linuxvsftp安全配置简介.doc

/ Linux vsftp安全配置 FTP服务器面临的安全隐患 FTP服务器面临的安全隐患主要包括：缓冲区溢出攻击、数据嗅探、匿名访问缺陷和访问漏洞。 VSFtp一些安全配置： ??? 1.?修改Vsftpd \o 服务器 服务器的默认端口和修改其他设置??? 基于 \o 安全 安全考虑，将预设的21端口改为2123。修改配置文件 /etc/vsftpd/vsftpd.conf，??? 在文件最后增加如下一行内容：??? listen_port=2123ftp_data_port=2020??? 在实际应用中，为了增加安全性，会将FTP \o 服务器 服务器置于防火墙之后。修改Vsftpd服务器的默认端口后要及时修改防火墙的端口设定。现在服务器FTP端口为2123，数据传输端口为2020。 #iptables -A INPUT -p tcp -m multiport --dport 2123,2020 -j ACCEPT #iptables -A INPUT -p tcp -j REJECT --reject-with tcp-reset修改其他设置ls_recurse_enable=NO? #关闭“ls -R命令，该命令常被用于DoS攻击，非常浪费系统资源# ascii_download_enable=NO? #关闭ASCII模式下载，防止被用于DoS攻击，ASCII下载很消耗 \o CPU CPU负担 ??? 2.使用BlockHosts \o 软件 软件防范暴力破解??? BlockHosts软件就是利用通过分析日志文件帮助tcp_wrappers实现工作自动化。例如在30秒钟内一个IP地址（3）连续30次登录sshd服务器而且全部因为密码错误登录失败。那么这个IP地址无疑是非法或者恶意主机。这时BlockHosts会自动将该IP地址写入/etc/hosts.deny文件。首先编辑你的/etc/syslog.conf文件，一般修改? security.* /var/log/security条目内容如下：security.*;??????????????? /var/log/security? 原因很简单，这样syslogd就把连接到sshd的日志信息记录下来。 BlockHosts官方网站： /cms/blockhosts/ ， 最新版本：1.0.3。下载启动BlockHosts步骤，另外需要Python语言和SSH软件的支持。可以使用下面命令检测。#rpm －qa|grep Python；rpm －qa|grep ssh#wget /tools/blockhosts/BlockHosts-1.0.3.tar.gz #tar –zxvf BlockHosts-1.0.0.tar.gz “建立一个目录”python setup.pyBlockHosts是基于命令行模式的，使用非常简单这里就不赘述了。???? 3.使用xinetd方式运行??? Vsftpd能以Stand-alone、xinetd两种模式运行，当用户账号比较少又经常需要连接到Vsftpd服务器时推荐使用xinetd模式运行。使用xinetd方式运行可以有效防范DoS攻击。从传统的守护进程的概念可以看出，对于系统所要通过的每一种服务，都必须运行一个监听某个端口连接所发生的守护进程，这通常意味着资源浪费。为了解决这个问题，一些Linux引进了“ \o 网络 网络守护进程服务程序”的概念。Redhat Linux 8.0以后的版本使用的网络守护进程是xinted（eXtended InterNET daemon）。和stand－alone模式相比xinted模式也称 Internet Super－Server（超级服务器）。xinetd能够同时监听多个指定的端口，在接受用户请求时，他能够根据用户请求的端口不同，启动不同的网络服务进程来处理这些用户请求。可以把xinetd看做一个管理启动服务的管理服务器，它决定把一个客户请求交给那个程序处理，然后启动相应的守护进程。xinetd模式工作原理见图7。? 图7 xinetd模式网络服务 ??? 和stand－alone工作模式相比，系统不想要每一个网络服务进程都监听其服务端口。运行单个xinetd就可以同时监听所有服务端口，这样就降低了系统开销，保护系统资源。但是对于访问量大、经常出现并发访问时，xinetd想要频繁启动对应的网络服务进程，反而会导致系统性能下降。察看系统为Linux服务提供那种模式方法在Linux命令行可以使用pstree命令可以看到两种不同方式启动的网络服务。xinetd提供类似于inetd+tcp_wrapper