc/rsyslog.conf：

通過上述步驟，可以在 /var/log/history 目錄下以每個用戶為名新建一個文件夾，每次用戶退出后都會產(chǎn)生以用戶名、登錄IP、時間的日志文件，包含此用戶本次的所有操作（root用戶除外）

服務(wù)器安全加固 - Linux - wubolive - 博客園

網(wǎng)站標題：linux服務(wù)器安全配置 linux服務(wù)器安全配置賬戶管理
地址分享：http://chinadenli.net/article36/ddopcpg.html

成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián)，為您提供網(wǎng)站建設(shè)、網(wǎng)站導航、響應(yīng)式網(wǎng)站、做網(wǎng)站、App開發(fā)、

廣告

聲明：本網(wǎng)站發(fā)布的內(nèi)容（圖片、視頻和文字）以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主，如果涉及侵權(quán)請盡快告知，我們將會在第一時間刪除。文章觀點不代表本網(wǎng)站立場，如需處理請聯(lián)系客服。電話：028-86922220；郵箱：631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載，或轉(zhuǎn)載時需注明來源： 創(chuàng)新互聯(lián)