linux-vsftp安全配置可编辑范本.docVIP

Liｎuｘｖsfｔp安全配置

FTP服务器面临的安全隐患

FＴＰ服务器面临的安全隐患主要包括：缓冲区溢出攻击、数据嗅探、匿名访问缺陷和访问漏洞。

VSFtｐ一些安全配置:

???1。?修改ＶsｆtpdHYＰERLＩNKhttp:／/prｏdｕct。it168。ｃｏｍ/files/0402search。shtml＼o”服务器”＼t”_bｌanｋ服务器的默认端口和修改其他设置?

???基于HYPＥRLINK”ｈttｐ：//safe。it１６８.com/＂\o安全＂\t”＿blaｎk”安全考虑,将预设的２1端口改为2１２３.修改配置文件／etｃ/ｖsftｐｄ/vsftpｄ。cｏnf，???在文件最后增加如下一行内容:????listen_port=21２3

ftp_ｄａtａ_port=20２０????在实际应用中，为了增加安全性,会将FTPHYＰＥRＬINK”httｐ:/／ｓ／”\o”服务器”\t”_ｂlank”服务器置于防火墙之后。修改Vｓftpd服务器的默认端口后要及时修改防火墙的端口设定。现在服务器FTP端口为2123，数据传输端口为２０20．?#ｉptａbｌes－AINＰＵＴ—ptcｐ－ｍｍｕｌtipoｒt-－ｄport2123，２020-jACCEPＴ?＃ipｔａblｅs—AINＰUＴ—ptcｐ—jRＥJECT-—rejｅct-wｉｔｈtcp—ｒeset

修改其他设置?ls_rｅcurse＿enaｂｌｅ=NO?#关闭“ｌｓ—R＂命令，该命令常被用于ＤoＳ攻击,非常浪费系统资源＃ascii_ｄownｌoad_enaｂlｅ=ＮO?#关闭ＡSCII模式下载，防止被用于DoS攻击,ASCII下载很消耗HYPERＬＩNＫ＂hｔtp://pｒoducｔ.it168。ｃｏm/ｌiｓt／b/0２17_１.shtml”＼o”CＰU\t”_blank”ＣPU负担

???2。使用ＢlocｋＨoｓtｓＨYPERLIＮKhttｐ:／/softｗare.it１６8。com/”\o”软件”\ｔ_blaｎk”软件防范暴力破解?????BloｃkHoｓtｓ软件就是利用通过分析日志文件帮助tcp_ｗrａpperｓ实现工作自动化。例如在30秒钟内一个IP地址(192．１68。1.２3)连续３0次登录sｓhd服务器而且全部因为密码错误登录失败.那么这个ＩP地址无疑是非法或者恶意主机。这时ＢloｃｋHosts会自动将该IP地址写入/etc／ｈosｔs。dｅny文件。首先编辑你的/etc／syslｏg.coｎf文件，一般修改??sｅcｕrity.＊／vaｒ/log/securｉty条目内容如下:?seｃuｒity。＊;autｈ。ｉnfo???????????????/vａr/lｏg/seｃurｉｔy?

原因很简单,这样syｓlogｄ就把连接到sshｄ的日志信息记录下来。

BlｏcｋHｏｓts官方网站:HYPERLIＮＫｈttｐ：／/wwｗ。aｃzｏom．com/cms／ｂlocｋhosts／”ｈｔtp://www.aczoom。coｍ/cms／blｏckhosｔｓ/,最新版本:1.0。３。?下载启动BlockHoｓｔｓ步骤,另外需要Ｐｙthoｎ语言和SＳH软件的支持。可以使用下面命令检测.

#rｐm－qa｜grepＰyｔｈon;rpｍ－qa|grepssh

＃wｇｅtHＹPERLIＮKhttｐ://www。aｃzoｏm．ｃom/ｔoolｓ/blockhosｔs/BlｏcｋHostｓ-１．0.3．tａｒ.ｇz”http：／/wｗw.ａczｏom。ｃom／tools/ｂlocｋhｏsts/ＢｌockHosｔs-1．0。3。tａr.gz?#tar–zxｖfBlockHoｓts-1.0.0.tar。gz“建立一个目录”?pythoｎｓetup。py

ＢｌoｃｋHosts是基于命令行模式的,使用非常简单这里就不赘述了。

????３．使用xｉnetｄ方式运行

???Vsftpd能以Sｔａnd-ａlone、ｘinetd两种模式运行，当用户账号比较少又经常需要连接到Vsftpd服务器时推荐使用xinetd模式运行．使用xinetd方式运行可以有效防范ＤoＳ攻击。从传统的守护进程的概念可以看出，对于系统所要通过的每一种服务,都必须运行一个监听某个端口连接所发生的守护进程,这通常意味着资源浪费。为了解决这个问题,一些Liｎｕx引进了“\t_ｂlａｎk网络守护进程服务程序＂的概念.RedｈatＬiｎux8.0以后的版本使用的网络守护进程是xintｅd(ｅＸtｅndｅdIｎteｒNＥTd