《Linux网络操作系统（CentOS 6.5）》课件_3-3-2 FTP服务器的安全配置与管理.pptxVIP

Linux网络操作系统（CentOS）FTP服务器的安全配置与管理

任务目标基于安全考虑，公司要求信息部门对此拟定解决方案。信息部门通过讨论，决定使用常规方式解决：应用SSL/TLS协议加密传输数据。为了方便客户在前台查询公司相关信息，接待部在客户休息区放置了两台计算机，IP地址分别为0和1。为保障vsftpd服务器的安全，需要禁止这两台计算机访问服务器，允许网段192.168.0的其他计算机访问。

SSL/TLS协议应用因FTP服务器与客户端在通信过程中是明文传输方式，所以在用户登录FTP服务器时，一旦有人在服务器端或客户端监听网络数据，就可以轻易获取用户的登录账号和密码。

FTP虚拟用户账号虚拟用户并不是系统用户，即FTP的用户在系统中是不存在的。这些账号的权限是集中寄托在系统中的某一个用户身上的，即所谓的vsftpd的虚拟宿主用户。虚拟宿主用户是支持所有虚拟用户的宿主用户，由于它支撑了FTP的所有虚拟用户，其本身的权限将会影响这些虚拟用户。

修改主配置文件在主配置文件中修改以下内容（如无则添加）：guest_enable=YES#启用虚拟用户。guest_username=virtual#指定虚拟用户映射的账号名称。pam_service_name=virtual#设定PAM服务下vsftpd的验证配置文件名。user_config_dir=/etc/vsftpd/user_conf#指定虚拟用户账号配置文件所处位置。chroot_local_user=YES#启用用户目录隔离。pasv_enable=YES#启用vsftpd服务的被动模式。pasv_min_port=40000#指定最小端口号。pasv_max_port=41000#指定最大端口号。

修改主配置文件ssl_enable=YES#启用SSL/TLS协议。rsa_cert_file=/etc/vsftpd/cert/vsftpd.pem#指定SSL证书保存的文件。allow_anon_ssl=NO#匿名用户不使用SSL加密。force_local_data_ssl=YES#强制使用SSL加密数据传输。force_local_logins_ssl=YES#强制使用SSL加密登录数据。ssl_tlsv1=YES#启用认证模式。ssl_sslv2=NOssl_sslv3=NOrequire_ssl_reuse=NO#不需要数据与控制流使用相同的SSL通道。ssl_ciphers=HIGHxferlog_enable=YESxferlog_std_format=NOxferlog_file=/var/log/vsftpd.log#指定相关日志文件log_ftp_protocol=YES

创建配置文件目录为用户配置文件创建目录。为证书文件创建目录。

创建虚拟用户在目录“/etc/vsftpd/”下创建用户文件“virtualuser.txt”，并在其中写入虚拟用户及其密码。

设置虚拟用户相关权限在指定的虚拟用户账号配置文件目录“/etc/vsftpd/user_conf”内，创建虚拟账号权限配置文件，文件名称以虚拟账号命名。

设置vsftpd的PAM配置文件vsftpd的PAM配置文件“/etc/pam.d/vsftpd”决定vsftpd使用何种认证方式，常用的认证方式包括：pam_unix：本地系统的真实用户认证；pam_userdb：独立的用户认证数据库认证；pam_ldap：网络上的LDAP数据库认证。

创建SSL认证文件SSL认证文件可以通过openssl命令创建。

创建虚拟用户根目录按照用户配置文件中的设置，创建虚拟用户根目录。创建好目录后，必须将目录及其子目录和文件的所有者和所属组均改成用户“virtual”及其所属组，否则虚拟用户无法登陆。

防火墙设置因vsftpd服务使用的是TCP的20和21号端口，被动模式下使用了40000-41000之间的端口，所以必须在防火墙中添加规则，允许这些端口与外界通信。

验证匿名用户测试

验证虚拟用户测试

TCPWrappers安全机制应用启用TCPWrappers安全机制：打开vsftpd服务的主配置文件，检查“tcp_wrappers”项是否启用、值是否为“YES”。默认配置中，该选项为启动的，且值为“YES”。

TCPWrappers安全机制应用编辑禁用规则：编写禁止主机登录vsftpd服务器的规则有两种方式：在“/etc/hosts.allow”中编写或在“/etc/hosts.deny”中编写。。