分类: 系统运维
2009-06-15 09:35:22
五、高级话题
(一) 支持SSL
创建ssl证书
|
cd /usr/share/ssl/certs Openssl req –new –x509 –nodes –out vsftpd.pem –keyout vsftpd.pem |
在vsftpd.conf中添加支持ssl的选项:
|
#启动ftp是否支持ssl,如果设置,那么ftp客户端也必须要使用带ssl协议的软件。 ssl_enable=YES # 当ssl_enable=YES有效 # 是否允许匿名用户通过ssl登录服务器 allow_anon_ssl= YES # 当ssl_enable=YES 、allow_anon_ssl=YES 有效 # 是否强制匿名用户通过ssl传输数据 force_anon_data_ssl=NO # 当ssl_enable=YES 、allow_anon_ssl=YES 有效 # 是否强制匿名用户通过ssl登录服务器 force_anon_logins_ssl= YES # 当ssl_enable=YES有效 # 是否强制本地用户通过ssl传输数据 force_local_data_ssl=YES # 当ssl_enable=YES有效 # 是否强制本地用户通过ssl登录服务器 force_local_logins_ssl=YES # 当ssl_enable=YES有效 # FTP是否支持SSL V2 ssl_sslv2=YES # 当ssl_enable=YES有效 # FTP是否支持SSL V3 ssl_sslv3=YES # 当ssl_enable=YES有效 # FTP是否支持SSL TLS V1 ssl_tlsv1=YES # 当ssl_enable=YES有效 # 设置对应的ssl证书的位置 rsa_cert_file=/usr/share/ssl/certs/vsftpd.pem |
(二) 为ftp 的用户增加磁盘限额
具体可以看 GNU-应用FAQ-使用手册.html中的 为“用户增加磁盘限额“一节。
(三) 配置虚拟用户
(四)对抗暴力破解
客户端可以使用软件来自动登录服务器,在没有密码的情况下,它可以通过反复来运行软件,进行密码测试,来破译密码,由于现有的关于vsftp这方面的安全防护还没有(好像是否可以通过/etc/pam.d/vsftp来防护,我没有试验过)。因此可以通过blockhosts软件来完成这样的任务。它可以分析连接的同一个ip在连续若干次(人为可以设定)都没有连接成功下,就认为这个ip是非法的ip,就把这个ip记录到/etc/hosts.deny的方式来完成,它要完成这样的任务要和
Tcp_wrappers联合。
(五)分析vsftp日志软件
可以采用一些软件,比如awstats来分析ftp日志软件,可以减少管理员的麻烦。
