IT貓撲網(wǎng):您身邊最放心的安全下載站! 最新更新|軟件分類|軟件專題|手機(jī)版|論壇轉(zhuǎn)貼|軟件發(fā)布

您當(dāng)前所在位置: 首頁服務(wù)器FTP服務(wù)器 → 用vsftpd架設(shè)安全的FTP服務(wù)器

用vsftpd架設(shè)安全的FTP服務(wù)器

時(shí)間:2015-06-28 00:00:00 來源:IT貓撲網(wǎng) 作者:網(wǎng)管聯(lián)盟 我要評論(0)

  在網(wǎng)站的建設(shè)中,F(xiàn)TP是一項(xiàng)重要的服務(wù),利用它可以更容易分享有限的軟件資源。Linux下有代表性的FTP服務(wù)器軟件是Wu-FTP、ProFTP及vsftpd。Wu-FTP(Washington University FTP)是由美國華盛頓大學(xué)開發(fā)的、以效率和穩(wěn)定性為參考量的FTP軟件。它的功能強(qiáng)大,配置較復(fù)雜,由于開發(fā)時(shí)間較早,應(yīng)用十分廣泛,也因此成為黑客們主要的攻擊目標(biāo)。Wu-FTP的早期各級版本不斷出現(xiàn)安全漏洞,系統(tǒng)管理員不得不因安全因素而經(jīng)常對其進(jìn)行升級。ProFTP針對Wu-FTP的弱項(xiàng)而開發(fā),除了在安全性方面進(jìn)行了改進(jìn)外,還具備設(shè)置簡單的特點(diǎn),并提供了一些Wu-FTP沒有的功能,大大簡化了架設(shè)和管理FTP服務(wù)器的工作。vsftpd則憑借在安全性方面的出色表現(xiàn),被很多大型網(wǎng)站廣為采用。

vsftpd簡介

  vsftpd在安全性、高性能及穩(wěn)定性三個(gè)方面有上佳的表現(xiàn)。它提供的主要功能包括虛擬IP設(shè)置、虛擬用戶、Standalone、inetd操作模式、強(qiáng)大的單用戶設(shè)置能力及帶寬限流等。在安全方面,它從原理上修補(bǔ)了大多數(shù)Wu-FTP、ProFTP,乃至BSD-FTP的安裝缺陷,使用安全編碼技術(shù)解決了緩沖溢出問題,并能有效避免"globbing"類型的拒絕服務(wù)攻擊。目前正在使用vsftpd的官方網(wǎng)站有Red Hat、SuSE、Debian、GNU、GNOME、KDE、Gimp和OpenBSD等。

安裝

  本文以1.1.3版本為例進(jìn)行介紹(這是2002年11月9日發(fā)布的最新正式發(fā)行版本)。下載地址為ftp://vsftpd.beasts.org/users/cevans/。

1.構(gòu)建vsftpd

首先解壓縮包,代碼如下:

$ tar xzvf vsftpd-1.1.3.tar.gz

  進(jìn)入安裝目錄cd vsftpd-1.1.3。如果想在以后使用中啟用tcp_wrapper功能,可在編譯前修改"builddefs.h"文件中的語句,將"#undef VSF_BUILD_TCPWRAPPERS"改為"#define VSF_BUILD_TCPWRAPPERS"。tcp_wrapper功能主要應(yīng)用于IP管理控制,比如可以為單獨(dú)的一個(gè)IP地址使用特殊優(yōu)先的FTP配置文件。然后,鍵入"make"生成一份可執(zhí)行二進(jìn)制程序代碼。

2.前期準(zhǔn)備

vsftpd的默認(rèn)配置中需要用戶"nobody"。添加該用戶命令如下:

$ useradd nobody

vsftpd的默認(rèn)配置中需要目錄"/usr/share/empty"。添加該目錄的命令如下:

$ mkdir /usr/share/empty/

  匿名FTP需要用戶"ftp"的存在,并有一個(gè)有效的主目錄(不允許用戶"ftp"有擁有權(quán)和可寫權(quán))。如沒有此目錄則建立它,命令如下:

$ mkdir /var/ftp/
$ useradd -d /var/ftp ftp

3.安裝相關(guān)配置文件、執(zhí)行文件、幫助手冊頁等

運(yùn)行"make install",將源代碼、幫助手冊頁等復(fù)制到相關(guān)路徑。如果采用手工復(fù)制,命令如下:

$ cp vsftpd /usr/local/sbin/vsftpd
$ cp vsftpd.conf.5 /usr/local/man/man5
$ cp vsftpd.8 /usr/local/man/man8

另外,"make install"不能復(fù)制樣例配置文件,建議手工復(fù)制,命令如下:

$ cp vsftpd.conf /etc

整個(gè)安裝過程很簡單,下面來看看如何操縱vsftpd的強(qiáng)大功能,進(jìn)行vsftpd.conf文件的配置。

兩種運(yùn)行模式

  像其它守護(hù)程序一樣,vsftpd提供了standalone和inetd(inetd或xinetd)兩種運(yùn)行模式。簡單解釋一下,standalone一次性啟動(dòng),運(yùn)行期間一直駐留在內(nèi)存中,優(yōu)點(diǎn)是對接入信號(hào)反應(yīng)快,缺點(diǎn)是損耗了一定的系統(tǒng)資源,因此經(jīng)常應(yīng)用于對實(shí)時(shí)反應(yīng)要求較高的專業(yè)FTP服務(wù)器。inetd恰恰相反,由于只在外部連接發(fā)送請求時(shí)才調(diào)用FTP進(jìn)程,因此不適合應(yīng)用在同時(shí)連接數(shù)量較多的系統(tǒng)。此外,inetd模式不占用系統(tǒng)資源。除了反應(yīng)速度和占用資源兩方面的影響外,vsftpd還提供了一些額外的高級功能,如inetd模式支持per_IP(單一IP)限制,而standalone模式則更有利于PAM驗(yàn)證功能的應(yīng)用。

1.inetd運(yùn)行模式

  從某種inetd運(yùn)行vsftpd可以提供一種不錯(cuò)的功能——per_IP連接限制。這也是vsftpd 1.1.3版本最新推出并推薦的一種運(yùn)行模式。實(shí)現(xiàn)per_IP連接限制要依賴于vsftpd提供的tcp_wrappers支持。如果使用標(biāo)準(zhǔn)的"inetd",需編輯/etc/inetd.conf文件,并添加下面一行代碼:

$ ftp stream tcp nowait root /usr/sbin/tcpd /usr/local/sbin/vsftpd

  確保刪除或注釋掉任何原存的FTP服務(wù)語句行。假如沒有安裝tcp_wrappers,或不需要使用它,可去掉"/usr/sbin/tcpd"部分。然后重載配置文件,命令如下:

$ kill -SIGHUP 'pidof inetd'

  大多數(shù)較新的系統(tǒng)采用的是xinetd超級服務(wù)守護(hù)進(jìn)程。使用"vi /etc/xinetd.d/vsftpd" 看一下它的內(nèi)容,如下:

disable = no
socket_type = stream
wait = no

# 這表示設(shè)備是激活的,它正在使用標(biāo)準(zhǔn)的TCP Sockets。

user = root
server = /usr/local/sbin/vsftpd

# 說明服務(wù)程序/usr/local/sbin/vsftpd已被用來控制FTP接入請求,并且該程序是作為root身份運(yùn)行的(可能瞬間擁有過大的特權(quán))。請確信已經(jīng)把vsftpd二進(jìn)制執(zhí)行代碼安裝在了"/usr/local/sbin"目錄下。

per_source = 5
instances? = 200

# 由于安全原因,從一個(gè)單一IP地址聯(lián)入的最大允許數(shù)值是5。當(dāng)前最大連接總數(shù)是200。

no_access? = 192.168.1.3

# 地址192.168.1.3將被拒絕訪問。

banner_fail = /etc/vsftpd.busy_banner

# 顯示給用戶當(dāng)連接被禁止時(shí)的文件。不論因任何原因而被拒絕(太多用戶,IP被禁止)。

下面一行是產(chǎn)生的例子:

echo "421 Server busy, please try later." > /etc/vsftpd.busy_banner
log_on_success? += PID HOST DURATION
log_on_failure? += HOST

  這將按照時(shí)間順序日志所有嘗試連接的IP地址,無論連接成功與否。假如連接啟動(dòng)了一個(gè)FTP服務(wù),其進(jìn)程ID和使用期也將被載入日志。如果使用的是Red Hat,這個(gè)日志信息將出現(xiàn)在/var/log/secure文件中。

最后,重啟xinetd,命令如下:

$ /etc/rc.d/init.d/xinetd restart

需要注意的是,"/etc/xinetd.d"目錄中僅能開啟一個(gè)FTP服務(wù)。

2.standalone模式

  standalone模式便于實(shí)現(xiàn)PAM驗(yàn)證功能。進(jìn)入這種模式首先要關(guān)閉xinetd下的vsftpd,設(shè)置"disable = yes",或者注銷掉"/etc/inetd.conf"中相應(yīng)的行。然后修改"/etc/vsftpd.conf"中的選項(xiàng)為"listen=YES"。

配置vsftpd.conf

  下面來了解一下核心配置文件vsftpd.conf。它的地址為"/etc/vsftpd.conf",控制語句格式為"語句=值",注意不要在格式間加入任何空格和標(biāo)點(diǎn)符號(hào)。man手冊頁中把控制語句分為布爾類(值為YES或NO)、數(shù)字類(值為數(shù)字)和字符串類(值為字符串)三種。為了管理方便、思路清晰,按照訪問權(quán)(Access rights)、安全(Security)、功能(Features)和性能(Performance)分成四大類。下面是一個(gè)樣本配置文件內(nèi)容,用來說明常用的控制語句:

# Access rights
anonymous_enable=YES?
/*若不想啟用匿名訪問請修改值為NO*/
local_enable=NO?
/*關(guān)閉本地用戶登陸服務(wù),指所有非匿名用戶*/
write_enable=NO?
/*關(guān)閉任何用戶的寫權(quán)限*/
anon_upload_enable=NO?
/*關(guān)閉匿名用戶上傳數(shù)據(jù)的能力*/
anon_mkdir_write_enable=NO?
/*關(guān)閉匿名用戶建立目錄的能力*/
anon_other_write_enable=NO?
/*關(guān)閉匿名用戶執(zhí)行建立和上傳之外的寫入類命令的操作,比如更
改名字和刪除操作的能力*/

# Security
anon_world_readable_only=YES?
/*開啟匿名用戶只能使用許可權(quán)為全部可讀的資源*/
connect_from_port_20=YES?
/*從標(biāo)準(zhǔn)端口20觸發(fā)連接*/
hide_ids=YES?
/*隱藏FTP服務(wù)器中用戶的ID,用"FTP"取代*/
pasv_min_port=50000?
pasv_max_port=60000?
/*設(shè)置pasv傳輸模式下的端口范圍為50000-60000*/

# Features
xferlog_enable=YES?
/*開啟日志,記錄傳輸狀態(tài)到文件/var/log/vsftpd.log*/
ls_recurse_enable=NO?
/*關(guān)閉"ls -R"命令,該命令常被用于DoS攻擊,非常浪費(fèi)系統(tǒng)資源,
但"mirror"鏡像工具會(huì)用到它*/
ascii_download_enable=NO?
/*關(guān)閉ASCII模式下載,防止被用于DoS攻擊,ASCII下載很消耗CPU負(fù)擔(dān)*/
async_abor_enable=YES?
/*開啟支持早期FTP客戶端"async ABOR"命令的能力*/

# Porformance
one_process_model=YES?
/*開啟每個(gè)IP單一進(jìn)程模式,該模式僅支持具備一定能力的內(nèi)核,
比如linux kernel 2.4*/
idle_session_timeout=120?
/*踢出空閑了兩分鐘后的用戶*/
data_connection_timeout=300?
/*踢出空閑了五分鐘后的下載*/
accept_timeout=60?
/*踢出掛起了一分鐘后的passive連接*/
connect_timeout=60?
/*踢出掛起了一分鐘后的活動(dòng)連接*/
anon_max_rate=50000?
/*限止單個(gè)用戶的下載速度為不超過50kbytes每秒*/

  至此,一個(gè)匿名服務(wù)器已經(jīng)可以正常運(yùn)行了,并且進(jìn)行了安全方面的設(shè)置。實(shí)際中,根據(jù)FTP

關(guān)鍵詞標(biāo)簽:服務(wù)器,安全,用戶,文件

相關(guān)閱讀

文章評論
發(fā)表評論

熱門文章 Linux下FTP的配置與應(yīng)用 Linux下FTP的配置與應(yīng)用 什么是ftp及ftp服務(wù)器 什么是ftp及ftp服務(wù)器 FTP出錯(cuò)解決和分析 FTP出錯(cuò)解決和分析 Windows內(nèi)置FTP服務(wù)器高級配置 Windows內(nèi)置FTP服務(wù)器高級配置

相關(guān)下載

    人氣排行 vsftp配置大全---超完整版 IIS6.0打造FTP服務(wù)器完全圖文詳解 使用Win 2003搭建安全文件服務(wù)器 圖解Windows xp—FTP服務(wù)器配置 linux服務(wù)samba的詳細(xì)配置 在Windows 2003下搭建FTP服務(wù)器 FTP登陸錯(cuò)誤詳解 Windows內(nèi)置FTP服務(wù)器高級配置