【导语】“kjmfgrpo4”通过精心收集,向本站投稿了3篇RHEL 5.2下vsftp配置全教程,下面是小编整理后的RHEL 5.2下vsftp配置全教程,欢迎大家阅读分享借鉴,希望对大家有所帮助。
篇1:RHEL 5.2下vsftp配置全教程
FTP文件传送协议(File Transfer Protocol,简称FTP),是一个用于从一台主机到另送文件的协议,该协议的历史可追溯到1971年(当时因特网尚处于实验之中),不过至今仍然极为流行。
FTP在RFC 959中具体说明。HTTP和FTP都是文件传送协议,它们有许多共同的特征,比如都运行在TCP之上等。不过这两个应用层协议之间存在重要的差别。最重要的差别是FTP使用两个并行的TCP连接,一个是控制连接,一个是数据连接。控制连接用于在客户主机和服务器主机之间发送控制信息,例如用户名和口令、改变远程目录的命令、取来或放回文件的命令。数据连接用于真正发送文件。在整个会话期间,FTP服务器必须维护关于用户的状态。具体地说,服务器必须把控制连接与特定的用户关联起来,必须随用户在远程目录树中的游动跟踪其当前目录。为每个活跃的用户会话保持这些状态信息极大地限制了FTP能够同时维护的会话数。无状态的HTTP却不必维护任何用户状态信息。FTP服务可以工作在主动模式(active)和被动模式(passive)二种模式下:
主动模式(一般FTP服务器默认模式):FTP客户端开启一个随机选择的TCP端口连接FTP服务器的21端口请求建立连接。当完成Three-Way Handshake后,连接就成功建立,但这仅是控制连接的建立。当两端需要传送数据的时候,客户端通过命令通道用一个port command告诉服务器,客户端可以用另一个TCP端口做数据通道。然后服务器用20端口和刚才客户端所通知的TCP端口建立数据连接。注意:连接方向是从服务器到客户端的,TCP分组中会有一个SYN flag。 然后客户端会返回一个带ACK flag的确认分组,并完成另一次的Three-Way Handshake 过程。这时候,数据连接才能成功建立。开始数据传送。
被动模式:FTP客户端开启一个随机选择的TCP端口连接FTP服务器的21端口请求建立连接,完成控制连接的建立。当两端需要传送数据的时候,客户端 通过命令通道发送一个PASV command给服务器,要求进入被动传输模式。然后 服务器像上述的主动模式第 2 步骤那样,挑一个TCP端口,并用控制连接告诉 客户端。 然后客户端用另一个TCP端口连接刚才服务器告知的TCP端口来建立数据通道。此时分组中带有SYN flag,
服务器确认后回送一个ACK分组。并完成所有握手过程、成功建立数据通道,开始数据传送。
目前可以实现FTP服务的软件非常多,比如Windows平台下的IIS、Serv-U,Linux平台下的wuFTP、vsftp等。vsftp(Very Secure FTP)是一种在Unix/Linux中非常安全且快速稳定的FTP服务器,目前已经被许多大型站点所采用,vsftpd也是RHEL默认的ftp服务,本文主要讲述vsftp相关配置方法。
一、安装vsftp。
rpm -ivh vsftpd-2.0.5-12.el5.rpm
安装完成后,vsftpd配置文件为/etc/vsftpd/vsftpd.conf,通过以下命令可启动vsftpd并将其设置为自动启动。
service vsftpd restartchkconfig vsftpd on
二、第一个FTP站点。
vsftp在安装完成并启动后,即可使用。默认情况下可以使用匿名用户。
1:使用ftp命令连接到ftp服务器。
2:因为目前使用匿名用户连接到ftp服务器,所有输入匿名用户(一般ftp服务器匿名为anonymous,这里的ftp用户是在安装vsftp时自动创建的,该用户也是vsftp的匿名用户)。
在连接到vsftp后,其默认目录为该用户的家目录,而ftp用户的家目录位于/var/ftp,所有。下图是用系统其它用户连接ftp服务器(如果在RHEL中开启SELinux,需要运行以下命令set sebool -P ftp_home_dir=1)。
三、配置参数。
参数
说明
listen_address=ip address
指定侦听IP
listen_port=port_value
指定侦听端口,默认21
anonymous_enable=YES
是否允许使用匿名帐户
local_enable=YES
是否允许本地用户登录
nopriv_user=ftp
指定vsftpd服务的运行帐户,不指定时使用ftp
write_enable=YES
是否允许写入
anon_upload_enable=YES
篇2:linux下CentOS的系统安全配置详细教程linux操作系统
本文章来介绍了关于在CentOS的系统的安装之后的安全配置方法,我们参考了大量的资料希望对大家有帮助,
本文以CentOS 5.4为例进行说明,对于5.x版本应该都是适用的,其他版本的话主要是命令的路径不同,思路是一致的。
第一步、账户安全管理
1. 修改密码长度
代码如下复制代码#vi /etc/login.defsPASS_MIN_LEN 18
2. 创建一个普通用户账号并设置密码,这样所有的操作都使用该普通账号进行
代码如下复制代码#useradd ru#passwd ru
3. Linux默认提供了很多账号,账号越多,系统就越容易受到攻击,所以应该禁止所有默认的 作系统本身启动的并且不必要的账号。
可以使用 vi /etc/passwd 查看系统账号,使用 vi /etc/group 查看系统的用户组。
代码如下复制代码#userdel adm
#userdel lp
#userdel sync
#userdel shutdown
#userdel halt
#userdel news
#userdel uucp
#userdel operator
#userdel games
#userdel gopher
#userdel ftp
#groupdel adm
#groupdel lp
#groupdel news
#groupdel uucp
#groupdel games
#groupdel dip
#groupdel pppusers
4. 使用chattr命令将下面的文件加上不可更改属性,从而防止非授权用户获得权限。
代码如下复制代码#chattr +i /etc/passwd#chattr +i /etc/shadow
#chattr +i /etc/group
#chattr +i /etc/gshadow
这样操作之后也无法创建账号和修改密码,后面可以使用chattr -i命令恢复之后再进行操作。
5. 禁止Ctrl+Alt+Delete重启命令
修改 /etc/inittab 文件,将下面一行注释掉
代码如下复制代码ca::ctrlaltdel:/sbin/shutdown -t3 -r now然后重新设置 /etc/rc.d/init.d/ 目录下所有文件的许可权限,仅root账号可以读、写和执行其中的所有脚本文件:
代码如下复制代码#chmod -R 700 /etc/rc.d/init.d/*6. 限制su命令
限制只有特定用户组的用户才能使用su命令作为root权限,可以编辑 /etc/pam.d/su 文件,修改或增加下面的内容
代码如下复制代码# 这一行默认是有的auth sufficient pam_rootok.so
# 确认wheel用户组是存在的
auth required pam_wheel.so group=wheel
这样设置之后只有wheel用户组的用户可以使用su切换为root。如果系统用户ru能够su切换为root,可以运行如下命令:
代码如下复制代码#usermod -G10 ru这里注意,使用 su - 命令可以切换为root用户并将root的环境变量信息进行切换,而 su 命令仅仅是切换角色但还是原来用户的环境变量。
第二步、SSH安全配置
SSH作为系统登录的入口,其安全性好比城楼的城门,重要性不言而喻。
首先查看系统中是否安装了SSH:
#chkconfig --list |grep sshd
如果出现内容则说明安装了sshd服务,否则使用 yum install ssh 命令进行安装。
接下来先备份原来的配置文件
代码如下复制代码#cp /etc/ssh/sshd_config /etc/ssh/sshd_config.bak
然后修改 /etc/ssh/sshd_config 文件:
# 修改SSH的端口,默认为22
Port 5028
# 将#protocol 2,1改为
protocol 2
# 不允许root用户直接登录
PermitRootLogin no
# 不允许空密码登录
PermitEmptyPasswords no
# 不适用DNS
UseDns no
最后使用 service sshd restart 重启SSH服务
第三步、关闭系统中不需要的服务和端口
1. 系统中少开一个服务就少一个危险,以下仅列出需要启动的服务,未列出的服务一律关闭,如果没有下面的服务则直接忽略:
代码如下复制代码#setup
acpid
anacron
cpuspeed
crond
iptables
irqbalance \\仅当服务器CPU为S.M.P架构或支持双核心、HT技术时,才需开启,否则关闭。
microcode_ctl
network
random
sendmail
sshd
syslog
yum-updatesd
2. 使用iptables防火墙只打开指定的端口
首先创建如下的sh文件:
下载: closeports.sh#!/bin/bash
iptables -F INPUT
iptables -P INPUT DROP
代码如下复制代码# 打开80端口/sbin/iptables -A INPUT -p tcp --dport 80 -j ACCEPT
# 打开SSH端口,这一点很重要,否则无法使用SSH了,注意将5028修改为你的SSH端口
/sbin/iptables -A INPUT -p tcp --dport 5028 -j ACCEPT
然后保存为closeports.sh文件,使用下面的命令执行该文件:
代码如下复制代码#chmod +x closeports.sh#./closeports.sh
详细的iptables配置信息存放在 /etc/sysconfig/iptables 文件中,
第四步、防止攻击
1. 阻止ping
将 /proc/sys/net/ipv4/icmp_echo_ignore_all 文件的内容修改为1,不过这样的话如果服务器重启之后就会恢复为0了。
可以将下面的内容加入到 /etc/rc.d/rc.local 文件中:
代码如下复制代码echo 1 >/proc/sys/net/ipv4/icmp_echo_ignore_all2. 防止IP欺骗攻击
编辑 /etc/host.conf 文件,在下面增加如下几行:
代码如下复制代码#vi /etc/host.conforder bind,hosts
multi off
nospoof on
3. 防止DoS攻击
对系统所有的用户设置资源限制可以防止DoS类型攻击。如最大进程数和内存使用数量等。对 /etc/security/limits.conf 文件添加如下内容:
代码如下复制代码# 禁止调试文件* hard core 0
# 限制内存使用为5MB
* hard rss 5000
# 限制进程数为20
* hard nproc 20
接下来必须编辑 /etc/pam.d/login 文件确认下面一行是否存在,如果不存在的话添加上:
代码如下复制代码session required /lib/security/pam_limits.so对于DDos攻击可以使用DDoS deflate脚本,详细介绍见下面的参考资料。
第五步、系统配置及性能调优
1. 修改系统默认字符集
如果使用英文安装系统之后,如果系统中有中文会显示乱码,这个时候需要修改系统默认的字符集:
代码如下复制代码#vi /etc/sysconfig/i18nLANG=“zh_CN.UTF-8”
#source /etc/sysconfig/i18n
将系统的编码修改为zh_CN.UTF-8,后面一句命令是让修改立即生效。
2. 使用ntp服务更新服务器时间
首先检查系统中是否安装了ntp服务:
#chkconfig --list |grep ntp
如果没有安装的话使用yum进行安装并更新时间
代码如下复制代码#yum install ntp#ntpdate time.windows.com
也可以将更新命令加入到cron中进行自动更新时间:
代码如下复制代码#crontab -e* */12 * * * ntpdate time.windows.com
#service crond restart
以上操作是每隔12小时自动更新一次时间,可以通过 crontab -l 命令进行查看。
3. 加大服务器文件描述符
当系统服务开启后,访问量变大,会使用到更多的文件描述符。使用 ulimit –n 命令显示当前的文件描述符数(需要使用 su – 命令切换到root账号)。可以使用如下方法加大文件描述符数:
代码如下复制代码#vi /etc/security/limits.conf* - nofile 65536 #在文本的最后一行添加
重新登录之后,可以使用 ulimit –n 命令再次查看文件描述符会看的已经发生了变化。
4. 调整内核参数
代码如下复制代码#cp /etc/sysctl.conf /etc/sysctl.conf.bak#vi /etc/sysctl.conf
net.ipv4.tcp_fin_timeout = 2
net.ipv4.tcp_tw_reuse = 1
net.ipv4.tcp_tw_recycle = 1
net.ipv4.tcp_syncookies = 1
net.ipv4.tcp_keepalive_time = 600
net.ipv4.ip_local_port_range = 4000 65000
net.ipv4.tcp_max_syn_backlog = 16384
net.ipv4.tcp_max_tw_buckets = 36000
net.ipv4.route.gc_timeout = 100
net.ipv4.tcp_syn_retries = 1
net.ipv4.tcp_synack_retries = 1
net.ipv4.ip_conntrack_max = 25000000
net.ipv4.netfilter.ip_conntrack_max=25000000
net.ipv4.netfilter.ip_conntrack_tcp_timeout_established=180
net.ipv4.netfilter.ip_conntrack_tcp_timeout_time_wait=120
net.ipv4.netfilter.ip_conntrack_tcp_timeout_close_wait=60
net.ipv4.netfilter.ip_conntrack_tcp_timeout_fin_wait=120
最后,使用 sysctl –p 命令让上述设置立即生效。
篇3:WIN2003服务器安全配置终极技巧图(下)服务器教程
新建立一个站,采用默认向导,在设置中注意以下在应用程序设置里:执行权限为默认的纯脚本,应用程序池使用独立的名为:315safe的程序池,
名为315safe的应用程序池可以适当设置下“内存回收”:这里的最大虚拟内存为:1000M,最大使用的物理内存为256M,这样的设置几乎是没限制这个站点的性能的。
在应用程序池里有个“标识”选项,可以选择应用程序池的安全性帐户,默认才用网络服务这个帐户,大家就不要动它,能尽量以最低权限去运行大,隐患也就更小些。在一个站点的某些目录里,譬如这个“uploadfile”目录,不需要在里面运行asp程序或其他脚本的,就去掉这个目录的执行脚本程序权限,在“应用程序设置”的“执行权限”这里,默认的是“纯脚本”,我们改成“无”,这样就只能使用静态页面了。依次类推,大凡是不需要asp运行的目录,譬如数据库目录,图片目录等等里都可以这样做,这样主要是能避免在站点应用程序脚本出现bug的时候,譬如出现从前流行的upfile漏洞,而能够在一定程度上对漏洞有扼制的作用。
在默认情况下,我们一般给每个站点的web目录的权限为IIS用户的读取和写入,如图:
但是我们现在为了将SQL注入,上传漏洞全部都赶走,我们可以采取手动的方式进行细节性的策略设置,
给web根目录的IIS用户只给读权限。如图:
然后我们对响应的uploadfiles/或其他需要存在上传文件的目录额外给写的权限,并且在IIS里给这个目录无脚本运行权限,这样即使网站程序出现漏洞,入侵者也无法将asp木马写进目录里去,呵呵, 不过没这么简单就防止住了攻击,还有很多工作要完成。如果是MS-SQL数据库的,就这样也就OK了,但是Access的数据库的话,其数据库所在的目录,或数据库文件也得给写权限,然后数据库文件没必要改成。asp的。这样的后果大家也都知道了把,一旦你的数据库路径被暴露了,这个数据库就是一个大木马,够可怕的。其实完全还是规矩点只用mdb后缀,这个目录在IIS里不给执行脚本权限。然后在IIS里加设置一个映射规律,如图:
这里用任意一个dll文件来解析。mdb后缀名的映射,只要不用asp.dll来解析就可以了,这样别人即使获得了数据库路径也无法下载。这个方法可以说是防止数据库被下载的终极解决办法了。
责编:豆豆技术应用
★ Ubuntu环境下配置同步更新的SVN服务器linux服务器应用
★ 关于在 win 下安装 mysql 的一些问题!数据库教程
RHEL 5.2下vsftp配置全教程(共3篇)
