VSFTPD的设置选项之安全措施

系统 Linux
vsftpd在安全性、高性能及稳定性三个方面有上佳的表现。它提供的主要功能包括虚拟IP设置、虚拟用户、Standalone、inetd操作模式、强大的单用户设置能力及带宽限流等。vsftpd中的vsftpd.conf文件配置比较简单,可以根据实际情况对其进行一些设置,我们来看看有哪些设置!

vsftpd是一款在Linux发行版中最受推崇的FTP服务器程序。特点是小巧轻快,安全易用。就是配置有点麻烦,vsftpd.conf文件配置比较简单,我们可以设置下:

  VSFTPD的设置选项

  VSFTPD的配置文件/etc/vsftpd/vsftpd.conf是个文本文件。以“#”字符开始的行是注释行。每个选项设置为一行,格式为“option=value”,注意“=”号两边不能留空白符。除了这个主配置文件外,还可以给特定用户设定个人配置文件,具体介绍见后。

  VSFTPD包中所带的vsftpd.conf文件配置比较简单,而且非常偏执狂的(文档自称)。我们可以根据实际情况对其进行一些设置,以使得VSFTPD更加可用。

  1、安全措施

    1.1、用户登录控制

      pam_service_name=vsftpd

      指出VSFTPD进行PAM认证时所使用的PAM配置文件名,默认值是vsftpd,默认PAM配置文件是/etc/pam.d/vsftpd。

      /etc/vsftpd.ftpusers

      VSFTPD禁止列在此文件中的用户登录FTP服务器。这个机制是在/etc/pam.d/vsftpd中默认设置的。

      userlist_enable=YES|NO

      此选项被激活后,VSFTPD将读取userlist_file参数所指定的文件中的用户列表。当列表中的用户登录FTP服务器时,该用户在提示输入密码之前就被禁止了。即该用户名输入后,VSFTPD查到该用户名在列表,VSFTPD就直接禁止掉该用户,不会再进行询问密码等后续步聚。默认值为NO。

      userlist_file=/etc/vsftpd.user_list

      指出userlist_enable选项生效后,被读取的包含用户列表的文件。默认值是/etc/vsftpd.user_list。

      userlist_deny=YES|NO

      决定禁止还是只允许由userlist_file指定文件中的用户登录FTP服务器。此选项在userlist_enable 选项启动后才生效。YES,默认值,禁止文件中的用户登录,同时也不向这些用户发出输入口令的提示。NO,只允许在文件中的用户登录FTP服务器。

      

      tcp_wrappers=YES|NO

      在VSFTPD中使用TCP_Wrappers远程访问控制机制,默认值为YES。

    1.2、目录访问控制

      chroot_list_enable=YES|NO

      锁定某些用户在自家目录中。即当这些用户登录后,不可以转到系统的其他目录,只能在自家目录(及其子目录)下。具体的用户在chroot_list_file参数所指定的文件中列出。默认值为NO。

      chroot_list_file=/etc/vsftpd/chroot_list

      指出被锁定在自家目录中的用户的列表文件。文件格式为一行一用户。通常该文件是/etc/vsftpd/chroot_list。此选项默认不设置。

      chroot_local_users=YES|NO

      将本地用户锁定在自家目录中。当此项被激活时,chroot_list_enable和chroot_local_users参数的作用将发生变化,chroot_list_file所指定文件中的用户将不被锁定在自家目录。本参数被激活后,可能带来安全上的冲突,特别是当用户拥有上传、 shell访问等权限时。因此,只有在确实了解的情况下,才可以打开此参数。默认值为NO。

      passwd_chroot_enable

      当此选项激活时,与chroot_local_user选项配合,chroot()容器的位置可以在每个用户的基础上指定。每个用户的容器来源于/etc/passwd中每个用户的自家目录字段。默认值为NO。

    1.3、文件操作控制

      hide_ids=YES|NO

      是否隐藏文件的所有者和组信息。YES,当用户使用"ls -al"之类的指令时,在目录列表中所有文件的拥有者和组信息都显示为ftp。默认值为NO。

      ls_recurse_enable=YES|NO

      YES,允许使用"ls -R" 指令。这个选项有一个小的安全风险,因为在一个大型FTP站点的根目录下使用"ls -R"会消耗大量系统资源。默认值为NO。

      write_enable=YES|NO

      控制是否允许使用任何可以修改文件系统的FTP 的指令,比如STOR、DELE、RNFR、RNTO、MKD、RMD、APPE 以及SITE。默认值为NO,不过自带的简单配置文件中打开了该选项。

      secure_chroot_dir=

      这选项指向一个空目录,并且ftp用户对此目录无写权限。当vsftpd不需要访问文件系统时,这个目录将被作为一个安全的容器,用户将被限制在此目录中。默认目录为/usr/share/empty。

    1.4、新增文件权限设定

      anon_umask=

      匿名用户新增文件的umask 数值。默认值为077。

      file_open_mode=

      上传档案的权限,与chmod 所使用的数值相同。如果希望上传的文件可以执行,设此值为0777。默认值为0666。

      local_umask=

      本地用户新增档案时的umask 数值。默认值为077。不过,其他大多数的FTP服务器都是使用022。如果您的用户希望的话,可以修改为022。在自带的配置文件中此项就设为了022。

通过上面的阅读,大家对VSFTPD的设置选项的安全措施有了一定的了解,希望对大家有所帮助!

【编辑推荐】

责任编辑:赵鹏 来源: 互联网
相关推荐

2011-02-22 15:07:03

VSFTPD

2011-02-22 16:23:22

VSFTPD

2011-02-22 16:22:46

VSFTPD

2011-03-03 16:28:24

Vsftpd设置

2010-08-02 16:17:13

2010-04-22 17:49:29

Aix系统

2015-09-09 17:08:57

2011-02-22 15:16:58

2011-05-26 09:46:21

Oracle数据库安全

2011-02-22 15:16:56

VSFTPD

2022-01-07 08:58:32

云安全云计算网络安全

2011-02-22 16:23:20

VSFTPD

2017-12-23 00:00:12

2014-07-02 16:03:23

2024-05-06 14:07:47

射频识别RFID

2015-03-12 09:12:07

2009-01-11 10:10:00

局域网网络安全

2009-12-15 09:55:04

2022-08-31 08:00:00

安全服务器机房网络安全

2024-07-11 08:00:00

点赞
收藏

51CTO技术栈公众号