linuxftp加固
❶ linux安全加固应关闭什么服务
1、禁用无关的组(编辑: vi /etc/group)
2、禁止root用户远程登录
❷ linux 架设ftp
可以安装其自带的VSFTP服务器,挺好用的,具体配置如下:
一、基础
1.配置文件在/etc/vsftpd/vsftpd.conf
/etc/vsftpd.ftpusers
/etc/vsftpd.user_list
2.后台进程:vsftpd
3。使用21。20端口
21用于控制,20用于数据传输
4。日志:
/var/log/vsftpd.log xferlog
只记录传输数据信息
5。ftpcount ftpwho工具,作用不大。
二、配置参数
1。是否允许匿名登陆
# Allow anonymous FTP?
anonymous_enable=no
2。登陆超时控制
# You may change the default value for timing out an idle session.
idle_session_timeout=600
3。数据传输超时控制
# You may change the default value for timing out a data connection.
#data_connection_timeout=120
4。定制欢迎信息
# You may fully customise the login banner string:
ftpd_banner=Welcome to youhongyu FTP service.
三、访问控制关键配置方法
1。修改vsftpd.conf中( ****控制chroot**** )
chroot_list_enable=YES
chroot_list_file=/etc/vsftpd.chroot_list(如果无,需要创建)
/etc/vsftpd.chroot_list中的用户是 不 能chroot的用户,即这些用户只能在自己的(/home)目录下
2。控制访问用户文件
/etc/vsftpd.ftpusers
所有在该文件内的用户都是不能访问ftp,
但是和下面要介绍的不同的是 在访问时,不报530 Permission denied.而是报530 Login incorrect.
3。控制访问用户文件(注意需要vsftpd.conf配置来配合)
/etc/vsftpd.user_list
记住:要使这个文件起作用必须配置 userlist_enable=yes否则不起作用(默认是打开的)
那么当userlist_enable=yes时,userlist_deny=yes(需要手动加) 则 /etc/vsftpd.user_list中的用户不可以访问ftp
当userlist_enable=yes时,userlist_deny=no(需要手动加) 则 只有/etc/vsftpd.user_list中的用户可以访问ftp
2、和3如果涉及到同一个用户 以or的原则来应用,只要有一个文件有 就deny
三、提高
1。改变端口
需要在配置文件里加一句
listen_port=2121
客户机器 如果是windows需要指定 端口为2121
如果在linux下用ftp命令 需要修改/etc/services文件中的ftp端口号为2121
ftp 2121/tcp
ftp 2121/udp fsp fspd
2。(使用hosts.allow限制)
若是读者希望直接在/etc/hosts.allow 之中定义允许或是拒绝的来源地址,
可执行以下步骤。这是简易的防火墙设定。
Step1. 确定/etc/vsftpd/vsftpd.conf 之中tcp_wrappers 的设定为YES,
tcp_wrappers=YES
这是RedHat9 的默认值,基本上不需修改。
Step2. 重新启动vsftpd
[root@home vsftpd]# /sbin/service vsftpd restart
Shutting down vsftpd: OK ]
Starting vsftpd for vsftpd: OK ]
Step3. 设定/etc/hosts.allow,譬如提供111.22.33.4 以及10.1.1.1 到10.1.1.254 连
线,则可做下图之设定:
vsftpd : 111.22.33.4 10.1.1. : allow
ALL : ALL : DENY
/*****
自己实验情况
对域名做限制
hosts.allow
vsftpd:.cyy.net:allow
hosts.deny
vsftpd:ALL:deny
:报错为
Connected to cyy.net.
421 Service not available.
***/
3。(限速) *****关注里面对不同用户的不同策略的写*********
限制传输档案的速度:本机的使用者最高速度为200KBytes/s,匿名登入
者所能使用的最高速度为50KBytes/s
Step1. 修改/etc/vsftpd/vsftpd.conf
新增底下两行
anon_max_rate=50000
local_max_rate=200000
Step2. 重新启动vsftpd
[root@home vsftpd]# /sbin/service vsftpd restart
Shutting down vsftpd: OK ]
Starting vsftpd for vsftpd: OK ]
在这边速度的单位为Bytes/s,其中anon_max_rate 所限制的是匿名登入的
使用者,而local_max_rate 所限制的是本机的使用者。VSFTPD 对于速度的限
制,范围大概在80%到120%之间,也就是我们限制最高速度为100KBytes/s,
但实际的速度可能在80KBytes/s 到120KBytes/s 之间,当然,若是频宽不足
时,数值会低于此限制。
3.2.8. 针对不同的使用者限制不同的速度:假设test1 所能使用的最高速度为
250KBytes/s,test2 所能使用的最高速度为500KBytes/s。
Step1. 修改/etc/vsftpd/vsftpd.conf
新增底下一行
user_config_dir=/etc/vsftpd/userconf
Step2. 新增一个目录:/etc/vsftpd/userconf
mkdir /etc/vsftpd/userconf
Step3. 在/etc/vsftpd/userconf 之下新增一个名为test1 的档案
内容增加一行:
local_max_rate=250000
Step4. 在/etc/vsftpd/userconf 之下新增一个名为test2 的档案
内容增加一行:
local_max_rate=500000
Step5. 重新启动vsftpd
[root@home vsftpd]# /sbin/service vsftpd restart
Shutting down vsftpd: OK ]
Starting vsftpd for vsftpd: OK ]
(摘自:http://www.cn-doc.com/_system_linux_doc/2005_09_19_20/20050919205408378.htm)
❸ linux 安全加固指的是什么
就是一种攻击和防止被攻击的手段。
Linux网络安全的大概学习内容要掌握这么多吧:网络服务:
.网络概述、 TCP/IP 基础 .Linux 下基本网络配置与管理 .Dhcp 服务器的原理、配置与管理 .DNS 服务器的原理、配置与管理 .Linux 与 Windows 互联技术 samba 服务器的配置与管理 .Unix/Linux 经典文件服务 nfs 服务器的配置与管理 .Vsftp 服务器的原理、配置与管理 .Xinetd 超级守护进程服务原理、配置与管理 .WWW 服务器原理、配置与管理
安全管理:
.本机安全 .文件系统的安全 .网络服务器的安全策(dns,dhcp,apache,vsftp,nfs 等) .Linux 网络防火墙的搭建 iptables .配置安全的透明代理服务器iptables+squid .安装配置 OpenSSH 服务器 .Linux 网络环境下的 VPN 构建 .Linux 下的网络扫描和嗅探 nmap sniffer .Linux 下的网络流量监控 cati .Linux 系统日志服务管理 syslog
会了以上的那些,估计网络安全方面就没问题了。
❹ linux ftp设置
直接用gftp吧,带界面。
❺ Linux下FTP设置
修改/var/ftp/incoming的用户为admin,组为ftp;-R为递归修改,即将var,ftp,incoming这三个目录的用户及组都修改为admin及ftp。
❻ linux里面怎样把ftp固定到ssl/tls链接了
搭建FTP
安装vsftpd
vim /etc/vsftpd/vsftpd.conf
修改或添加
anon_root=/opt
/etc/init.d/vsftpd start
chkconfig vsftpd on
这里的anon_root=/opt 就是指定只能访问opt下!!
❼ Linux系统下FTP服务器如何实现安全性
作为Internet上的FTP服务器,系统的安全性是非常重要的,这是建立FTP服务器者所考虑的第一个问题。其安全性主要包括以下几个方面:
一、未经授权的用户禁止在服务器上进行FTP操作。
二、FTP用户不能读取未经系统所有者允许的文件或目录。
三、未经允许,FTP用户不能在服务器上建立文件或目录.
四、FTP用户不能删除服务器上的文件或目录。
FTP服务器采取了一些验明用户身份的办法来解决上述第一个问题,主要包括以下几个措施:
FTP用户所使用的用户帐号必须在/etc/passwd文件中有所记载(匿名FTP用户除外),并且他的口令不能为空。在没有正确输入用户帐号和口令的情况下,服务器拒绝访问。
FTP守护进程FTPd还使用一个/etc/FTPusers文件,凡在这个文件中出现的用户都将被服务器拒绝提供FTP服务。服务器管理可以建立"不受欢迎"的用户目录,拒绝这些用户访问。
只有在服务器的/etc/passwd文件中存在名为"FTP"的用户时,服务器才可以接受匿名FTP连接,匿名FTP用户可以用"anonymous"或"FTP"作为用户名,自己的Internet电子邮件地址作为保密字。为了解决上述安全性的另外三个问题,应该对FTP主目录下的文件属性进行管理,建议对每个目录及其文件采取以下一些措施:
FTP主目录:将这个目录的所有者设为"FTP",并且将属性设为所有的用户都不可写,防止不怀好意的用户删改文件。
FTP/bin目录:该目录主要放置一些系统文件,应将这个目录的所有者设为"root"(即超级用户),并且将属性设为所有的用户都不可写。为保证合法用户可显示文件,应将目录中的ls文件属性设为可执行。
FTP/etc目录:将这个目录的所有者设为"root",并且将属性设为所有的用户都不可写。将目录下的group文件和passwd文件的属性设为所有用户只读属性,并用编辑器将passwd文件中用户加过密的口令删掉。
FTP/pub目录:将这个目录的所有者置为"FTP",并且将它的属性设为所有用户均可读、写、执行。
这样经过设置,既保证了系统文件不被删改,又保证了FTP合法用户的正常访问
❽ 如何在linux下搭建ftp服务
在LINXU平台上使用的FTP软件有Wu-ftpd、Proftpd和vsftpd等。Wu-ftpd的历史悠久,是最流行的FTP服务器程序,稳定、出色,但发布较早,安全不及Proftpd及vsftpd。Proftpd在Wu-ftpd之后开发,安全性及稳定性有所提高。而vsftpd则是在Proftpd之后开发的,意为Very Sucure,吸取了Wu-ftpd和Proftpd的优点,安全性、速度、稳定性都有很大提高。
RHEL4(AS)中vsftpd的RPM软件包在第1张光盘中,名为vsftpd-2.0.1-5.i386.rpm。默认情况下没有安装。Vsftpd的主配置文件是/etc/vsftpd.conf。未修改的主配置文件去掉注释后如下(“;”后为解释):
anonymous_enable=YES ;是否允许匿名访问
local_enable=YES ;是否允许本地用户登录
write_enable=YES ;是否允许本地用户写入
local_umask=022 ;生向掩码(文件生成掩码),跟权限有关,我记不住了,有兴趣的朋友可以去查查,知道的朋友也请告诉我一下
dirmessage_enable=YES ;切换到FTP中的某目录时,是否显示该目录下的隐含文件“.message”
xferlog_enable=YES ;是否启用启用上传和下载日志
connect_from_port_20=YES ;是否启用FTP数据端口的连接请求
xferlog_std_format=YES ;是否让FTP使用ftpd xferlog日志格式
pam_service_name=vsftpd ;设置PAM认证服务的配置文件,位于/etc/pam.d目录下
userlist_enable=YES ;需与userlist_file配合使用,稍后介绍
listen=YES ;是否处于独立启动模式
tcp_wrappers=YES ;为YES时,以tcp_wrappers作为主机访问控制方式
(去掉后,vsftpd的配置文件就这么一点^_^。)
/etc/vsftpd.ftpusers保存着不允许进行FTP登录的用户帐户,通常是权限很高的用户,以提高FTP的安全。
至于/etc/vsftpd.user_list文件,里面有说明:
# vsftpd userlist
# If userlist_deny=NO, only allow users in this file
# If userlist_deny=YES (default), never allow users in this file, and do not even prompt for a password.
# Note that the default vsftpd pam config also checks /etc/vsftpd.ftpusers
…………(后略)
前面说的userlist_enalbe就跟这有关(重点是第二、三行)
另外,/vsr/ftp是匿名用户的宿主目录.
配置vsftpd的虚拟用户:
1. 建立虚拟用户口令库文件(奇数行为用户名,偶数行为密码):
[[email protected]]cat vsftpd
abc
abc12321cba
efg
vsftpd.conf
2. 生成认证文件(db_load生成认证文件,“-f”用于指明虚拟用户的口令库文件,即:vsftpd.操作中,口令库文件名可随便取.“-t hash”指加密方式)
db_load -T -t hash -f vsftpd /etc/vsftpd/vsftpd_login.db
3.设置权限,以提高安全:
chmod 600 /etc/vsftpd/vsftpd_login.db
4. 建立虚拟用户的PAM文件:
cat /etc/pam.d/vsftpd.vu
auth required /lib/security/pam_userdb.so db=/etc/vsftpd/vsftpd_login
account required /lib/security/pam_userdb.so db=/etc/vsftpd/vsftpd_login
5.建立虚拟用户的目录,并设置相应权限:
useradd -d /home/vsftpd virtual
chmod 700 /home/vsftpd/
6. 编辑vsftpd的配置文件:
vi /etc/vsftpd/vsftpd.conf
guest_enable=yes
guest_username=virtual
pam_service_name=vsftpd.vu
7. 对虚拟用户设置不同权限:
vi /etc/vsftpd/vsftpd.conf
user_config_dir=/etc/vsftpd_user_conf ;设置主配置文件
(:wq #保存退出)
mkdri /etc/vsftpd_user_conf
vi /etc/vsftpd_user_conf/abc ;为虚拟用户配置权限
anon_world_readable_only=no ;用户可以浏览目录并下载文件
anon_upload_enable=yes ;用户可以上传文件
anon_mkdir_write_enable=yes ;用户可以添加和删除目录
anon_other_write_enable=yes ;用户可以进行其它操作,如改名、删除文件等。
(:wq)
service vsftpd restart
如果只想让用户下载的话,则配置为:
anon_world_readable_only=no
好了,自个儿看效果吧!!!
常见问题:
1.无法匿名访问?
可能是vsftpd.conf中的anonyoums_enable出的错,或者是你根本就没连接到服务器,也有可能是服务器的iptables出的问题(过滤掉了),这种情况下一般与selinux无关。还有就是服务未运行。
2.创建的虚拟用户无法访问vsftpd?
原因或许是在创建虚拟用户的时候出的错,如果无法使用虚拟用户访问vsftpd的时候,建议先检查在创建虚拟用户时,打错什么字没有,如果还是没有检查出什么问题来的话,建议你直接推倒重做。还是一点差点忘记说了,就是在创建虚拟用户的时候,尽量将虚拟用户的密码设长一点、复杂一点,我在测试的时候,就是因为密码太短而几次没有成功。
3.在cmd下用虚拟用户登录vsftpd时,出现“200 PORT command successful. Consider using PASV.”的字样是怎么回事啊?
你所访问的电脑上的防火墙在做怪!!!我就上过这个当!!!
4.其它问题?
一般情况下,vsftpd出现问题大多数都是因为配置文件出错的,如果想要测试的话,建议在命令行了进行测试,当vsftpd出现问题时,它会在访问端的界面上显示原因。另外不成功的原因是因为服务器上的防火墙没有配置好。