- 浏览: 106606 次
- 性别:
- 来自: 陕西
最新评论
-
yhbanywn:
非常感谢您的解答!!!解决了困扰我多日的难题。
Binary XML file line #2: Error inflating class -
jianghaijun:
...
Binary XML file line #2: Error inflating class -
天馒:
<ListView android:id= ...
android特效展示一:ListView -
newfido:
Android生成缩略图 -
chy116449859:
太感谢LZ了,哎 这个BUG困扰了我2天,终于解决了! 虽 ...
android中加载图片时出现oom
接上篇
3. 关于TCP Wrappers
TCP Wrappers的作用,就是通过分析TCP网络数据包,根据其包头的IP地址和端口号,决定是否让这个数据进入到主机之中,因此我们也可以把它当成一个最内层的防火墙。数据包要进入ftp服务器,首先经过netfilter的过滤,通过TCP Wrappers筛选,守护进程(xinetd模式)限制,最后才能交由vsftpd进程来处理。
我们可以设置TCP Wrappers来限制某些主机能或者不能访问ftp服务器,这需要编辑两个文件:
/etc/hosts.allow
/etc/hosts.deny
当数据包通过TCP Wrappers筛选时,/etc/hosts.allow文件会首先读取,然后再读取/etc/hosts.deny文件,就是说/etc/hosts.allow优先级要高一些。这两个文件设置规则如下:
<service_name>:<IP, domain,hostname,network>:<allow|deny>
<service_name>字段是服务名,也就是/etc/rc.d/init.d/目录下存在的文件名;第二个字段是可以是IP、域名、一台主机或者一个网段;第三个字段表示允许通过或者禁止。具体看下面的例子:
vsftpd:192.168.0.111:allow //允许主机192.168.0.111访问vsftpd服务器
httpd:10.100.1.0/255.255.255.0:deny //禁止10.100.1.0/24这个子网访问www服务
最后一个字段的:allow或:deny可以省略,写在/etc/hosts.allow文件里默认就是allow, /etc/hosts.deny文件里默认是deny。其实我们可以把所有语句都写在hosts.allow文件中,但建议大家把allow和deny的语句分别写到两个文件之中。
TCP Wrappers默认规则是允许所有数据包通过,所以大家在填写允许条目之后,一定还要加一条deny语句来拒绝其它的包。比如:
# vi /etc/hosts.allow
vsftpd:192.168.1.0/255.255.255.0 //允许192.168.1.0/24网段可以访问ftp
# vi /etc/hosts.deny
vsftpd:ALL //拒绝其它所有主机访问ftp
如果vsftpd工作在守护进程模式下,不但可以受到TCP Wrappers的筛选,还可以设置守护进程配置文件来进行同样的过滤,这使用下面两条语句:
only_from = <IP, host, domain, network> //限制可以访问的IP、主机、网络
no_access = <IP, host, domain, network> //限制不能访问的IP、主机、网络
下面我们将only_from语句加入/etc/xinetd.d/vsftpd文件中,实现只有子网192.168.0.128/25才可以登录ftp服务器:
service ftp
{
disable = no
socket_type = stream
wait = no
user = root
server = /usr/local/sbin/vsftpd
server_args = /etc/vsftpd/vsftpd.conf
nice = 10
only_from = 192.168.0.128/25
}
如果vsftpd工作在standalone模式下,必须在编译vsftpd之前修改头文件builddefs.h以支持TCP Wrappers,详情请参加软件安装小节。另外还需要在vsftpd主配置文件中加入tcp_wrappers=yes参数。
4. 结合MySql数据库
将vsftpd与MySql相结合,我们可以把用户和日志信息放到数据库里面去,如果再结合php来管理数据库,则可以使vsftpd管理更加方便。下面我们就来讨论一下基于MySql的虚拟户和日志功能。
使用MySql来实现虚拟用户
前面我们介绍了两类用户,关于匿名用户的语句比较多,权限限制比较灵活;而本地用户的特点是每个用户对应一个密码和主文件夹,登录控制比较灵活。可不可以将两者的优点结合一下呢?答案是肯定的,这就是虚拟用户。关于虚拟用户的启用,需要使用以下两条语句:
guest_enable=yes/no
guest_username=user_name
上述guest_enable表示是否开启虚拟用户功能,guest_username表示虚拟用户登录后映射的本地用户名。如果开启虚拟用户功能,本地用户登录后将映射到guest_username参数指定的用户,主目录也变成该用户的主目录。
我们修改vsftpd主配置文件,变为下面的样子:
listen=yes
anonymous_enable=yes
local_enable=yes
pam_service_name=vsftpd
write_enable=yes
dirlist_enable=yes
download_enable=yes
anon_upload_enable=yes
anon_mkdir_write_enable=yes
anon_other_write_enable=no
anon_umask=073
guest_enable=yes
guest_username=virftp
再新建一个用户virftp改变一下其主目录的权限:
# useradd -d /var/virftp -s /sbin/nologin virftp
# chmod 704 /var/virftp
这时再以/etc/passwd中的用户登录ftp,通过查看内容,会发现主目录已经切换到/var/virftp/,可以下载和上传文件,但不能改名和删除。这就是说,限制匿名用户的参数也同样适用于本地用户。
如果想让虚拟用户像本地用户那样拥有每个用户独立的主目录、独立的配置文件和权限,又该怎么办呢?还记得user_config_dir参数吧!在每个用户独立的配置文件里设定不同的权限和local_root参数就可以了。
再来看看这个参数:
virtual_use_local_privs=yes/no
从刚才的实验可以看到,虚拟用户登录后,受到匿名用户参数的限制。我们可以通将此参数的值改为yes,则虚拟用户会变得和本地用户一样,拥有和本地用户一样的特权。由于我们平常都是看中了匿名用户限制参数比较细致这个特点才启用虚拟用户的,所以此参数默认值为no!
下面我们结合MySql,把用户登录信息放到数据库里面去。首先我们需要安装MySql。
到http://dev.mysql.com/downloads/mysql/5.1.html下载MySql,为了简单起见,我们下载在linux下已经编译好的版本。我下载的版本是mysql-5.1.18-beta-linux-i686-glibc23.tar.gz,然后照下面的步骤来安装MySql。
# groupadd mysql
# useradd -g mysql mysql
如果系统中已经有了mysql用户,就可以省掉这步操作。
# cd /usr/local
# tar zxvf mysql-5.1.18-beta-linux-i686-glibc23.tar.gz
# ln -s mysql-5.1.18-beta-linux-i686-glibc23 mysql
如果原来系统中已经安装旧版mysql,最好将它卸载,除非你有足够的把握很好地面对系统中的两个mysql;通常习惯将mysql安装在/usr/local/mysql中,但为了将来版本升级的需要,建议使用链接方式使用mysql。
# cd mysql
# chown -R mysql:mysql .
# scripts/mysql_install_db --user=mysql
初始化mysql数据库,这步之前必须保证mysql用户有权限访问mysql目录。
# chown -R root .
# chown -R mysql data
最好做这两步,至少官方文档是这么建议的。
MySql的命令和man文档并不在PATH和MANPATH中,所以我们要手动加入。打开vi /etc/profile文件,找到export PATH ...那一行,大约在40行左右,在它的前面加上一行:
PATH=”$PATH”:/usr/local/mysql/bin
打开/etc/man.config(有的版本为/etc/man.conf),在它的任何地方加入一行:
MANPATH /usr/local/mysql/man
到这时mysql就已经安装好了,通过这个命令启动mysql:
/usr/local/mysql/bin/mysqld_safe --user=mysql &
为了让mysql支持开机启动,执行下面的命令:
# cp support-files/mysql.server /etc/rc.d/init.d/mysqld
# chkconfig –add mysqld
这样就可以让mysql以服务的方式开机启动,且还可以使用如下命令管理mysql服务:
# service mysqld {start|stop|restart|reload|force-reload|status}
启动mysql服务,检测下是否正常运行:
# netstat -l|grep mysql
tcp 0 0 *:mysql *:* LISTEN
unix 2 [ ACC ] STREAM LISTENING 25534 /tmp/mysql.sock
看到了吧,mysql已经在监听了,但它的socket file在/tmp/下,郁闷!
默认情况下,mysql没有密码,任何人都可以登入。为了加强安全性,我们给mysql加上root帐号密码:
# mysqladmin -u root password 'your_P@ssw0rd'
这样以后登录就需要密码了:
# mysql -u root -p
Enter password:
Welcome to the MySQL monitor. Commands end with ; or \g.
Your MySQL connection id is 5
Server version: 5.1.18-beta MySQL Community Server (GPL)
Type 'help;' or '\h' for help. Type '\c' to clear the buffer.
mysql>
建立数据库ftpdb:
mysql> create database ftpdb;
在数据库ftpdb中建立一个表ftpuser,表中有username和password字段:
mysql> use ftpdb;
Database changed
mysql> create table ftpuser(username char(20) not null, password char(64) not null);
Query OK, 0 rows affected (0.15 sec)
这里要注意密码字段的长度,不同的算法生成的密文长度是不一样的,建议不要少于50位,否则可能导致密文在存储时被截短。
我们插入两条记录作为两个ftp的登录名和密码,使用mysql自带的password函数来加密密码:
mysql> insert into ftpuser values('test1',password('abc'));
Query OK, 1 row affected, 1 warning (0.08 sec)
mysql> insert into ftpuser values('test2',password('123'));
Query OK, 1 row affected, 1 warning (0.00 sec)
mysql> select * from ftpuser;
+----------+-------------------------------------------+
| username | password |
+----------+-------------------------------------------+
| test1 | *0D3CED9BEC10A777AEC23CCC353A8C08A633045E |
| test2 | *23AE809DDACAF96AF0FD78ED04B6A265E05AA257 |
+----------+-------------------------------------------+
2 rows in set (0.00 sec)
然后我们再建立一个可以让ftp服务登陆数据库的用户:
mysql> grant select on ftpdb.ftpuser to ftpdb_query@localhost identified by 'P@ssw0rd';
这个用户只能浏览 ftpdb 数据库下的 ftpuser 表中内容,我们如果想以后分配一个可以完全管理 ftpdb 数据库的用户,再这样:
mysql> grant all on ftpdb.* to ftpdb_all@localhost identified by 'P@ssw0rd';
到这里MySql的设置就算完了,接下来安装 PAM 基于 mysql 数据库的认证插件,我们可以到http: //sourceforge.net/projects/pam-mysql/下载得到。我下载的文件是pam_mysql-0.7RC1.tar.gz。
# tar zxvf pam_mysql-0.7RC1.tar.gz
# cd pam_mysql-0.7RC1
# ./configure –with-mysql=/usr/local/mysql
# make
# make install
这里要注意两点,一是我们的mysql是手动安装在/usr/local/mysql下的,因此./configure命令需要指定mysql安装目录;二是安装好之后,pam_mysql.so被安装到了/usr/lib/security. 如果make过程出现错误,不要理会,只要产生pam_mysql.so文件即可,我们可以直接将此文件考入/lib/security/目录。
然后来编写PAM认证文件:
# vi /etc/pam.d/ftpdb
auth required /usr/lib/security/pam_mysql.so user=ftpdb_query passwd=P@ssw0rd host=localhost db=ftpdb table=ftpuser usercolumn=username passwdcolumn=password crypt=2
account required /usr/lib/security/pam_mysql.so user=ftpdb_query passwd=P@ssw0rd host=localhost db=ftpdb table=ftpuser usercolumn=username passwdcolumn=password crypt=2
注意,整个这个文件中只有auth和account两行内容,中途不要加回车换行;文件中不要再有包含其它pam模块的行;如果pam_mysql.so文件没有在/lib/security目录,就需要指定文件路径。文件中其它字段的意思是:
user 访问数据库用户名
passwd 访问数据库用户密码
host 数据库主机
db 数据库名
table 表名
usercolumn 用户列名
passwdcolumn 密码列名
crypt 密码验证机制;0 代表明文,1 代表DES 加密,2 代表Mysql的password()函数加密,3代表md5算法,4代表sha加密。
现在我们修改vsftpd主配置文件/etc/vsftpd/vsftpd.conf,把pam_service_name的值改为ftpdb,也就是我们刚才建立的那个PAM认证文件的名字。再登录服务器测试,可以发现/etc/passwd中的用户已经无法登录到服务器了,而数据库中存储的用户名是可以登录的。我们还可以按前面所述的方法为每个虚拟用户建立独立的配置文件,指定独立的主目录;还可以结合apache服务建立php页面,然后实现让用户在web界面注册帐号、修改密码,这要比原来的认证方式灵活得多。
在MySql中记录日志
接下来我们看一下如何利用刚才的PAM 模块来结合mysql 数据库记录vsftpd 服务的日志。在介绍之前,我们来看看vsftp中关于日志记录的参数。
xferlog_enable=yes/no //是否启用 xferlog 日志格式
xferlog_std_format=yes/no //是否采用标准格式记录日志
xferlog_file=/path/to/logfile //xferlog 日志文件所在位置,默认为/var/log/xferlog
上面的参数设置记录xferlog日志的格式。这是早期Wu-ftpd服务的日志格式,它会记录上传和下载的动作。vsftpd也有专有的日志格式,用下列参数设置:
dual_log_enable=yes/no //是否采用Vsftpd自己的日志记录方式
log_ftp_protocol=yes/no //是否记录所有的ftp命令日志
vsftpd_log_file=/path/to/logfile //指定vsftpd 日志文件位置,默认为/var/log/vsftpd.log
xferlog_enable的默认值为no(vsftpd提供的配置文件模版将其值改为了yes),dual_log_enable的默认值也为no,就是说默认情况下vsftpd是不记录日志的。我们也可以将日志信息写入系统日志/var/log/messages中,使用如下参数:
syslog_enable=yes/no
还是建议大家把日志记录为单独的文件,以便浏览和管理。实验比较简单,我们就不做了。
对于使用文件来记录日志的方式来说,我们必须登录到服务器之后,才能查看日志。这样做不方便,不灵活。我们可以把日志放到数据库中,结合www服务建立一个浏览日志的页面,这样就非常舒服的看到web方式的日志了。下面来看看如何将日志写入数据库中去。
首先必须使用虚拟用户所在的同一个数据库,新建立存储日志的表:
mysql> create table ftplog
-> (log char(100),
-> user char(20),
-> host char(20),
-> time datetime,
-> pid int);
修改 PAM 配置文件,在原来的基础上我们改动一下:
# vi /etc/pam.d/ftpdb
auth required /usr/lib/security/pam_mysql.so user=ftpdb_all passwd=P@ssw0rd host=localhost db=ftpdb table=ftpuser usercolumn=username passwdcolumn=password crypt=2 sqllog=yes logtable=ftplog logmsgcolumn=log logusercolumn=user loghostcolumn=host logtimecolumn=time logpidcolumn=pid
account required /usr/lib/security/pam_mysql.so user=ftpdb_all passwd=P@ssw0rd host=localhost db=ftpdb table=ftpuser usercolumn=username passwdcolumn=password crypt=2 sqllog=yes logtable=ftplog logmsgcolumn=log logusercolumn=user loghostcolumn=host logtimecolumn=time logpidcolumn=pid
注意在这个文件中依然就是原来的两行,其中加入的内容分别对应如下:
sqllog 表示是否将日志记录到数据库中
logtable 记录日志的表名
logmsgcolumn 记录日志信息的列
logusercolumn 登录用户
loghostcolumn 登录主机
logtimecolumn 登录时间
logpidcolumn 处理该用户连接的进程pid
这次我换了一个登陆数据库用户,使用先前建立的有完全权限的用户ftpdb_all,这个用户才有在数据库中使用insert命令的权限。
5. 结合OpenSSL 实现加密数据传输
FTP一个声名狼藉的问题是它以明文方式发送用户名和口令。任何人只要在网络中合适的位置进行抓包分析就可以看到用户名和口令;FTP发送的数据也是以明文方式传输,通过对ftp连接的监控和数据收集就可以重现ftp的数据传输。很多用户为了方便把相同的用户名和口令用在不同的应用中,如果黑客收集到FTP口令,他们也可能就得到了你在线帐号或者其他一些机密数据的口令。
下面我们使用linux自带的抓包工具tcpdump抓包分析,来截取ftp登录用户口令:
# tcpdump -i eth0 -A
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on eth0, link-type EN10MB (Ethernet), capture size 96 bytes
17:44:35.520880 IP 192.168.0.101.vytalvaultpipe > 192.168.0.105.ftp: S 3417937804:3417937804(0) win 65535 <mss 1460,nop,nop,sackOK>
E..0..@........e...i ...........p...............
17:44:45.681026 IP 192.168.0.105.ftp > 192.168.0.101.vytalvaultpipe: S 2518028758:2518028758(0) ack 3417937805 win 5840 <mss 1460,nop,nop,sackOK>
E..0..@[email].@......i...e[/email].. .........p...............
17:44:35.520954 IP 192.168.0.101.vytalvaultpipe > 192.168.0.105.ftp: . ack 1 win 65535
E..([email]..@........e...i[/email] ...........P....x........
建立TCP连接的三次握手,接下来登录之前信息,省约……
17:44:36.513224 IP 192.168.0.101.vytalvaultpipe > 192.168.0.105.ftp: P 32:44(12) ack 97 win 513 <nop,nop,timestamp 13091355 13088964>
E..4..@........e...i ...........P...v...USER test1
用户名:test1
17:44:39.942107 IP 192.168.0.105.ftp > 192.168.0.101.vytalvaultpipe: . ack 13 win 5840
E..(.|@[email].@..5...i...e[/email].. .........P.......
17:44:39.942277 IP 192.168.0.105.ftp > 192.168.0.101.vytalvaultpipe: P 21:55(34) ack 13 win 5840
E..J.}@[email].@......i...e[/email].. .........P....[..331 Please specify the password.
17:44:40.094629 IP 192.168.0.101.vytalvaultpipe > 192.168.0.105.ftp: . ack 55 win 65481
P....l.........e...i ..........
17:44:40.525157 IP 192.168.0.105.32832 > 192.168.0.1.domain: 31226+ PTR? 105.0.168.192.in-addr.arpa. (44)
E..H..@.@..;[email]...i.....@.5.4..y............105.0.168.192.in-addr.arpa[/email].....
17:44:41.714630 IP 192.168.0.101.vytalvaultpipe > 192.168.0.105.ftp: P 13:23(10) ack 55 win 65481
P.......PASS abc...i ..........
密码:abc
17:44:41.742271 IP 192.168.0.105.ftp > 192.168.0.101.vytalvaultpipe: P 55:78(23) ack 23 win 5840
....P....P..230 Login successful.
登录成功!
怎么样!弄到密码很简单吧!服务器配置的再优秀,数据是明文传输的,所以还是会让别有用心之人有机可乘。
SSL(Secure Socket Layer)工作于传输层和应用程序之间。作为一个中间层,应用程序只要采用SSL提供的一套SSL套接字API来替换标准的Socket套接字,就可以把程序转换为SSL化的安全网络程序,在传输过程中将由SSL协议实现数据机密性和完整性的保证。SSL取得大规模成功后,IETF将SSL作了标准化,并将其称为TLS(Transport Layer Security)。Ftp结合SSL,将实现传输数据的加密,保证数据不被别人窃取。
要让vsftpd支持SSL,必须在安装之前修改头文件builddefs.h,将#undef VSF_BUILD_SSL行改为#define VSF_BUILD_SSL,在安装小节已经讲过。这里我们用OpenSSL结合vsftpd来实现数据加密传输。首先查看自己的系统有没有安装OpenSSL,如果没有安装,到http://www.openssl.org/source/下载安装,安装过程很简单,就不贴出来了。
下面我们为 vsftpd 生成证书:
# cd /etc/vsftpd/
# openssl req -new -x509 -nodes -out vsftpd.pem -keyout vsftpd.pem
Generating a 1024 bit RSA private key
.........................++++++
.............++++++
writing new private key to 'vsftpd.pem'
-----
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) [GB]:cn
State or Province Name (full name) [Berkshire]:ShiChuan
Locality Name (eg, city) [Newbury]:ChenDu
Organization Name (eg, company) [My Company Ltd]:linuxer
Organizational Unit Name (eg, section) []:linuxer
Common Name (eg, your name or your server's hostname) []:www.linuxer.cn
Email Address []:icecard@hotmail.com
填写这些信息后,就产生了/etc/vsftpd/vsftpd.pem证书文件,接下来我们在配置文件中加入下面两行:
ssl_enable=yes
rsa_cert_file=/etc/vsftpd/vsftpd.pem
现在我们登录服务器测试:
# ftp 127.0.0.1
Connected to 127.0.0.1.
220 (vsFTPd 2.0.5)
504 Unknown AUTH type.
504 Unknown AUTH type.
KERBEROS_V4 rejected as an authentication type
Name (127.0.0.1:root): test1
530 Non-anonymous sessions must use encryption.
Login failed.
已经不能登录了,可能是这个ftp客户端不支持ssl的原因吧!在windows下支持ssl的ftp客户端很多(IE是不支持的),比如FlashFXP,使用比较简单,相信大家都会使用。我们这里介绍Linux下使用lftp来登录服务器。很多Linux发行版中都已经包含了lftp软件包,如果你的Linux中没有lftp,到http://lftp.yar.ru/get.html下载原码包来安装。
# lftp 127.0.0.1
lftp 127.0.0.1:~> user test1
口令:
lftp test1@127.0.0.1:~> ls
-rw-r--r-- 1 0 0 5 May 17 21:35 virftp.file
drwxrwxrwx 2 500 500 4096 May 17 21:47 woo
同时我们打开tcpdump抓包测试:
# tcpdump -i lo -A
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on lo, link-type EN10MB (Ethernet), capture size 96 bytes
省约部分信息……
23:32:15.237079 IP localhost.localdomain.ftp > localhost.localdomain.46605: P 36:47(11) ack 7 win 512 <nop,nop,timestamp 11554103 11554101>
..yI...U.....3.........
..M7..M5 AUTH SSL
启用了SSL
23:32:15.272496 IP localhost.localdomain.46605 > localhost.localdomain.ftp: . ack 47 win 513 <nop,nop,timestamp 11554112 11554102>
.....U..yT....9......
..M@..M6
23:32:15.272570 IP localhost.localdomain.ftp > localhost.localdomain.46605: P 47:137(90) ack 7 win 512 <nop,nop,timestamp 11554112 11554112>
..yT...U...............
..M@..M@ AUTH TLS
EPRT
EPSV
MDTM
23:32:15.272605 IP localhost.localdomain.46605 > localhost.localdomain.ftp: . ack 137 win 513 <nop,nop,timestamp 11554112 11554112>
.....U..y.....9i.....
..M@..M@
23:32:15.273156 IP localhost.localdomain.46605 > localhost.localdomain.ftp: P 7:17(10) ack 137 win 513 <nop,nop,timestamp 11554112 11554112>
.....U..y......2.....
..M@..M@AUTH TLS
使用 TLS 认证方式,这是 Vsftpd 默认的安全认证方式。
我们看到使用tcpdump抓到的包已经使用 TLS 加密了,数据也是加密的,再也不怕第三方窃取了。
上面的例子只使用了两条配置语句,vsftp还提供了下面的语句来设置ssl:
ssl_enable=yes/no //是否启用 SSL,默认为no
allow_anon_ssl=yes/no //是否允许匿名用户使用SSL,默认为no
rsa_cert_file=/path/to/file //rsa证书的位置
dsa_cert_file=/path/to/file //dsa证书的位置
force_local_logins_ssl=yes/no //非匿名用户登陆时是否加密,默认为yes
force_local_data_ssl=yes/no //非匿名用户传输数据时是否加密,默认为yes
force_anon_logins_ssl=yes/no //匿名用户登录时是否加密,默认为no
force_anon_data_ssl=yes/no //匿名用户数据传输时是否加密,默认为no
ssl_sslv2=yes/no //是否激活sslv2加密,默认no
ssl_sslv3=yes/no //是否激活sslv3加密,默认no
ssl_tlsv1=yes/no //是否激活tls v1加密,默认yes
ssl_ciphers=加密方法 //默认是DES-CBC3-SHA
大家自行加入其它语句来满足自己的需要,如有疑问参考http://vsftpd.beasts.org/、man vsftpd.conf,多多阅读软件源码包中的README文件。
六、FTP展望
FTP是在70年代设计出来的,当时的互联网是一个封闭的网络,与现代网络环境还是有很大的差异,现代网络中不管你使用Port模式还是Passive模式,都可能产生问题。很多人对FTP协议安全性进行不懈的努力,使用SSL/TLS进行ftp传输过程的验证和加密,基本解决明文传数据的问题。但还是存在不少缺陷,于是出现了一些FTP替代应用,如SCP、SFTP;如果你使用ftp更新你的网页,还可以考虑WebDAV。
在FTP服务器软件中,vsftpd可以说是最安全的ftp软件,短小精悍,且高性能,是ftp服务器软件中的佼佼者。经过上面的学习,对于搭建安全高效的FTP服务器,再也不会困惑了。
(全文完)
原文出处:http://blog.chinaunix.net/space.php?uid=8739112&do=blog&id=2015404
发表评论
-
配置vsftpd服务 (中)
2011-08-11 10:18 1627(接上篇)4. IP监听与连接控制 vsftpd工作在 ... -
配置vsftpd服务 (上)
2011-08-11 10:16 2470一、vsftpd 简介 Vsftpd是一个基于GPL ... -
Redhat上的Vsftpd虚拟用户设置
2011-08-09 16:31 2887http://blog.chinaunix.net/s ... -
Ubuntu中常用命令
2011-08-04 13:15 916感觉很有用,可以学习一下 NO 分类 PS1 ... -
Ubuntu上的Vsftpd虚拟用户设置
2011-08-03 10:47 1238文章来源: http://wiki.u ... -
linux共享目录的方法
2011-07-27 17:48 846Linux系统的文件或目录的共享功能是非常强大,而且是非常灵活 ...
相关推荐
CentOS 7.9 安装配置 vsftpd 在本文中,我们将详细介绍如何在 CentOS 7.9 上安装和配置 vsftpd,以实现匿名用户的上传和下载操作。 一、关闭防火墙 在配置 vsftpd 之前,需要关闭防火墙,以免防火墙的限制导致-...
可以使用命令配置vsFTPd服务,例如设置FTP服务的监听端口、匿名用户的权限等。同时,也可以使用vsFTPd提供的配置文件来进行配置,例如设置FTP服务的启动参数等。 vsFTPd服务的配置文件是/etc/vsftpd/vsftpd.conf,...
在配置VSFTPD服务之前,通常需要确保系统已经准备好了必要的软件仓库。例如,在RHEL或CentOS系统中,可以通过Yum管理器来安装和管理软件。首先,需要进入`/etc/yum.repos.d/`目录,创建一个新的Yum仓库配置文件,...
在CentOS Linux系统下配置vsftpd(Very Secure FTP Daemon)是一项重要的网络服务配置任务。本文将详细介绍如何在CentOS Server 5.5上安装与配置vsftpd版本2.3.4。vsftpd以其高度的安全性和速度成为Unix-like系统中...
Linux 下安装 vsftpd 服务 在 Linux 系统中,安装 vsftpd 服务可以提供 FTP 服务器功能,vsftpd 是目前 Linux 最好的 FTP 服务器工具之一,其中的 vs 就是“Very Secure”的缩写,表明该工具的最大优点就是安全。除...
### vsftpd虚拟用户的配置详解 #### 一、虚拟用户概念 在介绍具体的配置步骤之前,我们先来...通过上述步骤,我们可以成功配置vsftpd虚拟用户,不仅可以提高FTP服务器的安全性,还可以更灵活地管理用户的访问权限。
### Ubuntu下Vsftpd服务器配置指南 #### 一、Vsftpd简介与许可说明 Vsftpd是一款在Linux系统上非常流行的FTP服务器软件,它以其高效性、安全性...通过仔细配置Vsftpd的各项设置,可以满足不同场景下的FTP服务需求。
通过合理配置vsftpd的各项参数,不仅可以保障FTP服务的安全性,还能提高其性能表现。上述内容涵盖了vsftpd配置文件中的关键配置项及其含义,希望能为正在部署和管理vsftpd服务的技术人员提供有益参考。
总结,虽然Webmin的VSFTPD配置模块可能已不可用,但通过Webmin的文件管理和系统服务管理功能,我们依然可以有效地手动配置VSFTPD。这需要一定的Linux和FTP服务器知识,但也是提升系统管理技能的好机会。保持对开源...
### 配置vsftpd本地用户登录详解 在Linux系统中,vsftpd(Very Secure FTP Daemon)是一款非常流行的FTP服务器软件,它以其强大的安全性和稳定性而被广泛使用。本文将详细介绍如何配置vsftpd来支持本地用户的登录,...
手动编译安装vsftpd之后,只需要将该文件复制到/etc/init.d文件夹下,即为安装了vsftpd服务,可运行service vsftpd status查看
### vsftpd 服务配置详解 #### 一、前言 在 CentOS 5.5 系统中配置 vsftpd 服务是一项常见的 IT 操作任务。vsftpd 是一款非常安全且快速的 FTP (File Transfer Protocol) 服务器软件,被广泛应用于 Linux 和其他类...
500:出现错误 `OOPS: vsftpd: refusing to run with writable root inside chroot()`,解决方法是编辑 Vsftpd 配置文件 `/etc/vsftpd.conf`,添加一行 `allow_writeable_chroot=YES`,然后重启 Vsftpd 服务。...
4. **配置VSFTPD**:编辑`/etc/vsftpd/vsftpd.conf`,这是VSFTPD的主要配置文件。配置项包括监听端口、用户权限、匿名访问控制等。例如,设置监听端口为21,禁用匿名访问: ``` listen=YES anonymous_enable=NO ...
本文将详细介绍如何在CentOS系统上安装并配置VSFTPD服务,使用户能够安全地进行文件传输。 #### 二、安装 VSFTPD 1. **安装 VSFTPD** - 打开终端。 - 使用命令 `yum install vsftpd` 安装VSFTPD。 ```bash yum...
安装完成后,需要配置vsftpd以满足特定的使用场景。主要的配置文件位于`/etc/vsftpd/vsftpd.conf`。默认配置可能不允许匿名登录,但允许本地用户通过FTP访问其家目录。以下是一些常见的配置项: 1. **anonymous_...
在本配置过程中,我们将探讨如何在服务器上安装并配置vsftpd,以允许匿名用户访问共享资源,以及创建一个新的test目录供用户使用。 ### 安装vsftpd服务 首先,我们需要在服务器上安装vsftpd服务。这通常可以通过包...