linuxftp加固
❶ linux安全加固應關閉什麼服務
1、禁用無關的組(編輯: vi /etc/group)
2、禁止root用戶遠程登錄
❷ linux 架設ftp
可以安裝其自帶的VSFTP伺服器,挺好用的,具體配置如下:
一、基礎
1.配置文件在/etc/vsftpd/vsftpd.conf
/etc/vsftpd.ftpusers
/etc/vsftpd.user_list
2.後台進程:vsftpd
3。使用21。20埠
21用於控制,20用於數據傳輸
4。日誌:
/var/log/vsftpd.log xferlog
只記錄傳輸數據信息
5。ftpcount ftpwho工具,作用不大。
二、配置參數
1。是否允許匿名登陸
# Allow anonymous FTP?
anonymous_enable=no
2。登陸超時控制
# You may change the default value for timing out an idle session.
idle_session_timeout=600
3。數據傳輸超時控制
# You may change the default value for timing out a data connection.
#data_connection_timeout=120
4。定製歡迎信息
# You may fully customise the login banner string:
ftpd_banner=Welcome to youhongyu FTP service.
三、訪問控制關鍵配置方法
1。修改vsftpd.conf中( ****控制chroot**** )
chroot_list_enable=YES
chroot_list_file=/etc/vsftpd.chroot_list(如果無,需要創建)
/etc/vsftpd.chroot_list中的用戶是 不 能chroot的用戶,即這些用戶只能在自己的(/home)目錄下
2。控制訪問用戶文件
/etc/vsftpd.ftpusers
所有在該文件內的用戶都是不能訪問ftp,
但是和下面要介紹的不同的是 在訪問時,不報530 Permission denied.而是報530 Login incorrect.
3。控制訪問用戶文件(注意需要vsftpd.conf配置來配合)
/etc/vsftpd.user_list
記住:要使這個文件起作用必須配置 userlist_enable=yes否則不起作用(默認是打開的)
那麼當userlist_enable=yes時,userlist_deny=yes(需要手動加) 則 /etc/vsftpd.user_list中的用戶不可以訪問ftp
當userlist_enable=yes時,userlist_deny=no(需要手動加) 則 只有/etc/vsftpd.user_list中的用戶可以訪問ftp
2、和3如果涉及到同一個用戶 以or的原則來應用,只要有一個文件有 就deny
三、提高
1。改變埠
需要在配置文件里加一句
listen_port=2121
客戶機器 如果是windows需要指定 埠為2121
如果在linux下用ftp命令 需要修改/etc/services文件中的ftp埠號為2121
ftp 2121/tcp
ftp 2121/udp fsp fspd
2。(使用hosts.allow限制)
若是讀者希望直接在/etc/hosts.allow 之中定義允許或是拒絕的來源地址,
可執行以下步驟。這是簡易的防火牆設定。
Step1. 確定/etc/vsftpd/vsftpd.conf 之中tcp_wrappers 的設定為YES,
tcp_wrappers=YES
這是RedHat9 的默認值,基本上不需修改。
Step2. 重新啟動vsftpd
[root@home vsftpd]# /sbin/service vsftpd restart
Shutting down vsftpd: OK ]
Starting vsftpd for vsftpd: OK ]
Step3. 設定/etc/hosts.allow,譬如提供111.22.33.4 以及10.1.1.1 到10.1.1.254 連
線,則可做下圖之設定:
vsftpd : 111.22.33.4 10.1.1. : allow
ALL : ALL : DENY
/*****
自己實驗情況
對域名做限制
hosts.allow
vsftpd:.cyy.net:allow
hosts.deny
vsftpd:ALL:deny
:報錯為
Connected to cyy.net.
421 Service not available.
***/
3。(限速) *****關注裡面對不同用戶的不同策略的寫*********
限制傳輸檔案的速度:本機的使用者最高速度為200KBytes/s,匿名登入
者所能使用的最高速度為50KBytes/s
Step1. 修改/etc/vsftpd/vsftpd.conf
新增底下兩行
anon_max_rate=50000
local_max_rate=200000
Step2. 重新啟動vsftpd
[root@home vsftpd]# /sbin/service vsftpd restart
Shutting down vsftpd: OK ]
Starting vsftpd for vsftpd: OK ]
在這邊速度的單位為Bytes/s,其中anon_max_rate 所限制的是匿名登入的
使用者,而local_max_rate 所限制的是本機的使用者。VSFTPD 對於速度的限
制,范圍大概在80%到120%之間,也就是我們限制最高速度為100KBytes/s,
但實際的速度可能在80KBytes/s 到120KBytes/s 之間,當然,若是頻寬不足
時,數值會低於此限制。
3.2.8. 針對不同的使用者限制不同的速度:假設test1 所能使用的最高速度為
250KBytes/s,test2 所能使用的最高速度為500KBytes/s。
Step1. 修改/etc/vsftpd/vsftpd.conf
新增底下一行
user_config_dir=/etc/vsftpd/userconf
Step2. 新增一個目錄:/etc/vsftpd/userconf
mkdir /etc/vsftpd/userconf
Step3. 在/etc/vsftpd/userconf 之下新增一個名為test1 的檔案
內容增加一行:
local_max_rate=250000
Step4. 在/etc/vsftpd/userconf 之下新增一個名為test2 的檔案
內容增加一行:
local_max_rate=500000
Step5. 重新啟動vsftpd
[root@home vsftpd]# /sbin/service vsftpd restart
Shutting down vsftpd: OK ]
Starting vsftpd for vsftpd: OK ]
(摘自:http://www.cn-doc.com/_system_linux_doc/2005_09_19_20/20050919205408378.htm)
❸ linux 安全加固指的是什麼
就是一種攻擊和防止被攻擊的手段。
Linux網路安全的大概學習內容要掌握這么多吧:網路服務:
.網路概述、 TCP/IP 基礎 .Linux 下基本網路配置與管理 .Dhcp 伺服器的原理、配置與管理 .DNS 伺服器的原理、配置與管理 .Linux 與 Windows 互聯技術 samba 伺服器的配置與管理 .Unix/Linux 經典文件服務 nfs 伺服器的配置與管理 .Vsftp 伺服器的原理、配置與管理 .Xinetd 超級守護進程服務原理、配置與管理 .WWW 伺服器原理、配置與管理
安全管理:
.本機安全 .文件系統的安全 .網路伺服器的安全策(dns,dhcp,apache,vsftp,nfs 等) .Linux 網路防火牆的搭建 iptables .配置安全的透明代理伺服器iptables+squid .安裝配置 OpenSSH 伺服器 .Linux 網路環境下的 VPN 構建 .Linux 下的網路掃描和嗅探 nmap sniffer .Linux 下的網路流量監控 cati .Linux 系統日誌服務管理 syslog
會了以上的那些,估計網路安全方面就沒問題了。
❹ linux ftp設置
直接用gftp吧,帶界面。
❺ Linux下FTP設置
修改/var/ftp/incoming的用戶為admin,組為ftp;-R為遞歸修改,即將var,ftp,incoming這三個目錄的用戶及組都修改為admin及ftp。
❻ linux裡面怎樣把ftp固定到ssl/tls鏈接了
搭建FTP
安裝vsftpd
vim /etc/vsftpd/vsftpd.conf
修改或添加
anon_root=/opt
/etc/init.d/vsftpd start
chkconfig vsftpd on
這里的anon_root=/opt 就是指定只能訪問opt下!!
❼ Linux系統下FTP伺服器如何實現安全性
作為Internet上的FTP伺服器,系統的安全性是非常重要的,這是建立FTP伺服器者所考慮的第一個問題。其安全性主要包括以下幾個方面:
一、未經授權的用戶禁止在伺服器上進行FTP操作。
二、FTP用戶不能讀取未經系統所有者允許的文件或目錄。
三、未經允許,FTP用戶不能在伺服器上建立文件或目錄.
四、FTP用戶不能刪除伺服器上的文件或目錄。
FTP伺服器採取了一些驗明用戶身份的辦法來解決上述第一個問題,主要包括以下幾個措施:
FTP用戶所使用的用戶帳號必須在/etc/passwd文件中有所記載(匿名FTP用戶除外),並且他的口令不能為空。在沒有正確輸入用戶帳號和口令的情況下,伺服器拒絕訪問。
FTP守護進程FTPd還使用一個/etc/FTPusers文件,凡在這個文件中出現的用戶都將被伺服器拒絕提供FTP服務。伺服器管理可以建立"不受歡迎"的用戶目錄,拒絕這些用戶訪問。
只有在伺服器的/etc/passwd文件中存在名為"FTP"的用戶時,伺服器才可以接受匿名FTP連接,匿名FTP用戶可以用"anonymous"或"FTP"作為用戶名,自己的Internet電子郵件地址作為保密字。為了解決上述安全性的另外三個問題,應該對FTP主目錄下的文件屬性進行管理,建議對每個目錄及其文件採取以下一些措施:
FTP主目錄:將這個目錄的所有者設為"FTP",並且將屬性設為所有的用戶都不可寫,防止不懷好意的用戶刪改文件。
FTP/bin目錄:該目錄主要放置一些系統文件,應將這個目錄的所有者設為"root"(即超級用戶),並且將屬性設為所有的用戶都不可寫。為保證合法用戶可顯示文件,應將目錄中的ls文件屬性設為可執行。
FTP/etc目錄:將這個目錄的所有者設為"root",並且將屬性設為所有的用戶都不可寫。將目錄下的group文件和passwd文件的屬性設為所有用戶只讀屬性,並用編輯器將passwd文件中用戶加過密的口令刪掉。
FTP/pub目錄:將這個目錄的所有者置為"FTP",並且將它的屬性設為所有用戶均可讀、寫、執行。
這樣經過設置,既保證了系統文件不被刪改,又保證了FTP合法用戶的正常訪問
❽ 如何在linux下搭建ftp服務
在LINXU平台上使用的FTP軟體有Wu-ftpd、Proftpd和vsftpd等。Wu-ftpd的歷史悠久,是最流行的FTP伺服器程序,穩定、出色,但發布較早,安全不及Proftpd及vsftpd。Proftpd在Wu-ftpd之後開發,安全性及穩定性有所提高。而vsftpd則是在Proftpd之後開發的,意為Very Sucure,吸取了Wu-ftpd和Proftpd的優點,安全性、速度、穩定性都有很大提高。
RHEL4(AS)中vsftpd的RPM軟體包在第1張光碟中,名為vsftpd-2.0.1-5.i386.rpm。默認情況下沒有安裝。Vsftpd的主配置文件是/etc/vsftpd.conf。未修改的主配置文件去掉注釋後如下(「;」後為解釋):
anonymous_enable=YES ;是否允許匿名訪問
local_enable=YES ;是否允許本地用戶登錄
write_enable=YES ;是否允許本地用戶寫入
local_umask=022 ;生向掩碼(文件生成掩碼),跟許可權有關,我記不住了,有興趣的朋友可以去查查,知道的朋友也請告訴我一下
dirmessage_enable=YES ;切換到FTP中的某目錄時,是否顯示該目錄下的隱含文件「.message」
xferlog_enable=YES ;是否啟用啟用上傳和下載日誌
connect_from_port_20=YES ;是否啟用FTP數據埠的連接請求
xferlog_std_format=YES ;是否讓FTP使用ftpd xferlog日誌格式
pam_service_name=vsftpd ;設置PAM認證服務的配置文件,位於/etc/pam.d目錄下
userlist_enable=YES ;需與userlist_file配合使用,稍後介紹
listen=YES ;是否處於獨立啟動模式
tcp_wrappers=YES ;為YES時,以tcp_wrappers作為主機訪問控制方式
(去掉後,vsftpd的配置文件就這么一點^_^。)
/etc/vsftpd.ftpusers保存著不允許進行FTP登錄的用戶帳戶,通常是許可權很高的用戶,以提高FTP的安全。
至於/etc/vsftpd.user_list文件,裡面有說明:
# vsftpd userlist
# If userlist_deny=NO, only allow users in this file
# If userlist_deny=YES (default), never allow users in this file, and do not even prompt for a password.
# Note that the default vsftpd pam config also checks /etc/vsftpd.ftpusers
…………(後略)
前面說的userlist_enalbe就跟這有關(重點是第二、三行)
另外,/vsr/ftp是匿名用戶的宿主目錄.
配置vsftpd的虛擬用戶:
1. 建立虛擬用戶口令庫文件(奇數行為用戶名,偶數行為密碼):
[[email protected]]cat vsftpd
abc
abc12321cba
efg
vsftpd.conf
2. 生成認證文件(db_load生成認證文件,「-f」用於指明虛擬用戶的口令庫文件,即:vsftpd.操作中,口令庫文件名可隨便取.「-t hash」指加密方式)
db_load -T -t hash -f vsftpd /etc/vsftpd/vsftpd_login.db
3.設置許可權,以提高安全:
chmod 600 /etc/vsftpd/vsftpd_login.db
4. 建立虛擬用戶的PAM文件:
cat /etc/pam.d/vsftpd.vu
auth required /lib/security/pam_userdb.so db=/etc/vsftpd/vsftpd_login
account required /lib/security/pam_userdb.so db=/etc/vsftpd/vsftpd_login
5.建立虛擬用戶的目錄,並設置相應許可權:
useradd -d /home/vsftpd virtual
chmod 700 /home/vsftpd/
6. 編輯vsftpd的配置文件:
vi /etc/vsftpd/vsftpd.conf
guest_enable=yes
guest_username=virtual
pam_service_name=vsftpd.vu
7. 對虛擬用戶設置不同許可權:
vi /etc/vsftpd/vsftpd.conf
user_config_dir=/etc/vsftpd_user_conf ;設置主配置文件
(:wq #保存退出)
mkdri /etc/vsftpd_user_conf
vi /etc/vsftpd_user_conf/abc ;為虛擬用戶配置許可權
anon_world_readable_only=no ;用戶可以瀏覽目錄並下載文件
anon_upload_enable=yes ;用戶可以上傳文件
anon_mkdir_write_enable=yes ;用戶可以添加和刪除目錄
anon_other_write_enable=yes ;用戶可以進行其它操作,如改名、刪除文件等。
(:wq)
service vsftpd restart
如果只想讓用戶下載的話,則配置為:
anon_world_readable_only=no
好了,自個兒看效果吧!!!
常見問題:
1.無法匿名訪問?
可能是vsftpd.conf中的anonyoums_enable出的錯,或者是你根本就沒連接到伺服器,也有可能是伺服器的iptables出的問題(過濾掉了),這種情況下一般與selinux無關。還有就是服務未運行。
2.創建的虛擬用戶無法訪問vsftpd?
原因或許是在創建虛擬用戶的時候出的錯,如果無法使用虛擬用戶訪問vsftpd的時候,建議先檢查在創建虛擬用戶時,打錯什麼字沒有,如果還是沒有檢查出什麼問題來的話,建議你直接推倒重做。還是一點差點忘記說了,就是在創建虛擬用戶的時候,盡量將虛擬用戶的密碼設長一點、復雜一點,我在測試的時候,就是因為密碼太短而幾次沒有成功。
3.在cmd下用虛擬用戶登錄vsftpd時,出現「200 PORT command successful. Consider using PASV.」的字樣是怎麼回事啊?
你所訪問的電腦上的防火牆在做怪!!!我就上過這個當!!!
4.其它問題?
一般情況下,vsftpd出現問題大多數都是因為配置文件出錯的,如果想要測試的話,建議在命令行了進行測試,當vsftpd出現問題時,它會在訪問端的界面上顯示原因。另外不成功的原因是因為伺服器上的防火牆沒有配置好。