Chinaunix首页 | 论坛 | 博客
  • 博客访问: 1339241
  • 博文数量: 464
  • 博客积分: 9399
  • 博客等级: 中将
  • 技术积分: 6364
  • 用 户 组: 普通用户
  • 注册时间: 2011-02-19 09:15
文章分类

全部博文(464)

文章存档

2014年(12)

2013年(123)

2012年(173)

2011年(156)

我的朋友

分类: 服务器与存储

2013-01-29 11:24:15

在Linode VPS上ftp,采用流行的vsftpd,简单,通过YUM进行,安全很重要,故小记下来,以备不时之需。

最简单的安装vsftpd方式是通过yum:

1 yum install vsftpd
2 chkconfig --level 345 vsftpd on
3 service vsftpd start
1 ===================================================================
2  Package            Arch     Version             Repository   Size
3 ===================================================================
4 Installing:
5  vsftpd             x86_64   2.0.5-16.el5_6.1    updates     139 k
6  
7 Transaction Summary
8 ===================================================================

安全的配置vsfptd(/etc/vsftpd/vsftpd.conf)。

1. 使ftp登录只能浏览其主目录(home)下内容。否则的话,整个Linux文件系统都让他尽收眼底,这太恐怖了! 因为Linux默认赋予其他组的读取文件的权限。

1 chroot_local_user=YES
2 chroot_list_file=/etc/vsftpd/chroot_list

如果还想要一部分ftp用户不局限于主目录下,则可以把这些用户名加入到chroot_list文件中,即这些用户就可以不受限制,而可以浏览整个文件系统的内容。下面是vsftpd配置文件中的解释:

1 # You may specify an explicit list of local users to chroot() to their home
2 # directory. If chroot_local_user is YES, then this list becomes a list of
3 # users to NOT chroot().
4 #chroot_list_enable=YES
5 # (default follows)
6 #chroot_list_file=/etc/vsftpd/chroot_list

2. 对于一个机器上绑定了多个IP,安全的策略是只在其中一个IP上提供ftp服务,这里需要设置listen_address。另外,监听端口也最好更改,默认的端口是21。

1 listen_address=192.168.1.110
2 listen_port=2011

仅仅几个简单的设置,就把风险降低到最小了。但好像还有点不够,我曾听说有ftp被暴力破解的,更保险的是装一个fail2ban,可以设置多少次ftp登录密码错误后,就禁用该用户登录,或者锁定一段时间后(比如15分钟)再允许登录,这样就可以高枕无忧了!

        
阅读(761) | 评论(0) | 转发(0) |
给主人留下些什么吧!~~