简易的vsftpd服务器的架设

简易的vsftpd服务器的架设

简单的vsftpd.conf配置：

①　任何在/etc/vsftpd/ftpusers中的用户账号均无法使用vsftpd

②　开放anonymous和实体用户登陆vsftpd

③　实体用户登陆主机时，可以进入任何具有登陆权限的目录中（没用chroot）

④　使用端口20作为主动连接时的ftp-data传送端口

⑤　利用/etc/host.allow(deny)来管理登陆权限

⑥　当Client上传和下载文件时，该信息保存在/var/log/vsftpd.log中

⑦　其它端口使用默认（如被动式端口号等）

 

    在编辑之前备份一下

关于主机安全性的设置

user_localtime=YES

dirmessage_enable=YES

connect_from_port_20=YES

xferlog_enable=YES

xferlog_file=/var/log/xferlog

xferlog_std_format=YES

pam_service_name=vsftpd

tcp_wrappers=YES

    关于anonymous的设置

anonymous_enable=YES

关于real user的设置

local_enable=YES

write_enable=YES

local_umask=022

use_localtime=YES

看上图红色部分可知，在/etc/vsftpd/vsftpd.conf/应该用userlist_deny (有的是userlist_enable),要注意

匿名登录 不能切换目录 不能下载、上传文件 符合要求

  实体用户登录

 针对仅开放实体用户登录的设置

  因为开放anonymous不太安全，所以将anonymous的登录权关闭，仅以实体用户登录

1． 使用本地时间不是GMT时间

2．所有在/etc/passwd中出现的实体账号均能登录vsftpd主机

3．系统账号（如root等，uid小于500的账号）均不能使用vsftpd

4．把kiss这个账号用户限制在自己的主目录中

5．把数据的传输速率限制在100kb/s

6．当用户进入/home目录时，在Client端的屏幕上显示'"一般用户主目录"字样

7．用户可以进行上传、下载以及修改文件等

关于主机安全性的设置

user_localtime=YES

dirmessage_enable=YES

connect_from_port_20=YES

xferlog_enable=YES

xferlog_file=/var/log/xferlog

xferlog_std_format=YES

pam_service_name=vsftpd

tcp_wrappers=YES

    关于anonymous的设置

anonymous_enable=NO

关于real user的设置

local_enable=YES

write_enable=YES

local_umask=022

userlist_enable=YES

use_localtime=YES

　 chroot_list_enable=YES

   chroot_list_file=/etc/vsftpd/chroot_list   （有的是vsftpd.chroot_list）

   userlist_deny=YES

   userlist_file=/etc/vsftpd/user_list  （有的是vsftpd.user_list）

   local_max_rate=100000

限制实体用户在自己的主目录里的配置文件

写入kiss

未写入的可以进入其它目录

以PAM模块限制某些账号无法登录主机设置

“file=.......”后面接的文件就是PAM模块过滤的账号内容

以user_list阻挡某些账号的登录，该功能与PAM模块相似，只不过PAM是外挂的，而这个设置是vsftpd默认提供的  两这一般相同 比较安全

设置进入目录时显示的信息

写入

最后重启xinetd   3种方式

 

测试符合要求

针对仅开放匿名用户登录设置

a. 使用本地时间不是GMT时间

b. 仅对anonymous开放

c. 允许anonymous将文件上传到/var/ftp/upload目录中，并允许anonymous建立目录

d. 数据连接的过程（不是命令通道！）中只要超过60秒没有响应，就强制Client断线

e. 只要anonymous超过10分钟没有动作，就予以断线

f. 被动式连接的端口为65400·65420这几个端口号即可

g. 最大同时上线人数限制在50人，且同一个IP来源最大连接数为5

h. 不允许使用ASCII格式上传或下载

i. 把数据的传输速率限制在30kb/s

j. 不允许www.123.com网址作为email address的密码输入

1. 基本配置文件

user_localtime=YES

write_enable=YES

dirmessage_enable=YES

xferlog_enable=YES

xferlog_file=/var/log/xferlog

connect_from_port_20=YES

    data_connection_timeout=60

idle_session_timeout=600

nopriv_user=ftpsecure

ascii_upload_enable=NO

ascii_download_enable=NO

max_clients=50

max_per_ip=5

pasv_max_port=65420

pasv_min_port=65400

deny_email_enable=YES

banned_email_file=/etc/vsftpd/banned_emails

关于anonymous的设置

 anonymous_enable=YES

 anon_upload_enable=YES

anon_mkdir_write_enable=YES

anon_other_write_enable=YES

anon_max_rate=30000

 关于real user的设置

   local_enable=NO

2. 建立拒绝不当邮件地址文件

写入一个网址

3. 建立可以上传的目录

因为我们的nopriv_user设置为ftp ,所以上传的目录所用者为ftp

 

符合要求

相关安全设置

1. 设置防火墙 要启用vsftpd就要开放防火墙！ 如果你(ˇˍˇ） 想～对Internet 开放FTP服务器，就必须在你的规则中加这一条iptables防火墙规则：

/sbin/iptables -A INPUT -p tcp -i eth0 --dport 21 j ACCEPT

你也可以设置的更严密，这里就不设置了

你的TCP Wrapper如果想要拒绝愿ip地址为192.168.1.2 可以设置如下

 写入

Super daemon的管理

在server_arg后写入你的vsftpd的配置文件的完整文件名路径即可 换行加入一下内容：

per_source                = 5   与同一IP的连接数目有关

Instances                 = 200  同一时间最多的连接数目

No_access                = 192.168.1.3  

Banner_fail               =/etc/vsftpd/busy.conf

  421 很抱歉  服务器忙

  然后重启即可