Cấu hình Security Settings Máy chủ vsftpd trên CentOS

Trong quá trình xây dựng các dịch vụ an ninh vsftp là rất quan trọng để xem nếu đăng nhập được hack, cho dù để tránh thời gian tới các hacker vết nứt, bây giờ tôi cảm thấy viết ftp quản lý an toàn, chúng tôi hy vọng sẽ giúp.

Chức năng đăng nhập 1. Bật vsftp được tắt theo mặc định

xferlog_enable = YES
xferlog_file = / var / log / xferlog

2. Đối với các quyền của người dùng vô danh người dùng vô danh để upload Với

anonymous_enable = YES – Cho phép người dùng vô danh
anon_upload_enable = YES – thành viên ẩn danh để upload
anon_mkdir_write_enable = YES – thành viên ẩn danh để tạo ra các thư mục
anon_other_write_enable = YES – thành viên ẩn danh để đổi tên và xóa
anon_umask = 070 – cho phép người dùng ẩn danh để upload file 707 (777-070 = 707)

3. quyền cho người dùng địa phương

local_enable = YES – cho dù để cho phép người dùng địa phương
write_enable = YES – người dùng địa phương có quyền ghi để xóa đổi tên
local_umask = 022 – người dùng địa phương để tải lên các tập tin cho phép 755 (777-022 = 755)

4. Xác định chủ sở hữu của các tập tin được tải lên

chown_uploads = YES – Cho phép upload thay đổi chủ sở hữu
chown_username = tong – tải lên một tập tin thuộc chủ tong

5. Không cho phép một người dùng địa phương để chuyển sang một thư mục khác nhau (người sử dụng để khóa thư mục gốc FTP)

chroot_local_user = YES – chiếm chức năng xác thực người dùng địa phương
chroot_list_file = / etc / vsftpd / chroot_list – viết các tập tin cho người sử dụng

6. Cho phép người dùng địa phương để chuyển đổi qua lại Danh mục

chroot_local_user = YES
chroot_list_enable = YES
chroot_list_file = / etc / vsftpd / chroot_list – Cho phép người dùng chuyển đổi các tập tin thư mục

7. ngăn cấm người dùng địa phương không thể đăng nhập dịch vụ ftp

[Root @ centos2 ~] # ll / etc / vsftpd /
tổng số 24
-rw-r – r– 1 gốc rễ 5 ngày 09 tháng một 22:30 chroot_list.
-rw ——- 1 root root 125 ngày 09 tháng một 22:50 ftpusers -. người dùng không thể đăng nhập để viết các tập tin, và sẽ nhắc nhở cho một mật khẩu
-rw ——- 1 root root 361 ngày 09 tháng một 22:53 user_list -. Người dùng viết một tập tin mà người dùng không thể đăng nhập, không cần nhắc cho một mật khẩu đơn giản là từ chối
-rw ——-. 1 root root 4649 12 tháng 1 18:00 vsftpd.conf
-rwxr -. r– gốc rễ 1 338 19 Tháng Hai 2013 vsftpd_conf_migrate.sh
[Root @ centos2 ~] #

8. dịch vụ ftp địa phương là gì cho phép người dùng đăng nhập

[Root @ centos2 ~] # vim /etc/vsftpd/vsftpd.conf
userlist_deny = NO – thêm dòng này
[Root @ centos2 ~] # ll / etc / vsftpd /
tổng số 24
-rw-r – r– 1 gốc rễ 5 ngày 09 tháng một 22:30 chroot_list.
-rw ——-. gốc 1 gốc 125 09 tháng 1 22:50 ftpusers
-rw ——- 1 root root 361 ngày 09 tháng một 22:53 user_list -. chỉ cho phép các tài liệu mà người dùng có thể đăng nhập dịch vụ ftp
-rw ——-. 1 root root 4666 12 tháng 1 18:13 vsftpd.conf
-rwxr -. r– gốc rễ 1 338 19 Tháng Hai 2013 vsftpd_conf_migrate.sh
[Root @ centos2 ~] #

9. IP không cấm các dịch vụ ftp hạ cánh

[Root @ centos2 ~] # vim /etc/hosts.deny – Bán IP có thể không ftp
vftpd: 119.97.184.208: phủ nhận

10. Mở lọc gói tường lửa

[Root @ centos ~] # iptables -I INPUT -p tcp –dport 21 -j ACCEPT

11. Sử dụng SELinux khoản thư mục ftp kiểm soát bối cảnh an ninh

[Root @ centos ~] # getsebool -a | grep ftp
allow_ftpd_anon_write -> tắt
allow_ftpd_full_access -> tắt
allow_ftpd_use_cifs -> tắt
allow_ftpd_use_nfs -> tắt
allow_tftp_anon_write -> tắt
ftp_home_dir -> tắt
ftpd_connect_db -> tắt
ftpd_disable_trans -> tắt
ftpd_is_daemon -> trên
httpd_enable_ftp_server -> tắt
tftpd_disable_trans -> tắt
[Root @ centos ~] # setsebool ftp_home_dir trên – do hoàn cảnh riêng của họ thiết lập các thông số cụ thể