仓酷云

 找回密码
 立即注册
搜索
热搜: 活动 交友 discuz
查看: 787|回复: 7
打印 上一主题 下一主题

[CentOS(社区)] 给大家带来Centos vsftpd宁静性设置

[复制链接]
再见西城 该用户已被删除
跳转到指定楼层
楼主
发表于 2015-1-14 20:30:09 | 只看该作者 回帖奖励 |倒序浏览 |阅读模式

马上注册,结交更多好友,享用更多功能,让你轻松玩转社区。

您需要 登录 才可以下载或查看,没有帐号?立即注册

x
如果您觉得本篇CentOSLinux教程讲得好,请记得点击右边漂浮的分享程序,把好文章分享给你的好朋友们!很多INTERNET喜好者开始打仗的器材就是FTP,它带来的文件同享的便当(能够跨平台会见等),可是明文传输的ftp的宁静性,成为一个很年夜的成绩。本文次要从基础宁静,tcp-wrapper,ftps,假造用户四个方面来聊聊ftp的宁静性。
1、基础宁静
a、限定匿名用户利用指定邮箱作为暗码:
#vim/etc/vsftpd/vsftpd.conf
deny_email_enable=YES
#(defaultfollows)
banned_email_file=/etc/vsftpd/banned_emails
#vim/etc/vsftpd/banned_emails
a@qq.com



b、限定当地用户登录后,切换目次
chroot_list_enable=YES
chroot_list_file=/etc/vsftpd/chroot_list
#vim/etc/vsftpd/chroot/_list编纂文件,将user1到场个中
user1



3.克制当地某些用户登录:
#vim/etc/vsftpd/vsftpd.conf
userlist_enable=YES(默许值)
将用户到场/etc/vsftpd/ftpusers或/etc/vsftpd/user_list文件中,user_list的宁静性更高些,



2、tcp-wrapper
a.先聊聊TCPWrapper是甚么:
一样平常在操纵体系层面上装置防火墙来处置收集毗连,但是固然防火墙有十分普遍的用处,但他却不是全能的,比方它没法处置相似的向毗连倡议者发送一些文本如许的义务。
TCPWrappers扩大了inetd为受其把持的办事步伐实行把持的才能,经由过程利用这类***,它可以供应日记撑持、前往动静给联进的毗连、使得办事步伐只承受外部毗连,等等。
但是,由TCP-Wrappers供应的一些分外的宁静功效,不该被视为好的防火墙的替换品,TCPWrappers应分离防火墙或其他宁静增强举措措施一并利用,为体系多供应一层宁静防护。
b.TCPWrapper体系概述



从上图能够看出tcpwrapper在体系中的层级布局和使用步伐的干系.
注重:Netfilter(iptable)是事情在收集层的而tcpwrapper是事情在使用层



从上图能够分明的看出/etc/hosts.allow和/etc/hosts.deny设置文件划定规矩干系
#yuminstallvsftpd
默许设置文件tcp_wrappers=YES,
要检察vsftp是不是撑持tcp_wrapper,
#ldd$(whichvsftpd)
linux-gate.so.1=>(0x009e8000)
libssl.so.6=>/lib/libssl.so.6(0x00b44000)
libwrap.so.0=>/lib/libwrap.so.0(0x00ce2000)
libnsl.so.1=>/lib/libnsl.so.1(0x00c98000)
libpam.so.0=>/lib/libpam.so.0(0x00110000)
libcap.so.1=>/lib/libcap.so.1(0x007c6000
........
是撑持tcp_wrapper的,
vim/etc/hosts.allow
vsftpd:192.168.2.0/255.255.255.0:allow(同意192.168.2.0网段的会见)
vim/etc/hosta.deny
vsftpd:all:deny(克制其他网段其用户会见)
[root@mail~]#ftp192.168.2.1
Connectedto192.168.2.1.
220(vsFTPd2.0.5)
530PleaseloginwithUSERandPASS.
530PleaseloginwithUSERandPASS.
KERBEROS_V4rejectedasanauthenticationtype
Name(192.168.2.1:root):
[root@mail~]#ftp127.0.0.1
Connectedto127.0.0.1.
421Servicenotavailable.
ftp>


3、ftps设置
ftp-server192.168.2.1
ftp-client192.168.2.100
CA办事器设置
#vim/etc/pki/tls/openssl.cnf
43[CA_default]
44
45dir=/etc//pki/CA#CA自界说路径
87[policy_match]
88countryName=optional
89stateOrProvinceName=optional
90organizationName=optional
依据设置文件创立相干的目次与文件,而且私钥为cakey.pem,根证书为cacer.pem
#cd/etc/pki/CA
#mkdircrlcertsnewcerts
#touchindex.txtserial
#echo"01">serial
#opensslgenrsa1024>private/cakey.pem
#chmod600private/*
opensslreq-new-keyprivate/cakey.pem-x509-outcacer.pem
ftp-server发生私钥,及证书:
mkdir-pv/etc/vsftpd/certs
opensslgenrsa1024>vsftpd.key
opensslreq-new-keyvsftpd.key-outvsftpd.csr
opensslca-invsftpd.csr-outvsftpd.cert
编纂vsftp的设置文件
#vim/etc/vsftpd/vsftpd.conf
force_local_data_ssl=YES#指定vsftpd强迫非匿名用户利用加密的数据传输
force_local_logins_ssl=YES#指定vsftpd强迫非匿名用户利用加密登录
ssl_enable=YES#指定vsftpd撑持加密协定
ssl_sslv2=YES#指定vsftpd撑持宁静套接字层v2
ssl_sslv3=YES#指定vsftpd撑持宁静套接字层v3
ssl_tlsv1=YES#指定vsftpd撑持tls加密体例v1
rsa_cert_file=/etc/vsftpd/certs/vsftpd.cert#指定ftp-server的证书路径
rsa_private_key_file=/etc/vsftpd/.sslkey/vsftpd.key#指定ftp-server的私路径
#servicevsftpdrestart#重启vsftp办事
是针对当地用户利用ftps,没法利用扫瞄器或下令行来完成会见了,必要利用尺度的客户端软件,如:Flashfxp




经由过程抓包,密文传输:

4、假造用户


经由过程当地数据文件完成假造用户会见,起首必要创建一个文件,将一切用户和暗码保留到该文件中,这类***次要合用于用户对照少及变更不频仍的情形下,
1)必要装置天生数据库的软件包db4-utils;yuminstalldb4-utils;
2)天生假造用户文件,在该文件顶用户及暗码各一行。本章中是创建/etc/vsftpd/ftpuser.txt
test1#假造用户1
123#假造用户1暗码
test2#假造用户2
456#假造用户2暗码
3)天生假造用户数据文件,处于宁静思索应修正天生的用户数据文件权限:
#db_load-T-thash-f/etc/vsftpd/ftpuser.txt/etc/vsftpd/ftpuser.db
#chmod600/etc/vsftpd/ftpuser.db
4)修正PAM认证文件/etc/pam.d/vsftpd,将原有内容正文并到场以下内容,经由过程以下两行的设置能够将认证用户及用户其他反省的事情的数据来历改动为当地数据文件(/etc/vsftpd/ftpuser.db)
必要利用模块/lib/security/pam_userdb.so
检察该模块的手册:
#vim/usr/share/doc/pam-0.99.6.2/txts/README.pam_userdb,用法以下图例子:



#vim/etc/pam.d/vsftpd
authrequired/lib/security/pam_userdb.sodb=/etc/vsftpd/ftpuser
accountrequired/lib/security/pam_userdb.sodb=/etc/vsftpd/ftpuser



5)利用以下下令创立当地映照用户:
#useradd-d-s/sbin/nologinredhat
6)修正/etc/vsftpd/vstpd.conf文件,内容以下:(检察man手册,man5vsftpd.conf)
#vim/etc/vsftpd/vsftpd.conf
guest_enable=YES#同意假造用户
guest_username=redhat#将假造用户映照为当地的reahat用户
pam_service_name=vsftpd#pam认证文件(默许就是vsftpd)
7)重启vsftpd,登录测试,

8)修正redhat家目次权限,#vim/etc/vsftpd/vsftpd.conf
chmodo+rredhat

#vim/etc/vsftpd/vsftpd.conf
anon_upload_enable=YES(开启匿名上传,)
anon_umask=073(并设定上传文件的权限值为704,同意其他用户能够下载)

#vim/etc/vsftpd/vsftpd.conf
anon_other_write_enable=yes(就能够重定名,删除等操纵了)

9)测试乐成,假造用户登录的均是ftp办事器上的统一个目次,即创建的当地映照用户vuser的家目次。
实行停止.



本文出自“刘园的博客”博客,请务必保存此出处http://liuyuan51.blog.51cto.com/5971950/1092639
如果您觉得本篇CentOSLinux教程讲得好,请记得点击右边漂浮的分享程序,把好文章分享给你的好朋友们!
活着的死人 该用户已被删除
沙发
发表于 2015-1-16 18:52:58 | 只看该作者

给大家带来Centos vsftpd宁静性设置

得到到草率的回答或者根本得不到任何Linux答案。越表现出在寻求帮助前为解决问题付出的努力,你越能得到实质性的帮助。
老尸 该用户已被删除
板凳
发表于 2015-1-21 12:20:12 | 只看该作者
通过一条缓慢的调制解调器线路,它也能操纵几千公里以外的远程系统。
飘飘悠悠 该用户已被删除
地板
发表于 2015-1-30 18:08:13 | 只看该作者
说实话小时候没想过搞IT,也计算机了解也只是一些皮毛,至于什么UNIX,Linux,听过没见过,就更别说用过了。?
只想知道 该用户已被删除
5#
发表于 2015-2-16 21:26:31 | 只看该作者
另外Linux上也有很多的应用软件,安装运行了这些软件后,你就可以在Linux上编辑文档、图?片,玩游戏、上网、播放多媒体文件等。
柔情似水 该用户已被删除
6#
发表于 2015-3-5 12:51:15 | 只看该作者
首先Linux是开源的,这也是最主要的原因,想学windows,Unix,对不起我们没源代码。也正是因为这样,Linux才能够像滚雪球一样越滚越大,发展到现在这种规模。
第二个灵魂 该用户已被删除
7#
发表于 2015-3-12 09:24:40 | 只看该作者
清楚了解网络的基础知识,特别是在Linux下应用知识,如接入internet等等。
愤怒的大鸟 该用户已被删除
8#
发表于 2015-3-19 21:40:59 | 只看该作者
把这个问题放在其他Linux社区请求帮助也是一种选择。如果Linux得不到答案,请不要以为我们觉得无法帮助你。有时只是看到你问题的人不知道答案罢了。这时换一个社区是不错的选择。
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

QQ|Archiver|手机版|仓酷云 鄂ICP备14007578号-2

GMT+8, 2024-12-23 10:08

Powered by Discuz! X3.2

© 2001-2013 Comsenz Inc.

快速回复 返回顶部 返回列表